Una invitación de colaboración hizo desaparecer un canal

La forma en que las cuentas de creadores de YouTube son hackeadas ha seguido un patrón bastante constante en los últimos años. La víctima recibe un correo electrónico que parece profesional, supuestamente de una marca o proveedor de herramientas, ofreciendo oportunidades de colaboración o productos gratuitos, adjuntando un archivo de contrato o introducción de producto que necesita ser descargado. Este archivo adjunto o enlace contiene un malware diseñado para robar las cookies de sesión del navegador. Una vez que las cookies son robadas, el atacante no necesita conocer la contraseña ni pasar por la autenticación de dos factores para iniciar sesión directamente en YouTube Studio como si fuera tú, eliminando todos los videos del canal o poniendo los videos en privado, cambiando el nombre y la imagen del canal por el contenido de una estafa de criptomonedas, y comenzando a transmitir en vivo una estafa de inversión haciéndose pasar por una persona famosa. Todo el proceso puede completarse en cuestión de minutos, y en ese momento, es probable que ni te des cuenta de que algo está sucediendo. Lectura adicional: ¿Qué es un token de Discord? ¿Por qué el hackeo de cuentas a menudo

¿Por qué los ataques de robo de cookies pueden eludir la autenticación de dos factores?

Esta es una de las preguntas más confusas que se hacen muchos al enterarse de que su canal ha sido hackeado: si ya tengo la autenticación de dos factores activa, ¿por qué sigo siendo hackeado? La autenticación de dos factores protege el acto de iniciar sesión en sí, requiere que después de ingresar la contraseña se proporcione un código de verificación adicional. Pero cuando inicias sesión en un dispositivo, el navegador almacenará un conjunto de cookies que representan esa sesión, y las operaciones posteriores se validan utilizando estas cookies, sin necesidad de volver a ingresar la contraseña o el código de verificación. Si un malware logra extraer este conjunto de cookies de tu navegador, el atacante puede importarlas a su propio navegador, lo que equivale a copiar tu estado de inicio de sesión ya verificado; la autenticación de dos factores no tiene chance de intervenir en este caso. Lectura adicional: ¿Son seguros los complementos del navegador? ¿Qué permisos deberías verificar antes de instalar?

¿Qué configuraciones deberían verificarse ahora?

Verificación de seguridad de la cuenta de Google Tu canal de YouTube está vinculado a una cuenta de Google, por lo que la configuración de seguridad de la cuenta determina el estado de seguridad del canal. Accede a la página de seguridad en myaccount.google.com y verifica que las actividades de inicio de sesión recientes sean todas propias, revisa la lista de aplicaciones de terceros autorizadas, y elimina cualquier autorización que no reconozcas o ya no utilices. Lectura adicional: Verificación completa de la configuración de seguridad de Gmail: filtros, reglas de reenvío y acceso de terceros. Verificación de permisos de administrador del canal YouTube Studio permite a los propietarios de cuentas agregar otras cuentas de Google como administradores del canal; esta función es útil en la gestión colaborativa de canales, pero también es una configuración de seguridad que necesita verificarse regularmente. Ve a la página de configuración de YouTube Studio y en la pestaña de permisos, verifica qué cuentas tienen derechos de administración, eliminando cualquier autorización que no reconozcas o ya no necesites. Programa de protección avanzada de Google Para los creadores

Infografía explicativa de cinco pasos sobre cómo un creador de YouTube es tomado por phishing.

Al recibir una invitación de colaboración, algunas buenas prácticas para reducir riesgos

El punto de entrada para que una cuenta de creador sea hackeada suele ser archivos adjuntos o enlaces en correos electrónicos, y estos mensajes generalmente parecen muy profesionales, a diferencia de los correos de phishing tradicionales que suelen tener errores ortográficos visibles o formatos extraños. Antes de hacer clic en cualquier archivo adjunto o enlace, puedes hacer algunas verificaciones básicas. Verifica si el dominio del correo electrónico coincide con el dominio oficial de la empresa que dicen representar; confirma que la empresa que envía la invitación de colaboración realmente existe y se puede encontrar información independiente en internet sobre ella. Si el archivo adjunto es un ejecutable, un archivo comprimido, o un documento de Office que requiere habilitar macros, estos formatos no son razonables en el contexto de una invitación de colaboración; un contrato o descripción de productos normal no debería requerir código ejecutable. Si ya has descargado y ejecutado un archivo sospechoso, deberías cerrar sesión en todos los servicios de Google, cambiar la contraseña de tu cuenta de Google y revocar todas las sesiones de inicio existentes en la página de seguridad

Preguntas comunes sobre la seguridad de cuentas de YouTube

¿Se pueden recuperar los videos eliminados después de que el canal fue tomado?

Esto depende de las acciones que el atacante haya tomado con respecto a los videos y de cuán rápido reportaste el problema a Google una vez que lo descubriste. Si los videos fueron configurados como privados o ocultos, normalmente pueden ser restaurados a la visibilidad tras la recuperación de la cuenta. Si los videos han sido eliminados permanentemente, es posible que Google aún tenga copias de respaldo en su backend durante un cierto período de tiempo; puedes mencionar esto en tu solicitud de recuperación y pedir ayuda para confirmar si hay forma de restaurarlos. Sin embargo, no hay garantía sobre este resultado; la posibilidad de recuperación depende de cuánto tiempo ha pasado desde la eliminación y de la política de retención de datos de Google. Por eso, establecer el hábito de hacer copias de seguridad periódicas de los archivos originales de videos importantes en local es algo que todo creador debería hacer, y no solo mantener los archivos originales en un solo lugar en la nube.

¿Tengo responsabilidad legal si se transmitió contenido fraudulento durante el hackeo del canal?

Cuando una cuenta es utilizada por otros sin autorización, legalmente se considera que tu cuenta ha sido hackeada, no que tú has actuado en ella. Sin embargo, este caso necesita documentación clara que respalde tu reclamo, incluyendo cuándo descubriste la anomalía de la cuenta, la documentación de cuándo reportaste a Google, y cualquier evidencia que pueda demostrar que la cuenta no estaba bajo tu control en un período específico de tiempo. Si el contenido fraudulento transmitido resulta en pérdidas financieras para otros, es posible que la víctima intente buscar la responsabilidad del titular de la cuenta; en este caso, un registro completo de los eventos es la base para explicar la situación.

¿Los canales pequeños deben también preocuparse por problemas de seguridad?

Los canales con pocos suscriptores también son objetivos de ataque. Esto se debe a la lógica de los ataques masivos; los atacantes no se dirigen a canales grandes específicos, sino que envían correos de phishing a muchos creadores a la vez. Siempre que haya un porcentaje suficiente de personas que hagan clic, obtendrán una cantidad suficiente de cuentas para realizar estafas en vivo. El tamaño de la cuenta no afecta la probabilidad de que seas un objetivo; solo afecta cuántas estafas pueden realizarse una vez que el atacante obtenga acceso a la cuenta. La verificación de configuraciones de seguridad tiene sentido para todos los creadores; no es necesario esperar a que el canal crezca para empezar a tomarse esto en serio.

Una conclusión clave: La forma más común en que las cuentas de creadores de YouTube son hackeadas es a través de una invitación de colaboración que parece normal, y no por la ruptura de contraseñas. Comprender cómo funcionan los ataques de robo de cookies y verificar regularmente los permisos de administrador de la cuenta es actualmente la forma más directa de prevención.