Info
Content

Cuentas comprometidas

Qué son cuentas comprometidas

Una cuenta se considera comprometida (o vulnerada) cuando la información de inicio de sesión, es decir su usuario y contraseña de acceso, ha sido robada por terceros con intención de obtener acceso no autorizado para actuar en su nombre o para vender o intercambiar listas de credenciales en sitios web ilegales.

Para evitar que esto ocurra, el equipo de seguridad de EducaMadrid en conjunto con el de Madrid Digital identifican las cuentas comprometidas y bloquean el acceso a ellas. De esta manera, se impide que los ciberdelincuentes actúen en nombre del usuario o utilicen cualquier técnica de engaño como phishing, fraude del CEO, etc.

Cuando se detecta una actividad sospechosa en una cuenta, se activa un protocolo automático que:

  1. Bloquea la cuenta para impedir su uso por parte de terceros.
  2. Asigna una dirección de recuperación especial que actúa como señal de bloqueo. Esta dirección no puede ser modificada por el usuario, por lo que no puede utilizar la funcionalidad "Olvidé mi contraseña" para recuperar el acceso.

Para garantizar que un atacante no pueda restablecer el acceso y para facilitar la identificación del motivo de bloqueo, solo el coordinador TIC o la cuenta institucional del centro pueden cambiar el correo adicional del usuario.

Este sistema se aplica a todas las cuentas: docentes, estudiantes, PAS e institucionales.

Podemos consultar más información sobre la gestión de cuentas bloqueadas en este enlace.

No siempre el cambio de contraseña puede resultar suficiente. Si el robo de credenciales se ha producido a través de un malware instalado en el dispositivo o en el navegador, pueden hacer falta más actuaciones. En este apartado se detalla qué pasos debemos seguir si nuestra cuenta ha sido comprometida.
Indicios de actividad sospechosa

Si se detecta que nuestro usuario de EducaMadrid realiza actividad sospechosa, nuestra cuenta se bloquea automáticamente. Este bloqueo nos impide acceder a cualquier herramienta de EducaMadrid y también deshabilita la opción de restablecer la contraseña mediante la función “Olvidé mi contraseña”.

En este caso, debemos ponernos en contacto con el Coordinador TIC de nuestro centro, quien podrá aclarar la causa consultando las siguientes fuentes:

  1. En nuestra ficha dentro del Gestor de Usuarios, revisando el campo “Correo electrónico alternativo”, donde se indica si la cuenta ha sido bloqueada.
  2. En el correo electrónico de la cuenta TIC, donde recibe notificaciones automáticas sobre cuentas bloqueadas y la causa de su bloqueo (envío masivo de SPAM, uso de un remitente no permitido, etc.).

Otros indicios, que pueden alertarnos de que nuestra cuenta podría estar comprometida, son:

Correo web:

  • Imposibilidad de acceder al correo web (https://correoweb.educa.madrid.org). En este caso, debemos comprobar:

    1. Si podemos acceder a otras herramientas de EducaMadrid. Por ejemplo, al Portal Educativo.

    2. Si podemos acceder a otras herramientas de EducaMadrid y no podemos acceder solo al correo web, debemos realizar otras comprobaciones que se explican en este enlace.

  • Imposibilidad para enviar mensajes.

  • Aparición de mensajes enviados que no hemos redactado ni programado.

  • Redirección creada sin nuestra intervención.

  • Mensajes marcados como leídos sin haberlos abierto.

  • Mensajes o carpetas en la “Papelera” sin que los hayamos eliminado.

Aula Virtual:

  • Múltiples intentos de identificación fallidos desde nuestro último acceso.
  • Accesos registrados en horarios inusuales o desde direcciones IP desconocidas. Encontraremos más detalles en la ayuda sobre "Registros".
  • Actividades, tareas, recursos o calificaciones creados, modificados o eliminados sin nuestra participación.

Cloud:

  • Archivos creados, eliminados, renombrados o compartidos sin nuestra intervención.
  • Clientes o dispositivos desconocidos en el apartado "Seguridad" de nuestra cuenta de Cloud. Para más detalles, consulta la ayuda sobre "Seguridad" en Cloud.

EMPieza:

Cómo ocurre el robo de credenciales de acceso

Los ciberdelincuentes pueden utilizar cualquier técnica para robar las contraseñas, como por ejemplo:

  • Una de las técnicas de ingeniería social (phishingbaitingsmishing, etc.) que permite instalar en el equipo un programa espía que roba todas las contraseñas.
  • Un malware instalado en el dispositivo o en el navegador.
  • Robo de contraseñas a través del ataque por “fuerza bruta”: intentos masivos para intentar “forzar” la entrada en un servicio. Por ejemplo, cuando nos salta el aviso de muchos intentos de acceso erróneos al Aula Virtual.
  • Conexión a redes wifi públicas que pueden ser pirateadas.
  • Contraseñas guardadas en los navegadores para facilitarnos el acceso (la forma de proceder más habitual).
  • Envío de contraseñas sin cifrar.
Pasos a seguir si mi cuenta ha sido comprometida

Ante la certeza (por ejemplo, cuenta de EducaMadrid bloqueada, múltiples intentos de acceso erróneo al Aula Virtual) o la más mínima sospecha de robo de credenciales de acceso, el procedimiento es:

  1. No cambies la contraseña todavía: si el dispositivo está infectado, el atacante podría capturar la nueva contraseña también.
  2. Desconecta el equipo de Internet para evitar que cualquier malware siga enviando información o tomando control remoto del equipo.
  3. Analiza el equipo con un antivirus actualizado y haz una limpieza exhaustiva por si hay algún malware instalado a través de phishing o cualquier otra técnica de ingeniería social.
  4. Revisa el navegador:
    • Elimina extensiones desconocidas o sospechosas.
    • Elimina las contraseñas del navegador.
    • Restablece la configuración del navegador si es necesario.
    • Borra cookies, caché y datos de navegación.
  5. Actualiza el sistema operativo y el navegador. Las actualizaciones corrigen vulnerabilidades que el malware podría estar explotando.
  6. Reinicia el equipo y verifica que esté limpio. Si el antivirus sigue detectando amenazas, repite el proceso o consulta a un técnico.
  7. Solo cuando te hayas asegurado de que tu equipo está limpio, cambia la contraseña de tu cuenta alternativa porque también podía haber sido comprometida.
  8. Utiliza la funcionalidad "Olvidé mi contraseña" o solicita el cambio de la contraseña de EducaMadrid al coordinador TIC de tu centro.
  9. Sigue nuestras recomendaciones para crear contraseñas robustas. Es recomendable cambiar las contraseñas periódicamente.
  10. No guardes nunca las contraseñas sin cifrar en el navegador. Si quieres tener las contraseñas a mano, utiliza una herramienta que almacena las contraseñas cifradas, tipo KeePass (aplicación instalada por defecto en MAX).
  11. Utiliza solo las conexiones seguras (https://..).
  12. No accedas a wifis abiertas.
  13. Utiliza ventanas privadas que almacenan datos de navegación solo de manera temporal.
  14. Informa la Delegación de protección de datos de la Consejería de Educación, Ciencia y Universidades si la cuenta comprometida es cuenta TIC o la insitucional del centro, para que analicen la brecha de seguridad.
Consejos y buenas prácticas

Consulta nuestras recomendaciones de ciberseguridad, que te ayudarán a reducir el riesgo de ser víctima de ciberfraudes.

Back to top