Quanto mais longa for nossa vida digital, maior será a quantidade de contas on-line que provavelmente acumulamos ao longo do tempo. Você consegue se lembrar de todos os serviços nos quais já se cadastrou? Pode ter sido aquele teste gratuito que você começou e nunca cancelou, ou um aplicativo que usou uma única vez durante uma viagem e nunca mais acessou. A proliferação de contas é um fenômeno real. De acordo com uma estimativa, uma pessoa tem, em média, 168 senhas de contas pessoais.

No entanto, contas inativas também representam um risco à segurança, tanto do ponto de vista pessoal quanto profissional. Elas podem se tornar alvos interessantes para cibercriminosos oportunistas, por isso vale a pena considerar uma espécie de faxina digital de tempos em tempos, para manter esse cenário sob controle.

Por que contas inativas representam um risco?

Há muitos motivos que podem explicar o acúmulo de contas esquecidas e inativas. É provável que você seja bombardeado diariamente por ofertas especiais e novos serviços digitais. Em muitos casos, a única forma de conhecê-los é criando uma nova conta. Mas somos humanos, esquecemos, nossos interesses mudam com o tempo e, às vezes, simplesmente não lembramos os dados de acesso e seguimos em frente. Além disso, muitas vezes, excluir uma conta é mais difícil do que simplesmente deixá-la inativa.

No entanto, essa pode ser uma escolha equivocada. Segundo o Google, contas que permanecem inativas por muito tempo têm maior probabilidade de serem comprometidas. Isso porque é mais comum que utilizem credenciais antigas ou reutilizadas, que podem ter sido expostas em vazamentos de dados anteriores. A empresa também afirma que "contas abandonadas têm pelo menos 10 vezes menos chances de contar com a verificação em duas etapas ativada, em comparação com contas ativas."

Essas contas podem se tornar um verdadeiro ímã para cibercriminosos, que estão cada vez mais focados em ataques de sequestro de contas (Account Takeover – ATO). Para isso, utilizam uma variedade de técnicas, como:

  • Malwares do tipo infostealer, desenvolvidos para capturar suas credenciais de acesso. Um relatório afirma que 3,2 bilhões de credenciais foram roubadas no último ano, sendo a maioria (75%) por meio desse tipo de ameaça;
  • Megavazamentos de dados, nos quais os cibercriminosos obtêm bancos de dados inteiros com senhas e nomes de usuário de empresas terceiras às quais você pode ter se cadastrado;
  • Credential stuffing, técnica que utiliza credenciais vazadas em ataques anteriores para tentar acessar outras contas nas quais você tenha reutilizado a mesma senha comprometida;
  • Ataques do tipo brute force, que consistem em sucessivas tentativas de adivinhar senhas por meio de erro e acerto.

As consequências das contas inativas

Se um cibercriminoso conseguir acesso a uma conta inativa, ele poderá:

  • Usá-la para enviar spam e golpes aos seus contatos, por exemplo, se for uma conta de e-mail ou rede social inativa ou até lançar ataques de phishing convincentes em seu nome. Esses golpes podem tentar obter informações sensíveis dos seus contatos ou levá-los a instalar malwares;
  • Vasculhar a conta em busca de informações pessoais ou dados de cartões salvos. Essas informações podem ser usadas para cometer fraudes de identidade ou para enviar e-mails de phishing, passando-se pelo provedor do serviço da conta, com o objetivo de realizar ainda mais prejuízos à vítima. Cartões salvos podem estar vencidos, mas, se ainda forem válidos, podem ser usados para realizar falsas transações em seu nome;
  • Vender a conta na dark web, caso tenha algum valor, como no caso de contas de programas de fidelidade ou milhas aéreas que você pode ter esquecido;
  • Esvaziar a conta, caso ela conte com recursos financeiros como carteiras de criptomoedas ou contas bancárias esquecidas. No Reino Unido, estima-se que existam cerca de £82 bilhões (R$ 627,3 bilhões) em contas bancárias, fundos de pensão e outros ativos financeiros perdidos.

Contas corporativas inativas também são alvos interessantes, pois podem oferecer aos cibercriminosos um caminho fácil para acessar dados sensíveis e sistemas da empresa. Esses dados podem ser roubados e vendidos ou mantidos como reféns em ataques de ransomware. Na prática:

  • O ataque de ransomware à Colonial Pipeline, em 2021, teve início a partir do comprometimento de uma conta de VPN inativa, resultando em uma grande escassez de combustível na Costa Leste dos Estados Unidos;
  • Um ataque de ransomware, em 2020, ao distrito de Hackney, em Londres, teve como um de seus fatores a existência de uma senha fraca em uma conta inativa vinculada aos servidores da prefeitura.

Hora da faxina digital?

O que você pode fazer para mitigar os riscos mencionados acima? Alguns provedores de serviços atualmente fecham contas inativas automaticamente após determinado período, a fim de liberar recursos computacionais, reduzir custos e reforçar a segurança digital das pessoas que utilizam os serviços. Entre eles estão empresas como Google, Microsoft e X.

No entanto, quando se trata da sua segurança digital, a melhor abordagem é sempre a proatividade. Considere as seguintes ações:

  • Faça auditorias periódicas e exclua contas inativas. Uma forma eficaz de localizá-las é buscar em sua caixa de entrada por termos como "Bem-vindo", "Verifique sua conta", "Avaliação gratuita", "Obrigado por se cadastrar", "Valide sua conta", entre outros;
  • Revise seu gerenciador de senhas ou a lista de senhas salvas no navegador, excluindo aquelas associadas a contas inativas ou atualize as senhas se tiverem sido marcadas como inseguras ou envolvidas em vazamentos de dados;
  • Verifique a política de exclusão da conta antes de encerrá-la, para garantir que todas as informações pessoais e financeiras realmente serão removidas;
  • Reflita antes de criar uma nova conta. Será mesmo necessário? Vale a pena?

Para aquelas contas que você deseja manter, além de atualizar a senha por uma combinação forte e exclusiva e armazenada de forma segura em um gerenciador de senhas, vale também:

  • Ativar a autenticação em duas etapas (2FA). Assim, mesmo que um cibercriminoso obtenha sua senha, ele não conseguirá acessar a conta sem o segundo fator de autenticação;
  • Evitar fazer login em contas sensíveis usando redes Wi-Fi públicas, a menos que esteja usando uma VPN. Caso contrário, suas credenciais podem ser interceptadas por terceiros mal-intencionados;
  • Atenção a mensagens de phishing que tentam obter suas credenciais ou induzir o download de malwares, como infostealers. Evite clicar em links não solicitados e desconfie de comunicações que pressionam para ações urgentes, como alegações de dívidas ou exclusão de conta.

É provável que a maioria de nós tenha dezenas, ou até centenas, de contas inativas espalhadas pela internet. Reservar alguns minutos do seu dia, uma vez por ano, para organizar e excluir essas contas pode tornar sua vida digital significativamente mais segura.