Què cal fer davant d'una alerta d'inici de sessió sospitós

Informatec Digital » Recursos » Què cal fer davant d'una alerta d'inici de sessió sospitós

Reps un missatge al mòbil o al correu: “hem detectat un inici de sessió sospitós al teu compte”. T'indiquen una ciutat que no coneixes, un dispositiu estrany o una IP estranya. És normal que se t'encenguin totes les alarmes, però el més important és saber reaccionar amb cap: ni ignorar l'avís, ni caure al pànic que busquen molts ciberdelinqüents.

En aquest article trobaràs una guia molt completa sobre què fer davant d'una alerta d'inici de sessió sospitós, com distingir si l'avís és legítim o un intent de phishing, quins passos seguir si algú ha entrat al teu compte i com blindar els teus perfils de Google, Microsoft, xarxes socials, correu i altres serveis en línia perquè sigui molt més difícil que torni a passar.

Què és un inici de sessió sospitós i per què reps aquestes alertes

La majoria de grans plataformes (Google, Microsoft, xarxes socials, bancs, botigues en línia, etc.) compten amb sistemes que analitzen contínuament com utilitzes el teu compte per detectar comportaments fora del normal. Quan alguna cosa no encaixa amb el vostre patró habitual d'ús, us envien una alerta de seguretat.

En el cas de Google Workspace, per exemple, el sistema pot detectar que un usuari intenta entrar-hi des d'un país poc habitual, a una hora rara o amb un tipus de dispositiu diferent del de sempre. Abans d'avisar fins i tot l'administrador, moltes vegades Google exigeix ​​al mateix usuari passos extra de verificació (preguntes de seguretat, confirmació des d'un altre dispositiu, etc.). Si la persona no aconsegueix demostrar que és legítima, és quan es dispara l'alerta a l'administrador avisant que algú podria tenir la contrasenya del compte.

Microsoft fa una cosa molt semblant: si noteu un inici de sessió des d'una ubicació nova o un dispositiu desconegut, mana un correu i un SMS. D'aquí la importància que mantinguis al dia el teu telèfon i correu de recuperació a l'apartat de seguretat del teu compte de Microsoft, perquè seran les vies per ajudar-te a recuperar l'accés si alguna cosa va malament.

Altres serveis més petits o xarxes socials també fan servir sistemes similars. És possible que vegis missatges del tipus “hem detectat un accés sospitós al teu compte” quan inicieu sessió des d'un nou mòbil, des d'un altre país o fins i tot quan canvieu d'IP usant una VPN.

Exemples clars d'inicis de sessió sospitosos

Per entendre millor què dispara aquestes notificacions, convé veure'n alguns casos típics on les plataformes marquen un accés com a sospitós perquè se surt del teu patró normal d'ús o implica un risc clar.

Un dels escenaris més habituals és quan un usuari inicia sessió des d'una ubicació que no coincideix amb la de sempre. Si et sols connectar des d'Espanya i, de sobte, hi ha un intent des d'un altre país, o fins i tot des d'una altra ciutat molt allunyada, els sistemes de seguretat ho consideren estrany, encara que siguis tu viatjant.

També és típic que es marqui com a sospitós el fet de entrar des d'un dispositiu nou, com un mòbil recent estrenat, un portàtil que mai abans havia fet servir aquest compte o un navegador que no té cookies ni dades prèvies. Encara que siguis tu, la plataforma encara no té “confiança” en aquest dispositiu.

Un altre exemple molt rellevant és l'accés a comptes suspesos o bloquejats. Si un compte que estava deshabilitat o sota revisió aconsegueix autenticar-se correctament, salta un senyal d'alerta per als administradors, ja que podria ser un compromís greu de seguretat.

A més, moltes plataformes revisen la activitat posterior a l'inici de sessió. Per exemple, si des del vostre correu es comencen a enviar molts missatges en poc temps o es realitzen canvis crítics (com modificar dades de recuperació o contrasenyes guardades), també poden considerar-lo activitat anòmala i bloquejar accions sensibles per evitar danys més grans.

Quan una alerta pot ser falsa alarma (però cal comprovar-la)

Tot i que veure una alerta d'aquest tipus espanta, moltes vegades la explicació més innocent té a veure amb canvis legítims en la forma en què uses els teus comptes, sense que hi hagi un atac real darrere.

Un motiu molt freqüent és haver iniciat sessió des d'un dispositiu nou que mai havies fet servir amb aquest compte: un mòbil acabat de comprar, un ordinador prestat, una tauleta que acabes de configurar… Per al sistema, això és equivalent al fet que “una altra persona” hagi entrat des d'un equip diferent.

Una altra causa és connectar-te des d'una ubicació diferent a la de costum. Si esteu de viatge, treballeu en una altra ciutat o us connecteu des de la xarxa d'un hotel, un aeroport o una cafeteria, la plataforma veu una adreça IP i una geolocalització noves. Fins i tot dins del mateix país, un canvi de ciutat pot disparar una alerta.

La utilització d'una VPN també pot provocar aquests avisos. En encaminar la teva connexió per un altre país o regió, la IP que veu el servei ja no és la teva habitual; per al sistema de detecció de fraus, sembla que et connectes des d'una altra part del món, encara que estiguis a casa teva al sofà.

En tots aquests casos, si en revisar els detalls de l'alerta (ciutat aproximada, tipus de dispositiu, hora) reconeixes que coincideix amb alguna cosa que has fet recentment, no has de per què alarmar-te. Pots simplement confirmar que eres tu o ignorar l'avís, encara que sempre és bona idea assegurar el compte amb mesures extra com l'autenticació en dues passes.

Quan una alerta indica un risc real de seguretat

El problema ve quan l'avís no encaixa amb cap de les vostres accions. Si rebeu una notificació d'accés sospitós i no heu iniciat sessió recentment des d'aquest lloc, aquest dispositiu o aquella hora, és moment de posar-te seriós: algú podria estar intentant entrar (o haver entrat) al teu compte.

En molts casos, els atacants han obtingut les teves credencials a través de filtracions de dades i atacs de farciment de credencials. Quan una web pateix una bretxa i es filtren correus electrònics i contrasenyes, els ciberdelinqüents solen provar aquestes mateixes combinacions en altres serveis (correu, xarxes socials, bancs…). Si reutilitzes la mateixa clau en diversos llocs, els facilites moltíssim la feina.

Una altra via molt habitual és el Phishing. T'arriba un correu o missatge que imita a la perfecció l'aparença de Google, Microsoft, Facebook, el teu banc, etc., i et demana que iniciïs sessió perquè hi ha hagut un problema de seguretat. Si fas clic i escrius el teu usuari i contrasenya en aquesta pàgina falsa, els atacants es queden amb les teves dades d'accés sense que te n'adonis.

També hi ha amenaces de malware especialitzat en robar contrasenyes, com a troians amb keyloggers que registren tot el que escrius, entre això les teves claus i noms d'usuari, o programes que extreuen contrasenyes guardades al navegador. Si el vostre dispositiu està infectat, els ciberdelinqüents poden recopilar totes les dades d'accés i provar-les en massa.

Una altra tècnica més avançada és el robatori de tokens d'accés. Quan inicies sessió en una app com Facebook o Instagram, es genera un “token” perquè no hagis d'escriure la contrasenya cada cop. Si un atacant aconsegueix aquest token (per una vulnerabilitat al servei, per extensions malicioses del navegador, etc.), pot accedir al teu compte encara que no conegui la teva clau.

Finalment, pot ser una cosa tan senzilla com haver iniciat sessió en un dispositiu aliè i no tancar sessió: un ordinador públic, el mòbil d'una altra persona o un equip que després has venut o regalat. La persona que tingui físicament aquest dispositiu podria accedir als teus comptes sense cap problema.

Compte: també hi ha falses alertes creades per ciberdelinqüents

No totes les notificacions “inici de sessió inusual” provenen realment de Google, Microsoft o la plataforma legítima. Molts atacants utilitzen correus i missatges que simulen aquestes alertes per portar-te a pàgines web de pesca i robar les teves credencials.

Aquests missatges solen imitar l'estil d'avisos oficials: inclouen textos del tipus “hem evitat un inici de sessió sospitós al teu compte”, logos molt semblants als reals, i fins i tot adreces de correu que, a primera vista, semblen autèntiques. La diferència està en petits detalls: dominis lleugerament canviats, faltes dortografia, enllaços que no porten al domini oficial, etc.

Un patró comú és que aquest missatge et demani que iniciïs sessió urgentment per comprovar la teva identitat o evitar que bloquegin el teu compte, i t'ofereixi un botó o un enllaç directe. Si prems i escrius el teu usuari i la teva contrasenya, estaràs lliurant les teves dades als atacants.

Per tant, sempre que rebis un avís d'activitat sospitosa, desconfia de qualsevol petició de dades personals, contrasenyes o codis que arribi per correu o SMS. Les empreses serioses no et demanen mai que enviïs la teva clau ni que la introdueixis en una pàgina que no sigui l'oficial.

Si sospiteu que un correu d'aquest tipus és fals, podeu obrir el vostre navegador i entrar manualment a la web o app oficial (per exemple, escrivint l'adreça de Google o Microsoft a la barra, sense fer servir l'enllaç del correu) per revisar des d'aquí si realment hi ha avisos de seguretat.

Com comprovar si l'inici de sessió sospitós ha estat teu

El primer que reps una alerta és confirmar la legitimitat de l'accés. Això passa per revisar tant l'activitat recent del compte com les accions que hagis fet tu en les darreres hores o dies.

Si fas servir un compte personal de Google, pots anar al teu Compte de Google i revisar l'apartat de seguretat. Al menú lateral, accediu a “Seguretat” i busqueu el panell “Activitats recents relacionades amb la seguretat” o “Els vostres dispositius”. Aquí veureu inicis de sessió recents, amb dades com el tipus de dispositiu, la ubicació aproximada i l'hora.

Google et permet fer clic a cada activitat per veure més detalls de l'inici de sessió. Si detectes ubicacions o equips que no et sonen, és un senyal clar que algú més hi ha accedit o ho ha intentat. En aquest cas, des d'aquest mateix panell pots prémer “Protegir el teu compte” i seguir l'assistent per canviar contrasenya i reforçar la seguretat.

Microsoft ofereix una cosa molt semblant mitjançant la pàgina de Activitat recent del vostre compte. Des d'allà pots confirmar si has estat tu o no a cada inici de sessió. A més, si indiqueu que un accés no us pertany, Microsoft pot bloquejar sessions sospitoses i ajudar-vos amb el procés de recuperació.

A les xarxes socials com Facebook o Instagram, el menú de configuració de seguretat acostuma a incloure opcions del tipus “On has iniciat sessió” o “Sessions actives”. En aquesta llista heu de comprovar dispositius, ubicacions i dates. Si no veieu res estrany, probablement l'alerta va ser una falsa alarma o un simple avís per un nou dispositiu.

Quan reviseu aquests registres i confirmeu que totes les sessions et pertanyen, podeu marcar l'activitat com a segura a la pròpia alerta (prement “Sí, he estat jo”, o similar) i seguir usant el teu compte amb normalitat, encara que sempre és recomanable activar mesures avançades com la verificació en dos passos.

Què cal fer si l'activitat NO és teva: passos immediats

En el moment que verifiquis que un accés no ho has fet tu, has de reaccionar amb rapidesa per minimitzar el dany. La prioritat és treure l'intrús del teu compte i tallar qualsevol possible via que tingui per tornar a entrar-hi.

El més urgent és canviar la contrasenya del compte afectat. Fes-ho sempre des de la pàgina oficial del servei, entrant pel teu compte i no des d'enllaços que t'hagin enviat per correu. Tria una clau robusta, llarga, que barregi lletres majúscules i minúscules, números i símbols, i que no hagis fet servir en cap altre lloc.

Després, convé tancar la sessió a tots els dispositius. Molts serveis permeten fer-ho d'un sol clic des de l'apartat de seguretat (per exemple, a Facebook podeu finalitzar totes les sessions remotes, mantenint només l'actual). En altres, com Instagram, hauràs de tancar manualment sessió a cada dispositiu llistat.

Revisa també els dades de recuperació del compte: número de telèfon, correu alternatiu i, en alguns casos, preguntes de seguretat. Si un atacant ha aconseguit entrar, és possible que aquesta informació hagi canviat per quedar-se amb el control a llarg termini. Si veus alguna cosa rara, torna a posar les teves dades correctes.

Finalment, inicia un procés de protecció guiada del compte si la plataforma ho ofereix (Google, Microsoft i moltes xarxes socials tenen assistents de seguretat que et porten per tots els punts crítics: dispositius, activitat d'inici de sessió, permisos d'aplicacions, contrasenyes, etc.).

Com actuar si ja no pots entrar al teu compte

En algunes ocasions, quan t'adones que hi ha hagut activitat sospitosa, l'atacant ja ha pres el control (per exemple ha canviat la contrasenya i t'ha deixat fora), o heu modificat el correu de recuperació perquè no us arribin els codis.

Si el vostre compte de Microsoft ha estat bloquejat o no recordeu la clau actual, podeu utilitzar l'eina oficial de ajuda d'inici de sessió. Des d'aquí, respons a preguntes de seguretat, confirmes la teva identitat per correu o SMS i segueixes els passos que et vagin indicant la plataforma per recuperar l'accés.

A les xarxes socials, gairebé totes ofereixen algun formulari de compte compromès. Et demanaran que indiquis un correu de contacte, facilitis captures (si en tens) o fins i tot un document d'identitat en casos extrems, per verificar que ets el legítim propietari.

Si malgrat tot no aconsegueixes recuperar el compte amb els passos automàtics, el que és recomanable és contactar directament amb el suport tècnic de la plataforma. Des de la secció d'ajuda podràs accedir a opcions com ara “No puc iniciar sessió” o “El meu compte ha estat hackejat”. Allí pots explicar el problema amb detall.

En el cas de serveis de correu crítics (per exemple, el compte associat a banca en línia o altres serveis sensibles), pot valdre la pena consultar també amb serveis especialitzats en ciberseguretat o línies dajuda oficials, que torientaran sobre què fer si sospites dun segrest greu de compte.

Què cal fer quan hi ha xantatge o esborrat d'informació

De vegades els atacants no es conformen amb l'accés al compte, sinó que passen a extorsionar-te o danyar la teva informació. Un cas típic és rebre correus (sovint en un altre idioma, com ara anglès) on afirmen que han entrat al teu compte, han esborrat els teus missatges o han descarregat les teves dades, i t'exigeixen un pagament per recuperar-los.

En aquest tipus de situacions, les recomanacions dels experts en ciberseguretat són molt clares: no cedir mai al xantatge. Pagar no garanteix absolutament res, només alimenta el negoci dels delinqüents i, a més, els pot animar a seguir pressionant-te amb noves amenaces.

Si sospites que han infectat el teu ordinador o mòbil, és fonamental instal·lar un antivirus actualitzat i executar una anàlisi completa. Això ajudarà a detectar troians, keyloggers o un altre tipus de codi maliciós que pugui haver facilitat el robatori de credencials o que segueixi actiu robant més dades.

També hauries revisar les aplicacions instal·lades i les descàrregues recents, desinstal·lant tot allò que no reconeguis o no utilitzis, i mantenint la resta sempre al dia amb les darreres actualitzacions de seguretat.

Si el comportament estrany persisteix i segueixes sospitant d'una infecció, pot ser una bona idea iniciar en mode segur o restaurar el dispositiu a valors de fàbrica, després de fer còpia de seguretat dels fitxers importants que vulguis conservar (i escanejar també aquesta còpia amb un antivirus fiable).

Un cop net l'equip, canvia de nou totes les teves contrasenyes importants (correu, xarxes socials, serveis financers, plataformes de compres…) usant claus fortes i diferents per a cada lloc, i activa el doble factor d'autenticació sempre que ho permeti el servei.

Com reduir al mínim les falses alertes i millorar la seguretat

Pot ser pesat rebre avisos cada cop que et connectes des d'un mòbil nou o quan viatges, però aquestes notificacions són una de les teves millors defenses. Tot i així, hi ha formes de reduir les falses alarmes sense perdre seguretat.

Una de les recomanacions que donen plataformes com Google és registrar els teus comptes a la verificació en dos passos. Quan un inici de sessió sigui legítim però des d'un dispositiu nou, podràs confirmar-ho ràpidament amb un codi al mòbil o mitjançant una app d'autenticació, i el sistema anirà “aprenent” quins dispositius són de confiança.

En organitzacions que usen Google Workspace o Microsoft 365, els administradors poden animar (o fins i tot obligar) que tots els usuaris tinguin autenticació de dos factors activa. Així, encara que arribin alertes per accessos inusuals, el risc que algú realment aconsegueixi entrar sense permís es redueix moltíssim.

A més, acostumar-te a revisar periòdicament l'activitat dels comptes (últims inicis de sessió, dispositius connectats, sessions obertes) farà que detectis de seguida un accés rar, fins i tot si la plataforma encara no ha llançat cap alerta automàtica.

Finalment, educar els usuaris (família, equip de treball, etc.) sobre com reconèixer avisos oficials i com distingir-los d'intents de pesca farà que tots estiguin menys exposats a notificacions falses que busquen robar contrasenyes.

Protegir-te dels atacs de pesca que imiten alertes de seguretat

Molts dels correus que aparenten ser una alerta de “inici de sessió sospitós” són en realitat atacs de pesca molt ben dissenyats que busquen just el contrari de protegir-te: robar les credencials d'accés.

Per defensar-te, acostuma't a mirar amb lupa el remitent real del missatge i conèixer els errors de ciberseguretat més comuns. De vegades només canvia una lletra del domini (per exemple, g00gle en comptes de google), o s'utilitzen subdominis rars que no pertanyen a l'empresa legítima. Si alguna cosa grinyola, no prems cap enllaç.

Revisa també el contingut del missatge: els ciberdelinqüents solen ficar-hi urgència i amenaces exagerades del tipus “si no fas clic als propers 10 minuts, perdràs el teu compte per sempre”. Els avisos oficials de seguretat no necessiten aquest dramatisme.

Quan rebis una alerta dubtosa, el més segur és obrir el teu navegador i anar tu mateix a la pàgina oficial, iniciant sessió de forma normal, sense fer servir l'enllaç del correu. Des del panell de seguretat podràs comprovar si hi ha realment avisos o activitat sospitosa.

Si confirmeu que un missatge és fraudulent, moltes plataformes de correu com Gmail permeten denunciar-ho com a phishing. Obris el missatge, polses al menú d'opcions (icona “Més”) i tries “Denunciar suplantació d'identitat”. Això fa que el sistema detecti i bloquegi campanyes similars en el futur.

Bones pràctiques diàries per blindar els comptes

Més enllà de reaccionar quan ja ha saltat una alerta, és clau incorporar certs hàbits que facin comptes molt més resistents a atacs i minimitzin l'impacte si algú aconsegueix robar una contrasenya.

La primera mesura és utilitzar contrasenyes robustes i úniques per a cada servei. Res de “123456”, dates d'aniversari o noms de mascotes repetits a tot arreu. Un gestor de contrasenyes pot generar claus complexes i desar-les per tu perquè no les hagis de recordar totes.

Activa sempre que puguis la autenticació en dos passos (2FA). Amb aquest sistema, encara que algú aconsegueixi la contrasenya, necessitarà a més un codi temporal enviat al teu mòbil o generat per una app d'autenticació, cosa que complica enormement que arribi a entrar.

Mantingues els teus dispositius protegits amb un antivirus fiable i actualitzat, i actualitza el sistema operatiu i les aplicacions amb regularitat. Moltes infeccions que roben contrasenyes aprofiten errors de seguretat ja coneguts, que es corregeixen precisament amb aquestes actualitzacions.

Finalment, acostuma't a revisar de tant en tant les aplicacions connectades i permisos concedits al vostre compte (per exemple, apps de tercers que accedeixen al vostre Google, Microsoft o xarxes socials). Si veus alguna que no recordes o que ja no fas servir, revoca l'accés.

Tenir clares les causes per les quals es generen les alertes d'inici de sessió sospitós, saber distingir un avís legítim d'un intent de phishing, reaccionar ràpid davant d'activitat que no reconeixes i aplicar mesures com a contrasenyes fortes, doble factor d'autenticació i revisions periòdiques de seguretat farà que els teus comptes en línia siguin molt seriós, puguis resoldre la situació amb calma i el menor impacte possible.