Un papá llegó a uno de mis talleres con algo que no olvidé: su hijo había llegado a casa llorando porque alguien entró a su cuenta de Roblox y gastó todos los Robux acumulados en meses de juego. Para el niño fue un desastre. Para el papá, fue una clase gratis en ciberseguridad familiar.
Lo primero que le pregunté fue: "¿Sabes cuál era la contraseña de Roblox de tu hijo?" Me la dijo. Luego: "¿La usaba en algún otro lado?" Se quedó callado. La usaba en cinco cosas, incluyendo el correo de Gmail del niño.
Así funciona la cadena más común de hackeos de cuentas de menores: no hay que ser un hacker sofisticado. Solo hay que obtener una contraseña de alguna app con seguridad menor y luego probarla en todo lo demás. A eso se le llama credential stuffing, y es el ataque más común contra cuentas de adolescentes.
El problema de la contraseña única — con datos
Un estudio de NordPass de 2024 encontró que más de la mitad de los adolescentes usa la misma contraseña en más de tres servicios distintos. Puedes verificar hoy mismo si el correo de tu hijo apareció en una filtración de datos en Have I Been Pwned (haveibeenpwned.com). Es gratuito y el resultado llega al instante.
La brecha que más afecta a gamers: Roblox, Minecraft y varios foros de gaming han sufrido brechas de datos documentadas. No es cuestión de si pasa — es cuestión de cuándo. Y cuando pasa, las contraseñas reutilizadas quedan expuestas en todas las plataformas donde se usan.
El phishing que se dirige específicamente a gamers
Un papá en un taller de Monterrey me contó que su hijo recibió un mensaje por Discord: "entra aquí para conseguir 10,000 Robux gratis, yo ya los reclamé". El link llevaba a una copia perfecta de la página de login de Roblox.
| # | Señal de alerta en un link o mensaje |
|---|---|
| 1 | "Robux gratis", "V-Bucks gratis", "Skins gratis" — ningún juego legítimo da items gratis por un link externo |
| 2 | La URL no es el sitio oficial: "roblox-free-robux.com" no es Roblox |
| 3 | Te pide que "inicies sesión" en una página que luce igual a la original — eso es una copia falsa |
| 4 | Te pide descargar un archivo o extensión del navegador |
| 5 | El mensaje llegó por Discord, TikTok DM o WhatsApp de alguien que no conoces bien |
La contraseña-frase — la técnica que sí funciona
La CISA recomienda la contraseña-frase: una oración corta y memorable que combina palabras al azar. Ejemplo: "MiPerro#LluviaToalla24" es más segura que "X#k9!mQ2" porque es más larga, pero tu hijo puede recordarla.
2FA: el candado extra. La autenticación en dos pasos hace que el acceso no autorizado sea prácticamente imposible aunque alguien tenga la contraseña. Cómo activarla en Roblox: Configuración → Seguridad → Autenticación en dos pasos. En Gmail: myaccount.google.com → Seguridad → Verificación en dos pasos.
El plan en 30 minutos
Paso 1: Entra con los papás del taller a Have I Been Pwned con el correo principal de su hijo. Si aparece en alguna brecha, cambia esa contraseña hoy.
Paso 2: Identifica las tres apps más importantes y establecen una contraseña-frase diferente para cada una.
Paso 3: Activa 2FA en el correo. Esa sola acción protege todo lo demás.
Paso 4: Acuerden una regla: ningún link de "items gratis" se abre nunca, sin importar quién lo mande.
