En una de las múltiples cuentas de Gmail de mi teléfono móvil, me di cuenta de que un correo electrónico saliente enviado mientras estaba fuera de casa (probablemente a través de 4G) se quedaba atascado en la bandeja de salida sin ser enviado. Al principio lo atribuí a problemas de cobertura de datos de telefonía móvil en la zona en la que me encontraba, pero incluso después de conectarme a WIFI no se envió.
Cuando intenté averiguar qué pasaba con esa cuenta, me pidió que la verificara y no reconoció la contraseña, teniendo que introducir una nueva después de escribir la que creía que seguía siendo válida para verificar mi titularidad de la cuenta. Después de eso todo fue bien hasta que volvió a ocurrir doce horas más tarde (y de nuevo, todo volvió a la normalidad tras cambiar la contraseña, que a estas alturas, he cambiado múltiples veces desde un PC para intentar evitar que me rastreen).
Ninguna de las interfaces parecía fuera de lo normal dentro de las rutinas estándar de Google. Las otras cuentas de correo electrónico funcionaron sin problemas en el mismo teléfono.
No uso la verificación en dos pasos para esta cuenta en particular.
Busqué cualquier POP o reenvío, u otras configuraciones de uso compartido que pudieran mostrar que la cuenta estaba comprometida, pero todo estaba bien. Y miré en la actividad de la cuenta, y todos los eventos de cambio de contraseña fueron hechos por mí.
Sólo había una cosa inesperada en la pestaña de Acceso: una dirección de fuera del estado que no podía identificar de forma inversa:
Móvil Estados Unidos (PA) (2600:1002:b117:ccd7:e506:e318:fc5c:a2cf)
No reconozco esta dirección, pero no parece que haya habido ningún cambio de contraseña realizado por esta dirección, y no se han enviado ni recibido correos electrónicos durante ese tiempo. Críticamente, no he recibido ninguna notificación de un nuevo dispositivo no reconocido que haya accedido a mi cuenta, y todos los dispositivos que aparecen como que han accedido a mi cuenta son míos (en una pestaña separada en la Configuración - no en la lista de actividad reciente, donde aparece esta dirección IP). En cuanto a la hora, podría haber accedido a la cuenta desde mi teléfono, y sólo desde mi teléfono, que aparece en otra parte pero no en esa entrada. Una opción es que la dirección IP cambia cuando no se utiliza la red doméstica WIFI - por lo que posiblemente era mi actividad usando los datos del celular. Pero eso no explica por qué se me pidió que introdujera una nueva contraseña.
He comprobado mi Android en busca de malware y no ha devuelto ninguna bandera.
¿Qué podría estar pasando? Si la cuenta fue comprometida, ¿cómo puedo probarlo y cómo puedo averiguar qué tipo de acceso pudo haber obtenido el intruso? ¿Y los pasos que he dado son suficientes?
