Robo de credenciales: cómo suceden y qué medidas de seguridad hay que tomar

El robo de credenciales de acceso a diferentes páginas o apps ocurre por el uso de contraseñas inseguras, que se utilizan en diferentes cuentas. Estos datos muchas veces quedan expuestos a raíz de las filtraciones que surgen por la explotación de vulnerabilidades en diferentes plataformas.

Así, por ejemplo, si la combinación de usuario/contraseña se filtra por un ataque informático en algún sitio o aplicación, esa información puede ser utilizada por ciberdelincuentes para ingresar a otras plataformas donde ese usuario tiene cuentas. Se trata de ataques de credential stuffing, o relleno de credenciales, en los cuales los atacantes utilizan credenciales robadas para intentar ingresar a diferentes perfiles/cuentas de una persona, empresa u organismo.

Según un informe de la empresa de ciberseguridad y tecnología F5 sobre esta problemática, el 10 % de las personas aplica al menos una de las 25 contraseñas más utilizadas, como la palabra “contraseña” o “123456″. A la vez que el 25% de los usuarios reutilizan y reciclan sus credenciales en todas sus cuentas.

“Todos hemos comprado en algún establecimiento que ha sido hackeado. Es por esto que nuestra información, la de todos, ya está en mano de los delincuentes, pero sucede que aún no saben dónde aplicarla. Tienen cientos de millones de credenciales y de passwords pero -todavía- no saben cómo juntarlos”, menciona el VP de F5 Latam, Roberto Ricossa.

En los ataques de credential stuffing, los ciberdelincuentes obtienen las credenciales robadas que se venden en la dark web y luego utilizan bots que, de forma reiterada, buscan rellenar los campos de inicio de sesión de diferentes sitios web con dicha información.

Cuando el intento tiene éxito y si el usuario no tiene activado un segundo factor de autenticación, logran ingresar a la cuenta. En números concretos, este camino tiene un índice de éxito que ronda el 1-2%. Así un hacker puede adquirir un millón de credenciales robadas y piratear libremente entre 10.000 y 20.000 cuentas, se destaca en el mencionado informe.

Cómo saber si mi usuario y contraseña fue filtrada

Hay dos sitios que reúnen información sobre los reportes de hackeos que se saben e informan regularmente. Uno de ellos es Have I been pawned, desarrollado por el especialista en ciberseguridad Troy Hunt, que se hizo muy conocido cuando alertó tsobre una de las filtraciones de datos más grandes de los últimos tiempos: bases de datos con 773 millones de correos y 21 millones de contraseñas fueron publicadas en la web.

En aquel entonces, Hunt creó un sitio donde al ingresar tu correo (sólo el mail: no solicita contraseña y correspondería que lo hiciera) te va a indicar si tu mail aparece en alguna filtración reportada, te contará en cual o cuáles y te dirá qué tipo de información confidencial, además de tu correo figura en esa filtración. Puede ser que sea contraseña, teléfono o algún otro dato.

El sitio Firefox Monitor también utiliza esa misma base de información para informarle al usuario si su correo figura en alguna de las filtraciones masivas. La diferencia es que cuenta con una interfaz que puede resultar más amigable para el usuario. Pero en ambos casos se obtiene la misma información.

Cómo protegerse de este tipo de ataques

La primer mediada es generar contraseñas robustas, es decir que combinen letras, números y signos. Una opción puede ser utilizar las iniciales de alguna frase, una estrategia para que la combinación no sea tan evidente y por lo tanto, en principio, pueda ser más resistente a un ataque.

Otro punto importante es cambiar las claves con frecuencia (los gestores de contraseñas pueden ser aliados en este sentido) y no utilizar las mismas claves en todos los sitios. Porque, como ya se explicó, si se filtra la información de algún sitio hackeado y esa data puede ser luego empleada por los atacantes para ingresar en otros sitios vinculados al usuario.

Lo más importante es activar un segundo factor de autenticación en todas las plataformas que ofrezcan esta opción (en esta nota se explica, paso a paso cómo hacerlo), ya que de hacerlo, aún cuando el ciberatacante obtenga tu contraseña no podrá acceder a tu cuenta porque para hacerlo se le requerirá un token de activación que sólo estará en tu poder.

SEGUIR LEYENDO: