Un equipo especializado en proteger la información digital de la empresa CloudSEK identificó recientemente una falla de seguridad que permite ingresar a cuentas de Google sin necesidad de conocer sus contraseñas.
Esta debilidad en la seguridad se dio a conocer el 20 de octubre de 2023, a través de un canal de Telegram. Luego, esta falla fue incorporada a una herramienta de hacking conocida como Lumma Infostealer, la cual es utilizada por ciberdelincuentes para obtener información privada de manera ilegal.
El programa dañino utiliza pequeños archivos conocidos como cookies, que son generados por empresas distintas a la página principal que se visita, para entrar sin autorización a los datos del usuario. Esto permite a los atacantes seguir accediendo a la cuenta de Google del usuario, aún cuando cambie su contraseña.
El inconveniente surge porque las cookies de autenticación de Google facilitan que una persona pueda entrar a la cuenta y usar distintos servicios, sin tener que ingresar su nombre de usuario y contraseña todo el tiempo.
Los cibercriminales pueden tomar estas cookies para esquivar la capa adicional de seguridad conocida como autenticación de dos factores, que normalmente pide al usuario un segundo paso de verificación, como un código enviado al teléfono, para confirmar su identidad.
Google ya está tomando medidas para resolver este problema. Los responsables de Chrome, que es el navegador más utilizado en el mundo, señalaron que se han implementado acciones para proteger cualquier cuenta que se haya visto afectada por esta situación.
Google y CloudSEK ofrecen un consejo para protegerse: cambiar esas credenciales. Recomiendan que si se piensa que la cuenta podría estar en peligro, o como medida de protección habitual, se cierre la sesión en el navegador.
¿Qué significa esto? Que se deben invalidar los tokens de sesión, o “pases” digitales que permiten mantener a los usuarios conectados. Al cerrar la sesión, estos “pases” o tokens pierden su validez y se evita el acceso no autorizado.
Luego, indican que se debe cambiar la contraseña y volver a iniciar sesión para crear nuevos “pases” digitales, también conocidos como tokens.
Al modificar la contraseña, se impide cualquier acceso no autorizado, ya que los antiguos tokens, de los cuales dependen los ladrones de información, se anulan, creando una barrera esencial para detener el funcionamiento del método de ataque.
Asimismo, la empresa de información digital señaló que “se recomienda a los usuarios que comprueben periódicamente si hay sesiones desconocidas, cambien contraseñas y estén atentos al descargar software y archivos adjuntos desconocidos”.
Cada cuánto se deberían cambiar las contraseñas
Actualmente, las contraseñas son el método de seguridad más usado por los usuarios para proteger sus cuentas, por lo que si esa información cae en manos equivocadas perderemos el control de nuestras redes sociales, cuentas bancarias, correos electrónicos y demás.
Así que las recomendaciones de los expertos en ciberseguridad ya no apuntan a tener un periodo de tiempo definido para modificar la clave, sino a mejorar la construcción de la contraseña.
La reutilización de contraseñas, incluso en variantes cercanas, aumenta la vulnerabilidad. Los expertos advierten que si una contraseña se ve comprometida en un servicio, los ciberdelincuentes pueden adivinar fácilmente contraseñas similares en otros sitios, ya que está la costumbre de tener una sola clave para muchos perfiles.
Ante todo estos hábitos, empresas como Microsoft han optado por dejar de pedirle a los usuarios a que estén cambiando continuamente sus credenciales y, en cambio, la solución es tomarse el tiempo para crear contraseñas robustas que se puedan recordar.
Las recomendaciones de los expertos apuntan a conceptos concretos: claves largas, únicas y sin patrones reconocibles, como fechas de nacimiento o nombres propios.
La Oficina de Ciberseguridad del Internauta en España añade que deben tener al menos 8 caracteres, combinación de letras, números y caracteres especiales, uso de mayúsculas y minúsculas, evitando datos obvios y sin reutilizarlas en otros servicios.
Últimas Noticias
Cómo evitar que tu iPhone se degrade por cargarlo al 100%
Las nuevas funciones de Apple, como la carga optimizada y el consumo adaptativo, emplean inteligencia artificial para salvaguardar la vida útil de la batería
Controla lo que hacen tus hijos en YouTube y evita el apego con los videos cortos Shorts
La compañía implementa opciones avanzadas en Family Link y cuentas supervisadas de YouTube, facilitando la gestión del bienestar digital y el acceso seguro al contenido audiovisual
Instagram ahora es más “blindado” para tus hijos entre 13 y 17 años: guía de padres para controlar las cuentas
La red social de Meta trae funciones que incluyen cuentas privadas por defecto, restricciones en mensajes y contenido, límites de tiempo y opciones de supervisión parental para los tutores
MrBeast compra Step: el youtuber ahora es dueño de una app bancaria para la generación Z
El famoso youtuber quiere que adolescentes y jóvenes aprendan sobre inversiones, cómo construir historial crediticio y administrar su dinero
Dile adiós a ciberataques en lugares públicos: solo debes desactivar estas dos opciones en el teléfono
Las funciones inalámbricas que facilitan la vida diaria pueden ser la puerta de entrada a ataques como el Bluesnarfing o redes WiFi falsas, que exponen contraseñas y cuentas bancarias
