in

Los expertos dicen que ya es hora de que dejemos de depender de las contraseñas

GettyImages 1322160114 cba37bb9962746c7879cbee7c99c38a1

Conclusiones clave

  • Los expertos en ciberseguridad sugieren que las contraseñas, por sí solas, ya no deberían considerarse adecuadas para proteger las cuentas.
  • Los usuarios deben habilitar la autenticación multifactor (MFA) siempre que sea posible.
  • Sin embargo, MFA no debe usarse como excusa para crear contraseñas débiles.

Óscar Wong / Getty Images



Las contraseñas más seguras y las políticas de contraseñas más estrictas no sirven de mucho cuando su proveedor de servicios en línea filtra sus credenciales debido a una mala configuración en sus servidores.


Si cree que tal eventualidad sería una rareza, sepa que muchas de las mayores filtraciones de datos en 2021 se debieron a errores técnicos de los proveedores de servicios. De hecho, en diciembre de 2021, los expertos en seguridad cibernética ayudaron a tapar una configuración errónea de este tipo en el depósito S3 de Amazon Web Services propiedad de Sega, que contenía todo tipo de información confidencial, incluidas contraseñas.


«El uso de contraseñas debería volverse obsoleto y deberíamos buscar diferentes formas de iniciar sesión en las cuentas», dijo a Lifewire el director general del proveedor de seguridad Gurucul, Saryu Nayyar, por correo electrónico.



El problema con las contraseñas

En diciembre, The Sun informó que la Agencia Nacional contra el Crimen (NCA) del Reino Unido suministró más de 500 millones de contraseñas al popular servicio Have I Been Pwned (HIBP), que había descubierto durante una investigación.


HIBP permite a los usuarios verificar si sus contraseñas se han filtrado en una violación y son propensas al abuso por parte de piratas informáticos. Según el fundador de HIBP, Troy Hunt, más de 200 millones de las contraseñas proporcionadas por NCA aún no existían en la base de datos.


«Aunque la función de almacenamiento de credenciales de cuenta de los navegadores es muy conveniente… se recomienda a los usuarios que se abstengan de usarla».

«Apunta a la gran magnitud del problema, el problema son las contraseñas, un método arcaico para probar la buena fe de uno. Si alguna vez hubo un llamado a la acción para trabajar para eliminar las contraseñas y encontrar alternativas, entonces tiene que ser este», Baber. Amin, director de operaciones de expertos en identidad digital, Veridium le dijo a Lifewire por correo electrónico, en respuesta a la reciente contribución de la NCA a HIPB.


Amin agregó que las credenciales filtradas no solo comprometen las cuentas existentes, ya que los piratas informáticos ahora las usan con herramientas analíticas basadas en IA para identificar patrones de cómo un individuo crea contraseñas. En esencia, las credenciales filtradas también ponen en peligro la seguridad de otras cuentas no comprometidas.



Contraseñas y más

Al abogar por un mejor mecanismo de protección que las contraseñas, Nayyar sugiere que los usuarios que tienen la opción de configurar la autenticación de múltiples factores en sus cuentas deberían hacerlo.


Ron Bradley, vicepresidente de Shared Assessments, una organización de membresía que ayuda a desarrollar las mejores prácticas para la garantía de riesgos de terceros, está de acuerdo. «Active la autenticación multifactor siempre que sea posible, especialmente las aplicaciones que mueven dinero».


Proteger una cuenta solo con una contraseña se conoce como autenticación de un solo factor. La autenticación multifactor o MFA se basa en eso y protege las cuentas al agregar un paso adicional en el proceso de inicio de sesión al pedirles a los usuarios otra información. Muchos servicios, incluidos varios bancos, implementan MFA mediante el envío de un código de verificación al número de teléfono móvil de un usuario registrado en el banco.


Mark Kolpakov/Getty Images



Sin embargo, este mecanismo de verificación es propenso a un mecanismo de ataque conocido como ataque de intercambio de SIM, donde los atacantes toman el control del número de teléfono móvil de un objetivo al engañar al proveedor del propietario para que reasigne el número a la tarjeta SIM del atacante.


Si bien reconoció un ataque de este tipo dirigido a algunos de sus clientes, T-Mobile dijo que los ataques de intercambio de SIM se han convertido en algo común y en toda la industria.


En cambio, una mejor opción para habilitar MFA es usar aplicaciones como Duo Security, Google Authenticator, Authy, Microsoft Authenticator y otras aplicaciones MFA dedicadas.



Expansión de contraseñas

Sin embargo, todos los expertos en ciberseguridad con los que hablamos advirtieron que el uso de MFA no debería ser una excusa para no tomar las medidas adecuadas para proteger las contraseñas.


«Sé parte del uno por ciento que no tiene idea de cuál es su contraseña bancaria porque es demasiado larga y compleja», aconsejó Bradley.


Agrega que los usuarios deberían considerar invertir en un administrador de contraseñas cuando se trata de contraseñas. Si bien no hay escasez de administradores de contraseñas gratuitos, y también hay uno integrado en su navegador web, los expertos sugieren que un administrador de contraseñas gratuito es mejor que no tener uno, pero los usuarios deben tener cuidado al usarlo.


«Sé parte del uno por ciento que no tiene idea de cuál es su contraseña bancaria porque es demasiado larga y compleja».

Mientras investigaban una brecha reciente en la red interna de una empresa, los investigadores de seguridad cibernética de AhnLab descubrieron que la cuenta de VPN utilizada para ingresar a la red de la empresa se filtró desde la PC de un empleado que trabajaba a distancia.


Esta PC estaba infectada con varios programas maliciosos, incluido uno diseñado específicamente para extraer contraseñas de los administradores de contraseñas integrados en los navegadores web basados ​​en Chromium, como Google Chrome y Microsoft Edge.


«Aunque la función de almacenamiento de credenciales de cuenta de los navegadores es muy conveniente, ya que existe el riesgo de fuga de credenciales de cuenta tras una infección de malware, se recomienda a los usuarios que se abstengan de usarla», advierten los investigadores de AhnLab.

What do you think?

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

apple1 3edbd4b0edbd4ebda22709876eb72eed

La escapatoria de descuento de Apple Education ya no existe

samsungflex 343d75461eed4c81b6706f78ba3746cf

Samsung presenta un montón de nuevos dispositivos plegables