Los expertos dicen que ya es hora de que dejemos de confiar en las contraseñas

Las contraseñas más seguras y las políticas de contraseñas más estrictas no son de mucha utilidad cuando su proveedor de servicios en línea filtra sus credenciales debido a una mala configuración en sus servidores.

Si cree que tal eventualidad sería una rareza, sepa que muchos de los mayores fugas de datos en 2021 se debieron a errores técnicos de los proveedores de servicios. De hecho, en diciembre de 2021, los expertos en ciberseguridad ayudaron a corregir una configuración incorrecta en el segmento S3 de Amazon Web Services. propiedad de Sega, que contenía todo tipo de información confidencial, incluidas las contraseñas.

"El uso de contraseñas debería volverse obsoleto y deberíamos buscar diferentes formas de iniciar sesión en las cuentas", dijo el director ejecutivo del proveedor de seguridad Gurucul,

Saryu Nayyar, le dijo a Lifewire por correo electrónico.

El problema con las contraseñas

En diciembre, El sol informó que la Agencia Nacional contra el Crimen del Reino Unido (NCA) suministró más de 500 millones de contraseñas a los populares ¿Me han engañado? (HIBP), que había descubierto durante una investigación.

HIBP permite a los usuarios comprobar si sus contraseñas se han filtrado en una infracción y si son propensos al abuso por parte de piratas informáticos. Según el fundador de HIBP, Troy Hunt, más de 200 millones de las contraseñas proporcionadas por NCA no existía ya en la base de datos.

"Señala la magnitud del problema, el problema son las contraseñas, un método arcaico de demostrar la buena fe de uno. Si alguna vez hubo un llamado a la acción para trabajar en la eliminación de contraseñas y encontrar alternativas, entonces tiene que ser este ". Baber Amin, Director de operaciones de expertos en identidad digital, dijo Veridium a Lifewire por correo electrónico, en respuesta a la reciente contribución de la NCA a HIPB.

Amin agregó que las credenciales filtradas no solo comprometen las cuentas existentes, ya que los piratas informáticos ahora las usan con herramientas analíticas basadas en inteligencia artificial para identificar patrones de cómo un individuo crea contraseñas. En esencia, las credenciales filtradas también ponen en peligro la seguridad de otras cuentas no comprometidas.

Contraseñas y más

Abogando por un mejor mecanismo de protección que las contraseñas, Nayyar sugiere que los usuarios que tienen la opción de configurar la autenticación multifactor en sus cuentas deberían hacerlo.

Ron Bradley, El vicepresidente de evaluaciones compartidas, una organización de membresía que ayuda a desarrollar las mejores prácticas para la garantía de riesgos de terceros, está de acuerdo. "Active la autenticación multifactor en todos los lugares posibles, especialmente en las aplicaciones que mueven dinero".

Asegurar una cuenta solo con una contraseña se conoce como autenticación de factor único. La autenticación multifactor o MFA se basa en eso y protege las cuentas agregando un paso adicional en el proceso de inicio de sesión pidiendo a los usuarios otra información. Muchos servicios, incluidos varios bancos, implementan MFA enviando un código de verificación al número de teléfono móvil de un usuario registrado en el banco.

Sin embargo, este mecanismo de verificación es propenso a un mecanismo de ataque conocido como Ataque de intercambio de SIM, donde los atacantes toman el control del número de teléfono móvil de un objetivo engañando al operador del propietario para que reasigne el número a la tarjeta SIM del atacante.

Si bien reconoció un ataque de este tipo que se dirigió a algunos de sus clientes, T-Mobile dijo que los ataques de intercambio de SIM se han convertido en una ocurrencia común y en toda la industria.

En cambio, una mejor opción para habilitar MFA es usar aplicaciones como Duo Security, Google Authenticator, Authy, Microsoft Authenticator y otras aplicaciones MFA dedicadas.

Expansión de contraseñas

Sin embargo, todos los expertos en ciberseguridad con los que hablamos advirtieron que el uso de MFA no debería ser una excusa para no tomar las medidas adecuadas para proteger las contraseñas.

"Sea parte del uno por ciento que no tiene idea de cuál es su contraseña bancaria porque es demasiado larga y compleja", aconsejó Bradley.

Agrega que los usuarios deberían considerar invertir en un administrador de contraseñas cuando se trata de contraseñas. Si bien no hay escasez de administradores de contraseñas gratuitos, y también hay uno integrado en su navegador web, los expertos sugiera que un administrador de contraseñas gratuito es mejor que no tener uno, pero los usuarios deben tener cuidado al usar una.

Mientras investigando una infracción reciente de la red interna de una empresa, los investigadores de ciberseguridad de AhnLab descubrieron que la cuenta de VPN utilizada para entrar en la red de la empresa se filtró desde la PC de un empleado que trabajaba a distancia.

Esta PC estaba infectada con varios programas maliciosos, incluido uno diseñado específicamente para extraer contraseñas. de los administradores de contraseñas integrados en los navegadores web basados ​​en Chromium, como Google Chrome y Microsoft Borde.

"Aunque la función de almacenamiento de credenciales de cuenta de los navegadores es muy conveniente, ya que existe el riesgo de filtración de credenciales de la cuenta en caso de infección de malware, se recomienda a los usuarios que se abstengan de usarlo ", advierte el AhnLab investigadores.