Las filtraciones de contraseñas son cada vez más comunes y descubrir si las claves de tu propio reino han quedado expuestas puede ser complicado, a menos que sepas dónde buscar. 03 de junio de 2024 •, 6 min. leer Recientemente, me encontré con un informe que detalla “la madre de todas las filtraciones” – o para ser más exactos, la filtración de una vasta recopilación de datos que fueron robados durante una serie de ataques a varias empresas y servicios en línea, incluidos LinkedIn y Twitter. (ahora X). Según se informa, el caché de datos comprendía la asombrosa cantidad de 26 mil millones de registros que estaban repletos de una variedad de información confidencial, incluidos datos gubernamentales y credenciales de inicio de sesión de las personas. Si bien esta no es la primera vez que una gran cantidad de datos de usuarios está disponible, la gran cantidad de registros comprometidos eclipsó las filtraciones conocidas anteriores (y sus compilaciones). Basta considerar que la infame filtración de datos de Cam4 en 2020 expuso cerca de 11 mil millones de registros de diversos tipos y la filtración en Yahoo en 2013 comprometió las tres mil millones de cuentas de usuarios. No lo olvidemos: la Colección No. 1, acertadamente llamada, que llegó a Internet abierta en 2019, expuso 773 millones de nombres de usuario y contraseñas previamente robados de varias organizaciones, antes de ser seguida por cuatro “colecciones” más de este tipo apenas unas semanas después. . ¿Dónde nos deja eso? Quizás la conclusión clave es que incluso si aplica estrictas medidas de seguridad personal, las credenciales de su cuenta aún pueden quedar atrapadas en dichas recopilaciones, principalmente debido a infracciones en grandes empresas. Esto plantea la pregunta: ¿cómo puede saber si sus credenciales se han visto comprometidas? Sigue leyendo. Divulgaciones de la empresa Las empresas pueden estar sujetas a requisitos regulatorios específicos que las obliguen a revelar incidentes de piratería informática y vulnerabilidades sin parches. En Estados Unidos, por ejemplo, las empresas que cotizan en bolsa deben informar los incidentes cibernéticos “materiales” a la Comisión de Bolsa y Valores de Estados Unidos (SEC) dentro de las 96 horas, o cuatro días hábiles, de su ocurrencia. ¿Cómo ayuda esto a la gente común y corriente? Esta transparencia no sólo puede ayudar a generar confianza con los clientes, sino que también les informa si sus cuentas o datos se han visto comprometidos. Las empresas generalmente notifican a los usuarios sobre violaciones de datos por correo electrónico, pero dado que los documentos presentados ante la SEC son públicos, usted puede enterarse de dichos incidentes a través de otras fuentes, posiblemente incluso de informes de noticias que los cubran. ¿Me han engañado? Quizás la forma más sencilla de comprobar si algunos de sus datos, como su dirección de correo electrónico o alguna de sus contraseñas, han quedado expuestos en una filtración de datos es visitar haveibeenpwned.com. El sitio cuenta con una herramienta gratuita que puede indicarle cuándo y dónde aparecieron sus datos. Tanto los correos electrónicos como las contraseñas se pueden consultar en haveibeenpwned.com mediante una simple consulta de búsqueda. Simplemente ingrese su dirección de correo electrónico, haga clic en «pwned?» ¡y voilá! Aparecerá un mensaje informándole sobre el estado de seguridad de sus credenciales, así como la filtración exacta en la que quedaron atrapadas. Para aquellos que tengan suerte, el resultado será verde, lo que indica que no hay pwnage, y para aquellos menos afortunados, el sitio se vuelve rojo y enumera en qué fugas de datos aparecieron sus credenciales. Navegadores web Algunos navegadores web, incluidos Google Chrome y Firefox, pueden verificar si sus contraseñas se han incluido en alguna filtración de datos conocida. Chrome también puede recomendar contraseñas más seguras a través de su módulo de administrador de contraseñas u ofrecer otras funciones para mejorar la seguridad de su contraseña. El administrador de contraseñas de Chrome puede resultar muy útil para descubrir si sus datos se han filtrado públicamente. Sin embargo, es posible que desee mejorar aún más su juego y utilizar un administrador de contraseñas dedicado que tenga un historial comprobado de tomarse en serio la seguridad de los datos, incluso mediante un cifrado sólido. Estas herramientas también suelen venir acompañadas de software de seguridad multicapa de buena reputación. Administradores de contraseñas Los administradores de contraseñas son invaluables cuando se trata de hacer malabarismos con una gran colección de credenciales de inicio de sesión, ya que no sólo pueden almacenarlas de forma segura, sino que también pueden generar contraseñas complejas y únicas para cada una de sus cuentas en línea. Sin embargo, no hace falta decir que necesitas usar una contraseña maestra segura pero fácil de recordar que contenga las llaves de tu reino. Por otro lado, estas bóvedas de contraseñas no son inmunes al riesgo y siguen siendo objetivos atractivos para actores maliciosos, por ejemplo, como resultado de ataques de relleno de credenciales o ataques que explotan vulnerabilidades de software. Aun así, los beneficios, que incluyen comprobaciones integradas de contraseñas filtradas y la integración con esquemas de autenticación de dos factores (2FA) que están disponibles en muchas plataformas en línea hoy en día, superan los riesgos. ¿Cómo prevenir (el impacto de) las fugas de credenciales? Ahora bien, ¿qué pasa con la prevención de fugas en primer lugar? ¿Puede un usuario medio de Internet protegerse contra la fuga de credenciales? ¿Si es así, cómo? De hecho, ¿cómo puedes mantener tus cuentas seguras? En primer lugar, y no podemos enfatizar esto lo suficiente, no confíe únicamente en las contraseñas. En su lugar, asegúrese de que sus cuentas estén protegidas por dos formas de identificación. Para ello, utilice la autenticación de dos factores (2FA) en cada servicio que la permita, idealmente en forma de una clave de seguridad dedicada para 2FA o una aplicación de autenticación como Microsoft Authenticator o Google Authenticator. Esto hará que sea mucho más difícil para los atacantes obtener acceso no autorizado a sus cuentas, incluso si de alguna manera han conseguido sus contraseñas. Lectura relacionada: Microsoft: el 99,9 por ciento de las cuentas pirateadas no utilizaban MFA. En cuanto a la seguridad de las contraseñas como tal, evite escribir sus inicios de sesión en papel o almacenarlos en una aplicación para tomar notas. También es mejor evitar almacenar las credenciales de su cuenta en navegadores web, que generalmente solo las almacenan como archivos de texto simples, lo que las hace vulnerables a la filtración de datos por parte de malware. Otros consejos básicos de seguridad de cuentas implican el uso de contraseñas seguras, que dificultan que los delincuentes cometan ataques de fuerza bruta. Manténgase alejado de contraseñas simples y cortas, como una palabra y un número. En caso de duda, utilice esta herramienta de ESET para generar sus contraseñas o haga que verifique la seguridad de sus propias contraseñas. Lectura relacionada: ¿Con qué frecuencia debes cambiar tus contraseñas? También es una buena práctica utilizar frases de contraseña, que pueden ser más seguras y fáciles de recordar. En lugar de combinaciones aleatorias de letras y símbolos, comprenden una serie de palabras salpicadas de mayúsculas y posiblemente caracteres especiales. Del mismo modo, utilice una contraseña diferente para cada una de sus cuentas para evitar ataques como el relleno de credenciales, que aprovecha la tendencia de las personas a reutilizar las mismas credenciales en múltiples servicios en línea. Un enfoque más nuevo de autenticación se basa en inicios de sesión sin contraseña, como claves de acceso, y también existen otros métodos de inicio de sesión como tokens de seguridad, códigos de un solo uso o datos biométricos para verificar la propiedad de la cuenta en múltiples dispositivos y sistemas. Prevención por parte de la empresa Las empresas necesitan invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir violaciones e incidentes de seguridad. Además, las organizaciones deben reducir de manera proactiva su superficie de ataque y reaccionar tan pronto como se detecte algo sospechoso. La gestión de vulnerabilidades también es crucial, ya que estar al tanto de las vulnerabilidades conocidas del software y corregirlas de manera oportuna ayuda a prevenir la explotación por parte de los ciberdelincuentes. Mientras tanto, el siempre presente factor humano también puede desencadenar un compromiso, por ejemplo, después de que un empleado abre un archivo adjunto de correo electrónico sospechoso o hace clic en un enlace. Es por eso que no se puede subestimar la importancia de la capacitación en concientización sobre ciberseguridad y la seguridad de los terminales/correo. Lectura relacionada: Fortalecimiento del eslabón más débil: los 3 principales temas de concientización sobre seguridad para sus empleados Cualquier empresa que aborde seriamente la seguridad de los datos también debería considerar una solución de prevención de pérdida de datos (DLP) e implementar una política sólida de respaldo. Además, el manejo de grandes volúmenes de datos de clientes y empleados requiere prácticas de cifrado estrictas. El cifrado local de credenciales puede salvaguardar estos datos confidenciales, lo que dificulta que los atacantes exploten la información robada sin acceso a las claves de cifrado correspondientes. En definitiva, no existe una solución única para todos y cada empresa necesita adaptar su estrategia de seguridad de datos a sus necesidades específicas y adaptarse al panorama de amenazas en evolución. Sin embargo, una combinación de mejores prácticas de ciberseguridad contribuirá en gran medida a prevenir violaciones y filtraciones de datos.