Meta, la empresa matriz de gigantes de las redes sociales como Facebook e Instagram, ha recibido otra multa en Europa. Esta vez, la sanción está relacionada con el mal manejo de datos confidenciales de los usuarios, específicamente contraseñas que se almacenaron sin las medidas de seguridad adecuadas. La Autoridad Irlandesa de Protección de Datos, que supervisa muchas grandes empresas tecnológicas estadounidenses debido a sus oficinas en Irlanda, ha multado a Meta con 91 millones de euros. La sanción se produce después de que la empresa admitiera haber guardado las contraseñas de los usuarios en texto plano, es decir, sin ningún tipo de capa de seguridad o código para protegerlas. El problema se encontró durante un control de seguridad en 2019, cuando Meta informó rápidamente a la Comisión Irlandesa de Protección de Datos (DPC) sobre el problema. A pesar de la rápida acción, la investigación sobre el problema tomó varios años y hoy Meta ha tenido que pagar por lo que el DPC llamó una negligencia grave de los datos de los usuarios. Noticias de la semana de Gizchina Por qué el texto sin formato es tan importante Las contraseñas en texto sin formato pueden representar un gran riesgo porque no están ocultas ni codificadas. Esto significa que si alguien tuviera acceso a los datos de Meta, podría ver y utilizar fácilmente las contraseñas de las personas. El subdirector de datos irlandés Graham Doyle dijo que es bien sabido que las contraseñas de los usuarios nunca deben almacenarse de esta manera. Esto se debe a los altos riesgos de abuso. Sin embargo, Meta ha declarado que no hay pruebas de que las contraseñas hayan sido robadas o utilizadas de manera inapropiada. Un portavoz de Meta confirmó que tan pronto como se encontró el error, tomaron medidas para solucionarlo. También trabajaron con la DPC durante toda la investigación para garantizar que no hubiera más riesgos. Las continuas batallas legales de Meta Meta no es ajena a las multas en Europa. La empresa ha sido sancionada por incumplimiento del Reglamento General de Protección de Datos (RGPD). El GDPR es un conjunto de reglas que la Unión Europea (UE) introdujo en 2018 para proteger la privacidad de los usuarios. En total, Meta ha sido multada con 2.500 millones de euros sólo por el DPC irlandés. Esto incluye una multa récord de 1.200 millones de euros, impuesta en 2023, que Meta todavía está apelando. A pesar de las multas y las luchas legales en curso, Meta sigue siendo una de las empresas de tecnología más destacadas a nivel mundial. Hay millones de usuarios que confían diariamente en sus plataformas. Descargo de responsabilidad: Es posible que algunas de las empresas de cuyos productos hablamos nos compensen, pero nuestros artículos y reseñas son siempre nuestras opiniones honestas. Para obtener más detalles, puede consultar nuestras pautas editoriales y conocer cómo utilizamos los enlaces de afiliados.
Etiqueta: Seguridad de contraseña
Las claves de acceso ofrecen un modo de autenticación resistente al phishing. Respaldadas por los gigantes tecnológicos Microsoft, Apple y Google, las claves de acceso aprovechan las credenciales cifradas almacenadas en un dispositivo digital o de hardware para sustituir las contraseñas y los métodos de autenticación multifactor más débiles, vectores principales de los ciberataques. A pesar de su crecimiento en APAC, la adopción de claves de acceso ha sido relativamente lenta en Australia. En el sector público, MyGov introdujo recientemente los inicios de sesión con clave de acceso para sus servicios en línea. En el sector bancario, la clave de acceso de un solo uso, o autenticación multifactor OTP, sigue siendo el método de autenticación de facto en el mercado australiano. Geoff Schomburgk, vicepresidente para Asia Pacífico y Japón en Yubico, que ofrece claves de acceso vinculadas al hardware, dijo que las barreras de adopción incluyen bajos niveles de madurez de ciberseguridad en el sector público, una preocupación por la experiencia del cliente en el sector bancario y percepciones injustificadas de que las implementaciones de claves de acceso son técnicamente complejas. La tecnología de claves de acceso y el producto YubiKey experimentan un crecimiento en APAC El negocio de Yubico despegó cuando trabajó con Google para integrar la criptografía de clave pública en YubiKeys y desarrollar un nuevo protocolo de autenticación. Con la decisión de Google de distribuir YubiKeys a todos los empleados, otras empresas tecnológicas globales siguieron su ejemplo, como Amazon, Facebook, Uber y Microsoft. Imagen: Geoff Schomburgk, vicepresidente para Asia Pacífico y Japón, Yubico «Casi todas las empresas tecnológicas globales las están utilizando a gran escala en sus negocios», dijo Schomburgk. En APAC, la subcontratación global está impulsando cierta adopción de YubiKeys en India y Filipinas. La adopción en Japón, el sudeste asiático, Singapur y Australia se está «acelerando», dijo Schomburgk, ya que organizaciones como Atlassian de Australia buscan los beneficios de seguridad mejorados sobre los métodos de autenticación heredados. VER: El qué, el cómo y el por qué de las claves de acceso Las grandes tecnológicas son las facilitadoras de la adopción más amplia de claves de acceso. En 2024, Microsoft lanzó la disponibilidad de claves de acceso de usuario en servicios como Bing, Microsoft 365 y Xbox.com, sumándose a marcas globales como Adobe, Amazon, Apple, Google, Hyatt, Nintendo, PayPal, PlayStation, Shopify y TikTok. Según la Alianza FIDO, la alianza industrial abierta que crea y promueve estándares abiertos para claves de acceso, el alcance de las claves de acceso se había expandido para abarcar 13 mil millones de cuentas en julio de 2024. Sin embargo, el uso de la tecnología de claves de acceso no ha crecido en Australia. Existe la expectativa de que la disponibilidad técnica de claves de acceso conduciría a la implementación y reemplazo de contraseñas antes para detener la epidemia de phishing, pero hasta ahora el progreso en Australia ha sido lento. La adopción de claves de acceso gubernamentales impulsada por la madurez de la ciberseguridad MyGov fue uno de los primeros servicios gubernamentales digitales del mundo en implementar una opción de clave de acceso para los usuarios. Como portal central para los servicios gubernamentales en Australia, la medida fue un paso crítico para generar conciencia sobre las claves de acceso. La medida también está en línea con la Estrategia de Ciberseguridad de Australia 2023-2030. El gobierno dijo que tuvo un buen comienzo temprano, con 20.000 claves de acceso configuradas en una semana. Otras agencias tienen trabajo por hacer. Las contraseñas resistentes al phishing ahora son obligatorias en el Nivel de madurez 2 del marco de ciberseguridad Essential Eight de Australia, luego de las actualizaciones en noviembre de 2023 para combatir las implementaciones de MFA más débiles que son susceptibles a ataques de phishing o ingeniería social en tiempo real. Pero el informe más reciente de la Postura de Ciberseguridad de la Commonwealth en noviembre de 2023 encontró que solo el 25% de las agencias estaban a la altura del Nivel de madurez 2, aunque esto fue una mejora con respecto a solo el 19% en 2022. Schomburgk explicó que la madurez de la ciberseguridad en el sector público varía en los tres niveles de gobierno, y las agencias del gobierno federal lideran el grupo. Los gobiernos locales, que tienden a ser más pequeños y más autónomos, dependen más de los nombres de usuario y las contraseñas sin un MFA más fuerte. Más cobertura de Australia El MFA interno del sector bancario lidera la oferta al consumidor El sector bancario en Australia está avanzado en sus esfuerzos de ciberseguridad, pero aún no ha dado un salto colectivo hacia las claves de acceso para la autenticación de clientes. El sector todavía depende de las contraseñas de un solo uso, una forma de MFA que, aunque es más eficaz que las contraseñas por sí solas, sigue siendo vulnerable al phishing. Una notable excepción es el banco digital Ubank, que lanzó las claves de acceso en agosto de 2024. El banco citó los 2.700 millones de dólares que los australianos perdieron por estafas en 2023 como motivo de su decisión y dijo que las claves de acceso harían «más difícil para los delincuentes acceder a las cuentas utilizando nombres de usuario y contraseñas robados». VER: 5 beneficios de la autenticación sin contraseña Schomburgk dijo que los bancos generalmente están avanzados en la implementación de alguna forma de MFA internamente para su personal. Sin embargo, también existe una creciente comprensión de que la MFA debe ser resistente al phishing para alcanzar un mayor nivel de madurez de seguridad. Yubico está trabajando en los próximos pasos con algunos de los principales bancos australianos. Barreras para adoptar e implementar claves de acceso Las agencias gubernamentales y los bancos deben superar algunas barreras para implementar claves de acceso. Complejidad y conveniencia percibidas: La percepción de que las claves de acceso y las claves de seguridad físicas como YubiKeys son más complejas y menos convenientes en comparación con los métodos de autenticación tradicionales. Gestión de cambios: los líderes de TI y seguridad que implementan claves de acceso deben adaptarse al cambio organizacional, lo que a menudo genera resistencia de los empleados. Educación y concienciación del usuario: es necesario educar a los usuarios sobre los beneficios y la conveniencia de las claves de acceso, incluido el hecho de que son más seguras y convenientes que los métodos de autenticación heredados. Integración con sistemas heredados: en la banca, la integración del soporte de claves de acceso en las plataformas y aplicaciones en línea existentes puede parecer un desafío técnico, ya que muchas se han desarrollado de forma independiente. Experiencia del cliente: los bancos son muy sensibles a la experiencia del cliente, con cierta reticencia a implementar nuevos requisitos de autenticación cuando los clientes están conformes con los procesos existentes. Cómo implementar claves de acceso de manera efectiva Schomburgk dijo que las organizaciones que introducen claves de acceso deben: No dejarse disuadir por las barreras percibidas Las barreras percibidas para implementar claves de acceso a menudo son mayores que los desafíos técnicos reales, según Schomburgk. Alentó a las organizaciones a no contenerse y preocuparse por problemas potenciales. En cambio, deben «comenzar el viaje», y las soluciones técnicas se harán evidentes. Centrarse en los beneficios Los beneficios de las claves de acceso, incluida la seguridad y la conveniencia mejoradas para empleados y clientes, a menudo superan las barreras percibidas. Schomburgk sostiene que una vez que las organizaciones comiencen a implementar claves de acceso, descubrirán que los beneficios pueden acelerar la adopción. Priorizar la educación y la concienciación Educar tanto al personal de TI como a los usuarios finales sobre las ventajas de las claves de acceso sobre los métodos de autenticación tradicionales es importante. La comunicación y la educación continuas, tanto a nivel interno como con el público en general, ayudarán a impulsar una adopción más amplia con el tiempo. Comience de a poco y gane impulso La familiarización con la tecnología y los beneficios puede generar una adopción más generalizada. A medida que agencias como MyGov sigan promoviendo las claves de acceso, y el uso de claves de acceso o autenticadores vinculados al hardware como YubiKeys crezca en las empresas, es probable que los primeros usuarios alienten a otros usuarios a adoptar las claves de acceso.
Piensa en la 2FA como una puerta doble para tus cuentas en línea. Incluso si un hacker adivina tu contraseña (la primera puerta), no podrá entrar porque la 2FA envía un código especial a tu teléfono o una clave de seguridad (como una YubiKey) para verificar que eres tú quien realmente intenta iniciar sesión (la segunda puerta). Este código cambia cada vez que inicias sesión, por lo que es súper seguro. Esta es la mejor parte: ¡muchos sitios web y aplicaciones ofrecen 2FA! Busca la opción en la configuración de tu cuenta y actívala cuando la veas. Es un paso simple que puede marcar una gran diferencia. Consejo adicional: si puedes, elige una llave de hardware como una YubiKey en lugar de recibir el código por correo electrónico. Los piratas informáticos a veces pueden entrar en las cuentas de correo electrónico, pero una llave física es mucho más difícil de robar. Cambiar las contraseñas y habilitar la 2FA son excelentes primeros pasos, pero hay otra herramienta que puede ayudarte a administrar todo esto: un administrador de contraseñas. Imagina tener una bóveda súper segura para todas tus contraseñas, donde puedes almacenar, actualizar e incluso crear contraseñas seguras fácilmente. ¡Eso es lo que hace un administrador de contraseñas! Hay muchas opciones gratuitas y confiables disponibles, como KeePass XC. Con un administrador de contraseñas, solo necesita recordar una contraseña maestra segura para acceder a todas sus otras contraseñas. Además, pueden ayudarlo a crear contraseñas súper seguras y únicas para cada sitio web, lo que hace que sea aún más difícil para los piratas informáticos descifrarlas. ¡Por lo tanto, considere usar un administrador de contraseñas! Es una forma conveniente y segura de mantener sus cuentas en línea seguras.