Mundo

Esta violación masiva de datos muestra por qué necesitamos matar la contraseña de una vez por todas

Photo of Godfred Prado Godfred Prado Send an email Hace 8 horas
0 0 6 minutos de lectura

Las contraseñas son un elemento básico tanto de Internet como de la computación en general. A pesar de que han surgido nuevos protocolos de autenticación, desde las veras pasas hasta la biometría, la mayoría de nosotros usamos contraseñas para iniciar sesión en nuestras cuentas y sitios web diarios utilizando un código compuesto por letras, números y símbolos.

El problema es que la contraseña era realmente un producto de su tiempo, y realmente no pertenece a la era digital moderna. Las amenazas de ciberseguridad han evolucionado mucho más allá de la capacidad de una contraseña para proteger de ellas que en realidad se han convertido en una responsabilidad, incluso cuando sigue las mejores prácticas para crearlas y mantenerlas seguras. Caso en cuestión: noticias de la última violación de datos, una de las más grandes de la historia, en la que los investigadores descubrieron no millones, sino también miles de millones de contraseñas flotando en la web.

Dieciséis mil millones de contraseñas filtradas en Internet

CyberNews rompió la historia el viernes: Este año, los investigadores del outlet encontraron 30 conjuntos de datos expuestos en Internet, cada uno de los cuales contiene desde «decenas de millones hasta más de 3.5 mil millones de registros». Según los investigadores, han encontrado un colectivo de 16 mil millones de contraseñas filtradas en la web.

Además, estas contraseñas están recién filtradas. Ninguno de ellos se ha informado en violaciones de datos anteriores, salvo para Aproximadamente 180 millones de contraseñas que se encuentran en una base de datos sin protección en mayo. Los investigadores dicen que continúan encontrando nuevos conjuntos de datos «masivos» cada pocas semanas, por lo que los descubrimientos no muestran signos de desaceleración.

Según los investigadores, la forma en que se estructuraron los datos sugieren fuertemente que las credenciales filtradas fueron robadas a través de InfoTrealers, un tipo de malware que raspa sus dispositivos solo para este tipo de información. Los malos actores pudieron obtener los detalles de inicio de sesión para las principales cuentas, incluidas Apple, Google, Github, Facebook, Telegram y los servicios gubernamentales. Como CyberNews deja en claro, esto no significa que esas compañías sufrieran violaciones de datos por sí mismas; Más bien, la base de datos contenía URL de inicio de sesión para las páginas de inicio de sesión de estas compañías que fueron raspadas de dispositivos individuales, probablemente usando malware.

Algunas credenciales también contenían datos adicionales aparte de los nombres de usuario y las contraseñas, incluidas las cookies y los tokens de sesión. Eso significa que es posible que esta información pueda usarse para evitar la autenticación de dos factores (2FA) para ciertas cuentas, especialmente aquellas que no restablecen las cookies después de cambiar su contraseña.

Si hay un lado positivo en esta historia, es el hecho de que las 16 mil millones de contraseñas filtradas no representan 16 mil millones de registros individuales; Hay cierta superposición, aunque no está claro cuánto: si bien es seguro decir que menos de 16 mil millones de cuentas individuales se vieron afectadas por estas infracciones, también es difícil saber el número exacto.

¿Qué pueden hacer los malos actores con estos datos?

En primer lugar, si sus cuentas solo están protegidas por una contraseña, y no ha cambiado su contraseña recientemente, un mal actor podría usar esta base de datos de contraseña filtrada para acceder a su cuenta.

Pero las implicaciones van más allá de eso. Como se indicó anteriormente, las cookies filtradas y los tokens de sesión podrían usarse para dividirse en cuentas con 2FA más débiles. Si su cuenta no restablece las cookies después de cambiar su contraseña, es posible que pueda engañar al sistema 2FA para que piense que han proporcionado el código o credencial 2FA adecuado. También pueden usar esta información en esquemas de phishing: los piratas informáticos pueden usar su contraseña para activar una generación de código 2FA. Cuando el código llega de su parte, pueden intentar engañarlo para que lo entregue, potencialmente haciéndose pasar por la compañía detrás de la cuenta en cuestión. Si envía el código, y cuando se accedan a su cuenta.

Por qué es hora de dejar de usar contraseñas por completo

Este nivel de violación de datos sofisticada (y de rutina) no era una cosa cuando la contraseña entró en uso popular como la herramienta de seguridad digital principal. Durante años, los expertos en tecnología y ciberseguridad han predicado la importancia de utilizar una combinación de contraseñas fuertes y únicas, herramientas de administrador de contraseñas y 2FA para mantener sus cuentas seguras y seguras. Todos siguen siendo importantes hoy, pero cuando existe malware que puede raspar sus credenciales directamente de sus dispositivos, esas tácticas ya no parecen tan a prueba de balas.

El hecho es que un sistema de seguridad que se basa en algo que puede ser robado no es un sistema seguro en 2025. Las cosas deben cambiar, y afortunadamente, lo son.

Passkeys son mucho más seguros

En el futuro, es hora de tomar sencillo mucho más en serio. Passkeys, a diferencia de las contraseñas, no corren el riesgo de robo, ni los malos actores pueden engañarlo para que les envíe su clave de passación. La tecnología está vinculada a un dispositivo que posee personalmente, como un teléfono inteligente, y se bloquea detrás de una fuerte autenticación. Sin un escaneo facial, un escaneo de huellas digitales o una entrada de pin en dicho dispositivo personal, nadie está entrando en su cuenta.

¿Qué piensas hasta ahora?

Passkeeys se combinan con las mejores partes de ambas contraseñas y 2FA: son convenientes, ya que se autentica rápidamente con su teléfono inteligente (como el enfoque automático con un administrador de contraseñas), pero también requieren que ese dispositivo personal esté en su posesión para acceder a la cuenta, similar a la forma en que necesita un método de autenticación secundaria para iniciar sesión con 2FA.

Cada vez más empresas están comenzando a adoptar Keeyskeys como una forma de autenticación, incluida Manzana, Google, Facebook, Microsofty incógnita. Si alguna de sus cuentas admite PassKeys, le sugiero que los configure. De esa manera, cuando ocurra la próxima violación de datos inevitable, estará protegido.

Qué hacer para las cuentas que no aceptan Keeys

Por supuesto, no todas las cuentas pueden usar PassKeys en este momento. En esos casos, necesitará apuntalar la seguridad de su contraseña lo mejor que pueda.

Primero, asegúrese de que cada una de sus cuentas tenga una contraseña que sea fuerte y única. Eso significa algo que no puede ser fácilmente adivinado por un humano o una computadora, así como algo que no ha utilizado para ninguna otra cuenta antes. Mientras No necesita cambiar sus contraseñas con tanta frecuencia Como sugirió el consejo de seguridad tradicional, dadas las noticias, es posible que desee actualizar sus contraseñas, por si acaso.

Es imposible recordar todas esas contraseñas fuertes y únicas, que es donde entra un buen administrador de contraseñas. Estos servicios usan un cifrado fuerte para proteger su base de datos de contraseñas, todo lo que necesita recordar es la única contraseña fuerte y única que utiliza para acceder al administrador de contraseñas, y la aplicación puede recordar el descanso. Algunos de estos servicios también vienen con otras herramientas, como la generación de código de autenticador, por lo que vale la pena la inversión. PCMAG tiene una lista de los mejores administradores de contraseñas para 2025Si está buscando recomendaciones probadas a mano.

Hablando de autenticadores, configure 2FA para cada cuenta que la respalde, que, en este momento, debería ser la mayoría de ellos. Si bien los Passkeys son la forma más fuerte de autenticación, 2FA todavía está reforzando su seguridad en caso de que se filtre su contraseña. Sin el código o una herramienta de autenticador, como una clave de seguridad, los malos actores no podrán acceder a su cuenta, incluso con su contraseña en la mano.

Finalmente, con más sitios web y compañías que agregan soporte para PassKeys todo el tiempo (incluyendo, a principios de esta semana, Facebook), siga observando sus cuentas para la opción y realice el interruptor tan pronto como pueda. Mantente a salvo afuera.



Source link

Photo of Godfred Prado Godfred Prado Send an email Hace 8 horas
0 0 6 minutos de lectura
Photo of Godfred Prado

Godfred Prado

Publicaciones relacionadas

Las nuevas gafas inteligentes con meta Ai de Oakley se ven resbaladizas

Hace 6 horas

Tres lugares que escondí mi Merach Minypper en mi pequeño apartamento (y tres que fallaron)

Hace 9 horas

Ocho mitos de mantenimiento del hogar debes dejar de creer

Hace 10 horas

Probé la función de conversación de Google para el modo AI, y no estoy seguro de para quién es

Hace 11 horas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba