El pasado mes de junio se dio a conocer en foros de la Dark Web la existencia de un archivo TXT con poco más de 8.400 millones de contraseñas filtradas denominado RockYou2021. Han pasado 4 meses de la publicación de esta vulnerabilidad, es posible que aún no estés al corriente de ese hecho, o que estés al corriente pero sencillamente lo hayas desestimado. Hoy nos vamos a enfocar en entender su relevancia y la manera en que individualmente podemos crear una red menos vulnerable.
Sabemos que las contraseñas suelen ser el talón de Aquiles de los sistemas informáticos. Muchas personas no comprenden la importancia de la gestión correcta de las passwords e incluso no comprenden lo que una filtración como esta puede afectar al mundo entero. A 4 meses de esta noticia y ante la llegada de octubre que es el mes de la ciberseguridad, es momento de analizar la forma en que asumimos de manera individual nuestra responsabilidad con la seguridad digital de nuestros entornos.
Por dónde empezar a actuar ante el RockYou2021
Ya el daño está hecho, lo primero es saber si nuestras contraseñas y usuarios están en el fichero TXT. ¿Por qué esto es importante? Existen programas que se encargan de forzar de manera bruta el acceso a distintas aplicaciones. Supongamos que una persona con malas intenciones decide entrar a nuestra cuenta de banco o a la base de datos de clientes de nuestra empresa. Lo primero es conseguir el usuario, pero muchas de las aplicaciones no prestan mayor atención a la protección de ese dato, por lo que es algo digamos simple de conseguir.
Luego viene el tema de la contraseña, es aquí donde los ciberdelincuentes hacen uno de un fichero como el RockYou2021 y con sistemas de fuerza bruta comienzan a probar los millones de passwords hasta que dan con la que corresponde al usuario objeto del ataque.
Al tener conciencia de esto, lo primero es conocer si nuestro usuario y contraseña se encuentran en dicho fichero. Para esto, una web de reconocida trayectoria como Cyber News ha creado una base de datos personal y protegida con sus protocolos de seguridad para hacer una consulta que permite saber si estamos o no en ese fichero.
Para esto es necesario dirigirse al verificador de fugas de datos personales o al verificador de contraseñas filtradas de CyberNews, destacando que ninguno de los datos ingresados son registrados.
¿Qué hacer luego de esa consulta al fichero RockYou2021?
Si nos basamos en las estadísticas, se estima que hay 4.700 millones de usuarios activos de internet, tomando en cuenta que se filtraron cerca de 8.400 millones de password, pareciera que ese archivo contiene las contraseñas de todos. Afortunadamente no es así.
En caso de que nuestra contraseña esté incluida en la base de datos, es recomendable seguir estas recomendaciones para reforzar la seguridad informática.
Recomendaciones para reforzar la ciberseguridad individual
Cambiar las contraseñas que se hayan filtrado, este es el eslabón débil del ciclo de seguridad, es mucho lo que se ha escrito de contraseñas seguras y robustas, lo más reciente de NCSC señala el uso de al menos 3 palabras no relacionadas entre sí combinadas con algunos números.
No reutilizar contraseñas o escribirlas para recordarlas, la reutilización de contraseñas es algo muy común, pero es una práctica que puede causar daños irreversibles, si usas 100 aplicaciones y todas tienen el mismo password, entonces automáticamente das acceso a todas. Escribirlas en documentos o adhesivos representa un riesgo similar.
Considerar el uso de un gestor de contraseñas, aplicaciones como LastPass ofrecen una solución eficiente y con altos estándares de seguridad para gestionar múltiples contraseñas. Se estima que actualmente el promedio de las personas usa más de 110 password, lo cual es imposible de recordar si se usa una de más de 15 caracteres distintos para cada aplicación. LastPass hace un monitoreo del email en la Dark Web y manda alertas si las credenciales están comprometidas.
Usar inicio de sesión en dos pasos, otra de las recomendaciones es usar el inicio de sesión en dos pasos, de esta forma se debe introducir además un pin enviado por SMS o por aplicaciones dedicadas para reforzar el ingreso a los servicios web.
Prestar atención a los lugares donde se introducen los datos, una de las formas en que los ciberdelincuentes violan la seguridad es por medio de sitios fraudulentos o phishing. Ante esto hay que estar atentos a la url del enlace de destino y a las credenciales de seguridad del sitio. Lo ideal es no hacer nada que sea sospechoso y pueda poner en riesgo los datos.
Con Lasspast es posible potenciar la seguridad de los datos personales y empresariales que pueden protegerte de ataques de ciberdelincuentes.
Estadísticas del uso de contraseñas en Estados Unidos
Después de ver lo importante de las contraseñas y la necesidad de actualización ante la amenaza del RockYou2021, ahora vamos a ver unas estadísticas sobre las passwords que ha recopilado Google y la manera en que somos los grandes responsables de los ataques webs.
- Solo 34% de los estadounidenses dicen que cambian sus contraseñas regularmente.
- Solo 15% de los estadounidenses usan un administrador de contraseñas en línea.
- 66% de los estadounidenses usan la misma contraseña en múltiples cuentas en línea.
- 24% de los estadounidenses han utilizado la palabra “contraseña”, “Qwerty” o “123456” como su contraseña.
- Solo 37% de los estadounidenses utilizó la autenticación de dos factores para proteger sus contraseñas en 2020.
- Solo 32% de los estadounidenses pudieron definir correctamente “phishing”, “administrador de contraseñas” y “verificación en dos pasos”.
Ante esto podemos vislumbrar que el factor humano es el principal problema del uso de contraseñas.
Notas finales
La ciberdelincuencia y sus ataques nunca van a parar, a medida que la web crezca ellos también lo harán. Violaciones como la de RockYou2021 siempre van a estar presentes. Lo importante es poder tomar acciones individuales para hacer más difícil la tarea de vulnerar los sistemas.
Para conocer la manera en que LastPass puede ayudarte a proteger los datos y puntos de acceso de tu organización de manera intuitiva y simple te invitamos a completar el siguiente formulario para que hagas una prueba sin cargos y sin compromiso alguno.