Si ha estado expuesto a una contraseña pirateada recientemente, no está solo.
El volumen de ataques de contraseña ha aumentado a un estimado de 921 ataques por segundo. Eso representa un aumento del 74% en un año, según el último informe de Defensa Digital de Microsoft.
Las grandes empresas de tecnología, incluida Microsoft, preferirían eliminar el mundo de las contraseñas y han realizado cambios para un futuro en línea que depende menos del paso de seguridad débil.
Los usuarios de Microsoft ya pueden acceder de forma segura a Windows, Xbox y Microsoft 365 sin usar una contraseña a través de aplicaciones como Microsoft Authenticator y tecnologías que incluyen huellas dactilares o reconocimiento facial. Pero muchas personas aún confían en las contraseñas y no usan la autenticación de dos factores, que ahora es importante.
“Mientras las contraseñas sigan siendo parte de la ecuación, están en riesgo”, escribió Joy Chick, vicepresidenta corporativa de identidad de Microsoft, en una publicación de blog de la compañía de septiembre de 2021.
Aquí hay seis maneras de mantenerse protegido.
Cambie los nombres de usuario y contraseñas coincidentes rápidamente y primero en las cuentas principales
Para hacerlo más fácil, muchas personas usan el mismo nombre de usuario y contraseña en todas las cuentas, pero también los pone en alto riesgo de que su información sea pirateada. Según una muestra de más de 39 millones de dispositivos IoT y aplicaciones operativas, alrededor del 20 % usaba nombres de usuario y contraseñas idénticos, según un informe de Microsoft.
Si caes en esta categoría, ahora es el momento de actuar. Comience por centrarse primero en los mayores riesgos: correo electrónico, finanzas, atención médica, redes sociales, dijo Chris Pearson, fundador y director ejecutivo de BlackCloak, una firma de seguridad cibernética que se especializa en prevenir ataques dirigidos a empleados y ejecutivos de la empresa.
Dijo que decirle a alguien con muchos nombres de usuario y contraseñas idénticos que los cambie todos a la vez es como decirle a alguien que pierda 50 libras corriendo 20 millas al día y buscando postres fríos. Una recomendación inicial más manejable podría ser una caminata de 15 minutos una vez al día alrededor de la cuadra y pequeños cambios en la dieta. Pearson dijo que lo mismo se aplica cuando se trata de protección con contraseña. “No cambie todas las contraseñas que tenga. Concéntrese en las cuentas más peligrosas y maliciosas”.
Use un administrador de contraseñas para cifrar sus datos
Para realizar un seguimiento de las contraseñas de forma segura y eficiente, los profesionales de la seguridad recomiendan utilizar un administrador de contraseñas seguras como 1Password o KeePass. El usuario solo tiene que recordar una contraseña fuerte y larga y el administrador almacena las demás en un formato encriptado. Los administradores de contraseñas también se pueden usar para generar contraseñas seguras y aleatorias, que son extremadamente difíciles de descifrar. Aunque se depende de un tercero, los administradores de contraseñas hacen un buen trabajo al proteger los datos de los clientes, dijo Justin Kapus, profesor asistente en la Escuela de Ingeniería Tandon de la Universidad de Nueva York que se enfoca en la ciberseguridad y la privacidad de los datos.
Elija contraseñas seguras si no está utilizando la generación aleatoria
Si bien las contraseñas generadas aleatoriamente son una buena práctica, no a todos les gusta usarlas, así que al menos asegúrese de usar credenciales que no puedan piratearse fácilmente. Podría, por ejemplo, unir cuatro palabras aleatorias como sol, agua, computadora y silla para una cuenta, y usar otra combinación de cuatro palabras para una cuenta diferente, dijo Roy Zaur, fundador y director ejecutivo de la empresa de capacitación en seguridad cibernética ThriveDX.
Usar la frase “moneycashcheckbank”, por ejemplo, le tomaría a una computadora alrededor de 23 millones de años descifrar, según un sitio web administrado por Security.org, que revisa productos de seguridad. Por el contrario, la contraseña “Jesús” se puede descifrar instantáneamente, mientras que la misma palabra con una “J” mayúscula se puede descifrar en aproximadamente 9 milisegundos, según el sitio.
Habilitar la autenticación multifactor
Algunos servicios como Apple Pay imponen esta capa adicional de seguridad en las cuentas. Incluso si el proveedor no requiere su uso, la autenticación multifactor es una herramienta de seguridad valiosa e infrautilizada, según los profesionales de la seguridad.
La idea detrás de la autenticación de múltiples factores, que requiere dos o más datos de identificación, es dificultar que los delincuentes se cuelen en sus cuentas. Tsur dijo que los piratas informáticos apuntan al eslabón más débil, “y su papel no es ser el eslabón más débil”.
Para estos fines, se recomienda usar una aplicación como Google Authenticator o un token de hardware como YubiKey, en lugar de SMS, siempre que sea posible, dice Kaboos. Esto se debe a que los SMS son vulnerables a los intercambios de SIM y otros ataques. “No es difícil para un pirata informático entusiasta eludir el SMS”, dijo.
La estafa de comercio electrónico de Google Voice muestra por qué nunca debe compartir su contraseña
Este es un problema que ocurre con frecuencia, según el Informe de impacto comercial de 2022 del Identity Theft Resource Center. Cuando se les preguntó sobre la causa raíz de la apropiación de cuentas, el 45% de las empresas dijeron que alguien hizo clic en un enlace de phishing o compartió las credenciales de la cuenta con alguien que decía ser un amigo; El 29% dijo que alguien compartió las credenciales de la cuenta con un pirata informático que afirmaba ser un cliente, vendedor o cliente potencial.
“Las contraseñas son como la goma de mascar. La gente no debería compartirlas”, dijo Kaboos.
Del mismo modo, nunca proporcione un código de un solo uso, incluso cuando los estafadores hagan que el motivo para compartir parezca legítimo, dijo Eva Velasquez, presidenta y directora ejecutiva del Identity Theft Resource Center.
Una estafa cada vez más común es la de los estafadores que aparecen como compradores interesados en los mercados en línea. Instruyen al vendedor para que lea un código de un solo uso supuestamente enviado por el comprador, a menudo con el propósito declarado de “verificar la identidad y legitimidad del vendedor” que alberga a las víctimas, dijo Velásquez. De hecho, es una forma de que los piratas informáticos creen una cuenta de Google Voice asociada con el número de teléfono de un vendedor. Esto, dijo, permite a los estafadores cometer otras estafas utilizando un número de Google Voice que no se puede rastrear hasta ellos. El fraude se ha vuelto tan importante que ITRC ha creado un video instructivo sobre cómo los consumidores afectados pueden recuperar sus números.
¿Apple o Microsoft se comunican contigo? Tal vez no estaban
Además de tener contraseñas u otra información confidencial pirateada al hacer clic en enlaces que parecen legítimos en su correo electrónico, mensajes de texto o redes sociales, las personas también tienden a caer en estafas de soporte técnico basadas en ventanas emergentes de computadora o llamadas telefónicas. Los piratas informáticos pueden pretender ser de empresas de renombre como Apple o Microsoft y ofrecer ayuda para resolver un problema de seguridad que afirman haber identificado. Se está engañando a los consumidores para que permitan el acceso sin restricciones a sus computadoras, lo que genera la posibilidad de que los ladrones roben sus contraseñas y otros datos personales o insistan en que paguen por servicios falsos prestados, dijo Pearson.
Recuerde que las empresas de renombre no se ponen en contacto con los consumidores al azar y se ofrecen a ayudar con problemas relacionados con la computadora. Pearson dijo que los consumidores no deben relacionarse con una persona desconocida con la que se están comunicando, especialmente si la información de esa persona no se puede verificar a través de medios independientes y confiables. “Buscar en Google un número de teléfono tampoco es algo que recomendamos”, dijo.