La mayor¨ªa de las contrase?as se vulnera en menos de una hora y muchas, en solo un minuto

¡°Los humanos somos muy vulnerables¡±. Lo afirma Yuliya Novikova, responsable de Inteligencia de Huella Digital de la empresa de ciberseguridad Kaspersky, tras un exhaustivo estudio de 193 millones de contrase?as que ha demostrado que solo dos de cada diez son seguras. La mayor¨ªa puede averiguarse en una hora y muchas de ellas, en solo un minuto. Y el coste es m¨ªnimo, los canales de la dark web (la red oculta a los buscadores convencionales) y de Telegram donde se comercializan armas de la ciberdelincuencia, ofrecen paquetes ¡°todo incluido¡±: programas, servidores en la nube y datos de v¨ªctimas potenciales por solo 80 euros a la semana.

¡°Nuestros datos son como nuestras casas. ?La dejar¨ªa abierta para que entre cualquiera?¡±, pregunta Lilian Balatsou, experta en ling¨¹¨ªstica de inteligencia artificial y doctora en Neurociencia Cognitiva por la Universidad de Bangor durante un encuentro de la firma de ciberseguridad en Atenas. La respuesta, tras el estudio de Kaspersky, es que s¨ª, que la casa la dejamos abierta la mitad de las veces.

Novikova explica que el 40% de los ataques (un tercio de ellos seguidos de secuestro y extorsi¨®n) comienzan con una cuenta comprometida. Los empleados y suministradores de compa?¨ªas con usuario y contrase?a para operar reconocen que vulneran las normas de las corporaciones sobre seguridad, por tedio o por realizar sus tareas sin complicaciones a?adidas.

De esta forma, estos poseedores de llaves de la casa la utilizan mal y dejan el seguro sin poner o permiten que las copien, m¨¢s de una vez en un 21% de los casos. ¡°El error humano es la principal causa de incidentes¡±, advierte Novikova, quien detalla que estos se han llegado a infectar 10 millones de sistemas el pasado a?o, un 32% m¨¢s que a principios de la d¨¦cada.

Seg¨²n los datos de Kaspersky, el 45% de las contrase?as se vulneran en menos de un minuto, el 14% en menos de una hora y otro 14% m¨¢s en un d¨ªa o menos de un mes. De esta forma, solo poco m¨¢s de dos de cada 10 claves de acceso a sistemas cr¨ªticos son robustas.

El resto utiliza nombres o palabras comunes o t¨¦rminos del diccionario que, aunque est¨¦n alterados por n¨²meros o signos que sustituyen letras, son f¨¢cilmente vulnerables. Detr¨¢s no hay un pirata (hacker) empleando su tiempo en descifrarlas. ¡°Los ciberdelincuentes son muy creativos, pero tambi¨¦n perezosos¡±, afirma la experta de la firma de seguridad para se?alar que en los canales de venta de armas de ataques inform¨¢ticos ya se ofrecen, por 80 euros la semana, paquetes de suscripci¨®n que incluyen no solo las bases de datos de las v¨ªctimas vulnerables, sino tambi¨¦n los programas y los servidores para poder ejecutarlos sin infraestructura propia. Estos sistemas son capaces de vulnerar incluso los protocolos de autenticaci¨®n de m¨²ltiples factores, los que solo facilitan el acceso de un usuario cuando aporta dos o m¨¢s pruebas diferentes de su identidad.

Soluciones

Marco Preuss, director adjunto del Equipo Global de Investigaci¨®n y An¨¢lisis (GReAT) y jefe del Centro de Investigaci¨®n de Kaspersky Europa, desconf¨ªa incluso de los sistemas de identificaci¨®n biom¨¦trica, que considera que implican adem¨¢s el uso de informaci¨®n personal.

De esta forma, los expertos que han participado en el encuentro en Atenas se decantan por la generalizaci¨®n de los gestores de contrase?as, programas que pueden almacenar de forma segura usuarios y claves de acceso singulares e incluso generarlas de forma robusta para cada uso.

Adem¨¢s de estos, las t¨¢cticas m¨¢s efectivas son: utilizar una contrase?a diferente por cada servicio para que, en caso de robo, solo se vea vulnerada una cuenta, recurrir a palabras poco comunes o desordenarlas, comprobar mediante servicios online la robustez de la elegida, evitar que respondan a datos personales a los que puedan tener acceso los piratas (como nombres y fechas personales que accesibles a trav¨¦s de las redes sociales) y habilitar la autenticaci¨®n de doble factor (2FA).

Rafael Conde del Pozo, director de innovaci¨®n de Softtek, a?ade un elemento m¨¢s de riesgo: los tel¨¦fonos. Seg¨²n explica, ¡°los dispositivos m¨®viles se han convertido en extensiones de nosotros mismos y precisan de una protecci¨®n integral contra las vulnerabilidades emergentes¡±.

En este sentido, propone dotarlos de sistemas de autenticaci¨®n biom¨¦trica avanzada, populares en el pago con m¨®viles; de comportamiento, que analiza patrones que no encajan con el usuario; e inteligencia artificial para identificar anomal¨ªas, cifrar datos y restringir accesos.

Sobre vulnerabilidades de los m¨®viles, la divisi¨®n de Inteligencia de Amenazas de Check Point ha identificado m¨²ltiples campa?as que aprovechan Rafel RAT, una herramienta de c¨®digo abierto para dispositivos Android que se desarroll¨® para campa?as de phishing (enga?o) a trav¨¦s de mensajes y conversaciones con el fin de que el usuario instale aplicaciones maliciosas encubiertas bajo un nombre y un icono falsos. Estas solicitan amplios permisos, muestran p¨¢ginas web leg¨ªtimas o las imitan y luego rastrean de forma secreta el dispositivo para filtrar datos.

Las medidas de seguridad implican a todo tipo de programas, incluidas las aplicaciones de redes sociales. La misma compa?¨ªa de seguridad, tras detectar accesos ilegales a trav¨¦s de mensajes directos en TikTok, recomienda establecer contrase?as robustas, configurar la autenticaci¨®n de doble factor a trav¨¦s de la p¨¢gina de seguridad de la red para activar la funci¨®n ¡°iniciar sesi¨®n con verificaci¨®n¡± y comunicar cualquier actividad extra?a. Una vulnerabilidad en esta red ha afectado recientemente a cuentas de medios de comunicaci¨®n y de personajes populares.

Puedes seguir a EL PA?S Tecnolog¨ªa en Facebook y X o apuntarte aqu¨ª para recibir nuestra newsletter semanal.