Hace poco me encontré con un informe que detallaba “la madre de todas las brechas” o, para ser más exactos, la filtración de una vasta recopilación de datos robados durante una serie de ataques a varias empresas y servicios en línea, incluidos LinkedIn y Twitter (ahora X). Al parecer, el cargamento de datos incluía 26.000 millones de registros repletos de información confidencial, como datos gubernamentales y credenciales de acceso.
Este número de registros comprometidos eclipsa a anteriores filtraciones conocidas: basta tener en cuenta la infame filtración de datos de Cam4 en 2020 que expuso cerca de 11.000 millones de registros, o la brecha en Yahoo en 2013 comprometió tres mil millones de cuentas de usuario. La llamada Collection No.1, de 2019, expuso 773 millones de nombres de inicio de sesión y contraseñas previamente robados de varias organizaciones, seguida por otras cuatro “colecciones” de este tipo apenas unas semanas después.
La conclusión a todo esto es que, incluso si aplicas estrictas medidas de seguridad personal, las credenciales de tu cuenta aún pueden quedar atrapadas en tales recopilaciones, principalmente debido a brechas en grandes empresas. Esto nos lleva a preguntarnos: ¿cómo podemos averiguar si nuestras credenciales se han visto comprometidas?
Información de la empresa
Las empresas pueden estar sujetas a requisitos normativos específicos que las obliguen a revelar incidentes de piratería informática y vulnerabilidades no parcheadas. En Estados Unidos, por ejemplo, las empresas que cotizan en bolsa deben informar de los ciberincidentes importantes a la Comisión del Mercado de Valores de los Estados Unidos (SEC, por sus siglas en inglés) en un plazo de 96 horas, o cuatro días laborables, desde que se produzcan.
Esta transparencia no solo puede ayudar a generar confianza entre los clientes, sino que también les informa de si sus cuentas o datos se han visto comprometidos. Las empresas suelen notificar a los usuarios las violaciones de datos por correo electrónico, pero como los archivos de la SEC son públicos, es posible que te enteres de estos incidentes por otras fuentes, posiblemente incluso por las noticias que los cubren.
¿Se filtró mi contraseña?
Quizá la forma más sencilla de comprobar si algunos de tus datos fueron expuestos en una filtración de datos sea visitar haveibeenpwned.com. El sitio cuenta con una herramienta gratuita que puede decirte cuándo y dónde aparecieron sus datos, como dirección de correo electrónico o contraseñas.
Solo tienes que introducir tu dirección de correo electrónico, hacer clic en “pwned?” y ¡voilá! Aparecerá un mensaje informándote del estado de seguridad de tus credenciales, así como de la filtración exacta en la que se vieron envueltas. Para los afortunados, el resultado será verde, lo que indica que no ha habido pwnage, y para los menos afortunados, el sitio se volverá rojo, indicando en qué filtración o filtraciones de datos aparecieron sus credenciales.
Navegador web
Algunos navegadores web, como Google Chrome y Firefox, pueden comprobar si tus contraseñas han sido incluidas en alguna filtración de datos conocida. Chrome también puede recomendar contraseñas más seguras a través de su módulo de gestión de contraseñas u ofrecer otras funciones para mejorar la seguridad de tus contraseñas.
Sin embargo, es posible que quieras ir más allá y utilizar un gestor de contraseñas dedicado que tenga un historial probado de tomarse en serio la seguridad de los datos, incluso mediante un cifrado robusto. Además, estas herramientas suelen incluir software de seguridad multicapa de buena reputación.
Gestores de contraseñas
Los gestores de contraseñas tienen un valor incalculable cuando se trata de hacer malabarismos con una gran colección de credenciales de inicio de sesión, ya que pueden almacenarlas de forma segura y generar contraseñas complejas y únicas para cada una de sus cuentas en línea. No hace falta decir, sin embargo, que necesitas utilizar una contraseña maestra fuerte pero memorable que contenga "las llaves de tu reino".
Por otra parte, estas bóvedas de contraseñas no son inmunes a los ataques y siguen siendo objetivos atractivos para los malintencionados, por ejemplo, como resultado de ataques de relleno de credenciales o ataques que explotan vulnerabilidades de software. Aun así, las ventajas, como la comprobación de contraseñas filtradas y la integración con los sistemas de autenticación de dos factores (2FA) disponibles actualmente en muchas plataformas en línea, compensan los riesgos.
¿Cómo evitar (el impacto de) las fugas de credenciales?
En primer lugar, y no nos cansaremos de repetirlo, no confíes únicamente en las contraseñas. En su lugar, asegúrate de que tus cuentas están protegidas por dos formas de identificación.
Utiliza la autenticación de doble factor (2FA) en todos los servicios que la permitan, ―idealmente en forma de una clave de seguridad dedicada para 2FA o una aplicación de autenticación como Microsoft Authenticator o Google Authenticator―. De este modo, será mucho más difícil para los atacantes obtener acceso no autorizado a tus cuentas, incluso si han conseguido de algún modo tu(s) contraseña(s).
En cuanto a la seguridad de las contraseñas como tal, evita escribir tus datos de acceso en papel o almacenarlos en una aplicación para tomar notas. También es mejor evitar almacenar las credenciales de la cuenta en los navegadores web, que suelen guardarlas como simples archivos de texto, lo que las hace vulnerables a la filtración de datos por parte de malware.
Otros consejos básicos para la seguridad de las cuentas consisten en utilizar contraseñas seguras, que dificultan a los delincuentes los ataques de fuerza bruta. Evita las contraseñas simples y cortas, como una palabra y un número. En caso de duda, utilice esta herramienta de ESET para generar sus contraseñas, o haga que compruebe la fortaleza de sus propias contraseñas.
También es una buena práctica utilizar frases de contraseña, que pueden ser más seguras y fáciles de recordar. En lugar de combinaciones aleatorias de letras y símbolos, comprenden una serie de palabras salpicadas de mayúsculas y, posiblemente, caracteres especiales.
Asimismo, utilice una contraseña distinta para cada una de sus cuentas para evitar ataques como el “credential stuffing”, que se aprovecha de la a reutilizar las mismas credenciales en varios servicios en línea.
Un nuevo enfoque de la autenticación se basa en los inicios de sesión sin contraseña, como las passkeys, y también existen otros métodos de inicio de sesión como los tokens de seguridad, los códigos de un solo uso o la biometría para verificar la propiedad de la cuenta en múltiples dispositivos y sistemas.
Prevención por parte de la empresa
Las empresas tienen que invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir brechas e incidentes de seguridad. Además, las organizaciones deben reducir proactivamente su superficie de ataque y reaccionar en cuanto detecten algo sospechoso. La gestión de vulnerabilidades también es crucial, ya que estar al tanto de las lagunas de software conocidas y parchearlas a tiempo ayuda a prevenir su explotación por parte de los ciberdelincuentes.
Por otra parte, el factor humano, siempre presente, también puede desencadenar un ataque, por ejemplo cuando un empleado abre un archivo adjunto de correo electrónico sospechoso o hace clic en un enlace. Por eso no se puede subestimar la importancia de la formación en ciberseguridad y la seguridad de los endpoints y el correo electrónico.
Lectura relacionada: Fortalecer el eslabón más débil: Concienciación sobre seguridad para empleados.
Cualquier empresa que se tome en serio la seguridad de los datos debe considerar también una solución de prevención de pérdida de datos (DLP) e implantar una sólida política de copias de seguridad.
Además, el manejo de grandes volúmenes de datos de clientes y empleados requiere prácticas de cifrado estrictas. El cifrado local de credenciales puede salvaguardar estos datos sensibles, dificultando a los atacantes la explotación de la información robada sin acceso a las claves de cifrado correspondientes.
En definitiva, no existe una solución única, y cada empresa debe adaptar su estrategia de seguridad de datos a sus necesidades específicas y adaptarse a la evolución del panorama de las amenazas. No obstante, una combinación de las mejores prácticas de ciberseguridad contribuirá en gran medida a prevenir las filtraciones y violaciones de datos.
