Logo Vodafone

Compartir en:

Así roban tus contraseñas los ciberdelincuentes para venderlas en el mercado negro

La reciente polémica a cuenta de la ocultación por parte de Uber de un robo masivo de datos personales de sus conductores y usuarios ha vuelto a poner de manifiesto un grave problema de ciberseguridad: los correos y contraseñas que usamos para identificarnos en los principales servicios de la Red son vulnerables a los ataques de ciberdelincuentes que, después, se lucran traficando con esas credenciales en los mercados más sombríos de la internet oscura.

Incluso los datos se pueden encontrar de manera gratuita. Por ejemplo, la compañía de ciberinteligencia española 4iQ ha localizado en la ‘dark web’ un fichero en texto plano que contenía 1.400 millones de contraseñas robadas, la mayor base de credenciales robadas conocida hasta la fecha. El fichero, que fue localizado el pasado 5 de diciembre en un foro de Torrent, contenía la información almacenada de forma no encriptada, por lo que las contraseñas robadas han sido visibles para todo aquel que haya tenido acceso. La compañía ha probado algunas de estas credenciales y «la mayoría» se ha mostrado como válidas.

Este hallazgo supera en número al que hasta la fecha era la mayor filtración histórica de contraseñas, la lista Exploit.in, que había relevado 797 millones de claves. Además la lista de credenciales aparece ordenada alfabéticamente, por lo que muestra patrones y tendencias sobre cómo se establecen las claves o cómo se reutilizan.

Entre las claves más recurrentes encontradas estaban ‘123456’, que aparece en más de 9,2 millones de cuentas, seguida por ‘123456789’, presente en más de 3,1 millones, y ‘qwerty’, en más de 1,6 millones de perfiles. El hallazgo ha servido para manifestar que una vez más el nivel de complejidad de la mayoría de las contraseñas que utilizamos no se suficientemente alto. Así también lo confirma un nuevo estudio de investigadores de Google que, conscientes de los riesgos que corren los usuarios de Gmail, han dedicado todo un año a investigar, en colaboración con la Universidad de California, la compraventa ilegal de claves a través de la ‘dark web’.

Durante sus pesquisas, los expertos identificaron un total de 788.000 credenciales robadas utilizando ‘keyloggers’ (programas maliciosos que registran cada pulsación de un usuario en el teclado) , 12 millones obtenidas mediante ‘phishing’ (fraude basado en la suplantación de un remitente de correo y/o una web legítima para engañar al usuario) y 3.300 millones de contraseñas sustraídas en brechas de seguridad como la sufrida —y ocultada— por Uber.

El 12 % de los registros hallados contenían una dirección de Gmail como mecanismo de autenticación en la página atacada. Por fortuna, solo el 7 % de esos correos eran susceptibles de ser aprovechados por los delincuentes a causa de la reutilización de claves, una práctica lamentablemente habitual de muchos usuarios que emplean siempre las mismas credenciales de acceso en los distintos sitios donde se registran. Además, de los ataques con ‘phishing’ o ‘keyloggers’ que intentaron penetrar en cuentas de Gmail, solo entre un 12 y un 25 % habrían conseguido dar con una contraseña válida.

Los autores del estudio también han descubierto que los asaltantes procuran obtener cada vez más variedad de datos personales a medida que los mecanismos de seguridad de plataformas como la propia Gmail se endurecen, siendo más y más los detalles sobre el usuario que necesitan conocer los criminales para saltarse los controles. La IP del usuario y su localización, su número de teléfono o la marca y el modelo del dispositivo que utiliza son parte de esa información que ahora intentan recabar los ciberatacantes.

Una de esas medidas adicionales que las compañías están implementando para mantener a raya a los delincuentes es, precisamente, de Google. Los de Mountain View han estrenado hace poco su programa de Protección Avanzada, dirigido a usuarios que tengan una especial preocupación por la ciberseguridad y a los que no les importe renunciar, a cambio, a parte de la comodidad a la hora de acceder a sus servicios.

Como defensa contra el ‘phishing’ y el acceso fraudulento a las cuentas de los usuarios del gigante, el nuevo y más robusto sistema de autenticación añade un elemento físico (un pequeño dispositivo USB o Bluetooth que hace las veces de llave) que los interesados tendrán que llevar siempre encima para conectarse a través del navegador de Chrome o las ‘apps’ de Google.

Es la respuesta de la compañía a casos como el que se produjo durante la campaña para las pasadas elecciones presidenciales en los Estados Unidos, cuando se sustrajeron correos de la cuenta del jefe de campaña de Hillary Clinton, provocando un escándalo que pudo tener mucho que ver con su derrota en las urnas.

Esta nueva barrera para contener a los ciberdelincuentes está disponible para cualquier usuario de Google, aunque previsiblemente solo los que más necesiten velar por su privacidad (como activistas o informadores que hagan todo lo posible por salvaguardar sus fuentes) se tomarán la molestia de cargar con un ‘pendrive’ para acceder a sus cuentas.

Para el resto de los mortales, seguir unas cuantas recomendaciones debería ser más que suficiente. En primer lugar, conviene activar la verificación en dos pasos (para que te llegue un código por SMS cuando se inicie la sesión desde un nuevo dispositivo) en todos los servicios que la tengan disponible, que son la mayoría de los que utilizas a diario (Google, Facebook, Instagram, Twitter…)

Además, es importante que tengamos cuidado a la hora de seguir indicaciones de un correo que aparentemente nos llega desde una entidad conocida, pues cualquiera (desde bancos hasta redes sociales o tiendas online… ) puede ser suplantada por un cibercriminal usando técnicas de ‘phishing’. Conviene comprobar siempre el remitente para asegurarnos de que la dirección es legítima, es decir, perteneciente al mismo dominio que la web oficial de la empresa (por ejemplo, si pone tuiter.com en vez de twitter.com, es fraudulenta).

Además, es aconsejable que instalemos una buena solución de seguridad en todos nuestros dispositivos, capaz de detectar las amenazas de phishing y mantener a salvo nuestros datos personales. Vodafone Secure Net nos proporciona las defensas necesarias para navegar sin riesgos por internet siempre que estés conectado a la red móvil de Vodafone. Además, siempre debemos movernos con un poquito de sentido común, lo que incluye, entre otras cosas, no reutilizar contraseñas.

Vigila tus pasos y mantén bien altas tus barreras y no tendrás que preocuparte por las filtraciones. Incluso si tus credenciales terminan a la venta en la internet oscura, tus herramientas de ciberseguridad, la verificación en dos pasos y las distintas claves sólidas que habrás utilizado en cada cuenta mantendrán perfectamente a raya a los ciberdelincuentes.

————-

Con información de Research GoogleXataka, y The Verge. Imágenes de Microsiervos y Blogtrepeneur

Más consejos sobre ciberseguridad:

Teoría de juegos para la ciberseguridad

– Cómo evitar que te cuelen una ‘app’ peligrosa cuando intentas instalar lo último de WhatsApp

Cómo evitar que secuestren tu ordenador o ‘smartphone’ para minar Bitcoin y otras criptomonedas

Ojo con Michael Jackson: una simple canción puede convertir tu móvil en un temible espía

Compartir en: