Según un estudio realizado por Google y la Universidad de Berkley, actualmente existen 1.900 millones de credenciales que son comercializadas en el mercado negro, las cuales pueden ser utilizadas para acceder a las cuentas de muchos y variados servicios, y muchos de ellos pertenecen al mismo Google.
De hecho, el 50% de las víctimas de contraseñas robadas pertenecen a usuarios de Gmail, Yahoo y Hotmail. Y eso a pesar de que no fueran robadas por medio de estos servicios, sino a través de terceros como MySpace o LinkedIn.
Para el estudio, se han utilizado lo que han denominado como «datos propietarios» internos de Google para comprobar si las contraseñas hackeadas y datos similares que se negocian en foros de hackers y en la dark web servían o no para acceder a una cuenta real. Y descubrieron que hasta el 25% sí servían. Al menos, para las cuentas de Google. Así lo explican en el informe:
«A través de una combinación de reutilización de contraseñas a través de miles de servicios en línea y recogida selectiva, estimamos que entre el 7% y el 25% de las contraseñas robadas en nuestro conjunto de datos permitirían a un atacante iniciar sesión en la cuenta de Google de una víctima y, por lo tanto, hacerse cargo de su identidad en línea debido a la confianza transitoria».
La principal causa: reutilización de contraseñas
Como hemos dicho antes, las contraseñas no se obtuvieron por medio de las brechas de seguridad en las compañías mencionadas (aunque no pondríamos la mano en el fuego por Yahoo). Entonces, ¿cómo las obtuvieron? Pues sencillo: aprovechándose de la mala costumbre que tiene mucha gente de utilizar la misma contraseña en varios sitios.
Al tratarse de un hábito demasiado extendido, cualquier hacker sabe que puede probar todas las contraseñas que haya obtenido en la filtración de la base de datos de un sitio grande, como MySpace por ejemplo, y que algunas de ellas funcionarán.
Y al decir «demasiado extendido», a la luz de los datos está claro que no exageramos. Recordemos que fue debido a eso que la gente de OurMine pudo acceder a las cuentas de Twitter y Pinterest de Mark Zuckerberg (sí, ese, el de Facebook) porque usaba en ambas la misma contraseña: «dadada». Algo similar pasó en aquel «hackeo» con cuentas del CEO de Google, Sundar Pichai, el actor Channing Tatum y el CTO de Amazon Werner Vogels
Poca evolución en las herramientas utilizadas
En la investigación realizada para el estudio, los investigadores también examinaron las piezas específicas de malware utilizadas para phishing (de los que existen 12,4 millones de víctimas potenciales) y para keylogging (registrar en secreto lo que un usuario escribe).
Las herramientas para estos tipos de ataques son vendidas y distribuidas por muchos desarrolladores, pero según el estudio no han evolucionado tanto como podría pensarse en un principio y tienen una estructura similar a las de hace más de una década. En el texto indican que «En comparación con las capacidades de los keyloggers y los kits de phishing de mediados de los años 2000, observamos una marcada falta de presión sobre los desarrolladores de blackhat para que evolucionen sus tecnologías centrales. Los kits de suplantación de identidad (phishing) que se reportaron hace casi una década todavía dependen del mismo esqueleto y enfoque PHP para reportar credenciales robadas».
Las recomendaciones usuales que siempre debes seguir
Como siempre suele suceder en estudios de este tipo o ante ataques tanto grandes como pequeños, los autores plantean seguir una serie de recomendaciones que nunca nos cansamos de repetir:
- Usar un sistema de autenticación de dos factores o en dos pasos. Recordemos que estos sistemas hace que, además de la contraseña, debamos introducir también una código de seguridad que se nos hace llegar, por ejemplo, por medio de un mensaje de texto.
- Usar un administrador de contraseñas para crear una nueva de manera aleatoria para cada sitio.
- No usar contraseñas comunes, como «12345678» o «qwerty». A esto, habría que añadirle tampoco usar como contraseña datos que sean de conocimiento público a través de redes sociales, como el nombre de su pareja, de su actor o actriz favorita, de su película preferida, etc. Como referencia, dejamos aquí este cuadro con las contraseñas más usadas que se encontraron en el estudio:
Si quieres acceder al estudio completo para leerlo con detalle, aquí puedes verlo en PDF.
