Video: 10 Formas inteligentes de proteger tus contraseñas de ataques cibernéticos (Noviembre 2024)
En cada uno de los recientes ataques a Evernote, Facebook, Twitter y otros, las compañías involucradas se apresuraron a señalar que las contraseñas permanecían seguras. Pero la información del usuario tiene vida propia, y los efectos de un ataque en un individuo pueden sentirse mucho después de que el ataque haya terminado.
Los ataques que hemos visto
Normalmente, lo que se escucha cuando una empresa importante se ha visto comprometida es algo similar a cómo la información de pago sigue siendo segura, las contraseñas se cifraron, pero se pudo acceder a otra información. Por lo general, esto incluye nombres de usuario y correos electrónicos.
Para la mayoría de nosotros, eso puede no parecer peligroso. Después de todo, entregamos nuestros propios correos electrónicos todo el tiempo, incluso los publicamos en línea. Pero existen riesgos para los usuarios que incluso han expuesto esta pequeña cantidad de información.
Derek Halliday, gerente senior de productos de Lookout Mobile Security, explicó a SecurityWatch cómo estos bits de información pueden hacer que los usuarios sean objetivos. "La información de la cuenta se puede utilizar para habilitar potencialmente la pesca submarina porque proporciona información contextual única sobre las personas, una forma de contactarlos", dijo. "Y el hecho de que en algún momento se hayan inscrito en un servicio en particular".
Esta es la razón por la cual los correos electrónicos de alerta legítimos con frecuencia recuerdan a los usuarios que pueden haber expuesto su información que nadie nunca solicitará su contraseña. Si un pirata informático sabe que usa Evernote (por ejemplo), es un trabajo corto crear un mensaje que parece ser de Evernote y enviarlo a la dirección de correo electrónico que usa para administrar su cuenta. Tal vez le pida que proporcione su contraseña o información de pago, o tal vez lo engañe para que haga clic en un enlace malicioso.
"Hemos visto ciberdelincuentes que están dispuestos a participar en la 'larga estafa'", dijo Mark Risher, cofundador y CEO de Impermium. "Un ataque de varios pasos que va más allá del robo directo de datos confidenciales".
"Cuando los delincuentes entran en una cuenta de una red social, a menudo pueden encontrar detalles personales que agregan legitimidad a una pesca submarina", continuó Risher, quien citó a una asociación de antiguos alumnos como uno de esos detalles personales. Explicó que podría usarse para desbloquear la función de "pregunta secreta", que a veces pregunta cuál era la mascota de su escuela o el nombre de su primera mascota, en otro sitio web.
El peor caso
Chester Wisniewski, asesor de seguridad senior de Sophos, dijo que aunque Evernote y otros sitios web recientemente comprometidos aseguraron sus contraseñas con hashes criptográficos y datos aleatorios "salt", no todos los usuarios podrían estar protegidos. Explicó que si los usuarios eligen contraseñas débiles o comunes, "entonces los delincuentes probablemente la tengan".
Con la información limitada disponible, las contraseñas más fáciles aún podrían recuperarse. "Los delincuentes se enfrentarán a los realmente fáciles, y es posible que no se molesten con el resto", dijo Wisniewski.
Para algunos de los malos, basta con obtener acceso a cuentas de redes sociales como Facebook o Twitter. Algunos lo utilizan como una oportunidad para ganar dinero, al intentar propagar infecciones de malware. Más atacantes emprendedores pueden intentar usar la contraseña robada para desbloquear una cuenta de correo web.
"A menudo buscan correo del banco del usuario; a menudo hay una función de 'Olvidé mi contraseña' en ese banco que se basa únicamente en tener acceso a la cuenta de correo electrónico", dijo Risher.
Continuando en el peor de los casos, los atacantes podrían no ser ejecutados una vez que hayan obtenido acceso a la información bancaria en línea. "Muchos de estos tipos no van a involucrarse directamente en el robo de identidad, lo venderán", dijo Wisniewski.
Continuó explicando que en el caso de los troyanos bancarios, los atacantes utilizarán el 10 por ciento superior de las cuentas, es decir, las que tienen los fondos más disponibles, y venderán el otro 90 por ciento de la información. Esto significa que la información del usuario, una vez comprometida, puede continuar siendo utilizada y reutilizada hasta que el propietario finalmente recupere el control.
Mantente a salvo
"La buena noticia en todos los recientes es que no se tomó nada personalmente identificable", dijo Wisniewski, quien enfatizó varias veces que las compañías afectadas al menos parecen haber tomado buenas medidas para asegurar la información del usuario.
Pero como hemos visto, eso no siempre es suficiente. Los usuarios deben prestar atención a las advertencias para cambiar las contraseñas cuando lo soliciten los servicios pirateados. También deben esforzarse por seleccionar contraseñas seguras y únicas para cada servicio en línea, tal vez utilizando un administrador de contraseñas para facilitar la tarea.
Lo que es importante entender es que la información del usuario es valiosa y puede ser útil para los atacantes mucho después de que haya asegurado una cuenta afectada. Internet ofrece numerosas formas de divertirse y trabajar, pero también ofrece muchas formas de ataque.
