Errores y riesgos asociados a la creación de contraseñas

Con motivo del Día Mundial de la Contraseña, que se celebra hoy, 2 de mayo, Kaspersky pone de relieve los errores más comunes que tienen lugar por parte de las empresas y usuarios a la hora de crear una contraseña. Al mismo tiempo, quiere advertir acerca de los riesgos que implica utilizar una contraseña poco segura frente a los ciberatacantes.

Según el informe de la compañía, ‘Influencia de la tecnología en la vida de los españoles’, cerca del 20% de los encuestados utiliza siempre las mismas contraseñas para proteger sus cuentas. De acuerdo con dicho estudio, es crucial reflexionar sobre la importancia de una gestión segura de contraseñas.

En un mundo digital en constante evolución, las grandes empresas tecnológicas continúan innovando en sistemas de seguridad con el fin de ofrecer soluciones cada vez más sofisticadas, como la autenticación de doble factor o el cifrado. Sin embargo, los robos de contraseñas siguen siendo notables. De hecho, la telemetría de Kaspersky muestra que en 2023 se produjeron más de 32 millones de ataques con programas de robo de contraseñas, después de los más de 40 millones que se produjeron en 2022.

Además, a principios de este 2024, los expertos de Kaspersky Digital Footprint Intelligence descubrieron que Roblox, plataforma de videojuegos en línea, fue una de las más afectadas, siendo víctima del robo de 34 millones de datos de acceso. Esto supone una gran amenaza para todos los usuarios, especialmente para los niños suscritos a la plataforma, así como a su entorno.

Credenciales expuestas a malware de robo de datos

De igual modo, las credenciales de varios servicios de IA (edición de imágenes, traducción, ajuste de textos, chatbots o generadores de voz) se están viendo comprometidas debido a su creciente popularidad.

Según los expertos de la compañía, en los últimos tres años, aproximadamente 1.160.000 credenciales de usuarios de aplicaciones (inicios de sesión y contraseñas) de la herramienta de diseño gráfico online Canva, por ejemplo, se vieron comprometidas con malware de robo de datos y aparecieron en foros de la dark web y en canales de Telegram. A otro popular asistente de escritura por IA, Grammarly, le robaron unas 839.000 contraseñas de usuario entre 2021 y 2023.

No obstante, las contraseñas siguen siendo la primera línea de defensa contra los ciberataques y un uso descuidado de las mismas puede exponer a usuarios y organizaciones a riesgos significativos en su seguridad cibernética. El estudio de ‘Influencia de la tecnología en la vida de los españoles’ revela cuáles son los principales errores que comenten los españoles en torno a la seguridad de los dispositivos con los que se conectan a Internet, comprometiendo así la privacidad y seguridad de los datos.

Aceptar las cláusulas y condiciones sin leerlas al hacer alguna compra o descargar software, encabeza la lista de errores más comunes entre los españoles (47%), seguido de tener la geolocalización activada de forma permanente (27%) y utilizar siempre las mismas contraseñas (19,5%).

Todos los datos vendidos en la dark web pueden utilizarse para la extorsión, ejecución de estafas y esquemas de phishing y el robo directo de dinero. Ciertos tipos de datos, como el acceso a cuentas personales o bases de datos de contraseñas, pueden ser usados no sólo para obtener beneficios económicos, sino también para dañar la reputación y suplantar la identidad.

Prevenir y evitar ciberataques mediante una gestión adecuada de las contraseñas

En este sentido, los expertos destacan las equivocaciones más comunes por parte de los usuarios y las empresas a la hora de crear una contraseña, así como los riesgos asociados, y señalan cómo prevenir y evitar ser víctima de un ciberataque:

• Uso de contraseñas débiles. El uso de contraseñas débiles, como la fecha de nacimiento o el nombre de la mascota, entre otros, sigue siendo uno de los errores más comunes. Estas contraseñas son fáciles de adivinar para los atacantes y proporcionan una seguridad mínima, si es que la proporcionan. Por ello, los expertos de Kaspersky recomiendan utilizar contraseñas sólidas y complejas, así como emplear un gestor de contraseñas que ayude a generar claves seguras y evitar que puedan ser descifradas por los ciberatacantes.

• Reutilización de contraseñas. Como revela el estudio, muchas personas tienden a utilizar la misma contraseña para múltiples cuentas online. Esto significa que, si una cuenta se ve comprometida, todas las demás también están en riesgo. Es crucial cambiar de contraseña regularmente y utilizar contraseñas diferentes para cada cuenta.

• Falta de actualización. No actualizar el software de los dispositivos de manera regular puede comprometer también a efectividad de las contraseñas. Estas actualizaciones contienen parches de seguridad que protegen a los equipos. Por ello, es importante que los usuarios se mantengan informados acerca de las novedades y actualizaciones de los dispositivos que se utilizan, y actualizarlos siempre que sea posible.

• Compartir contraseñas con amigos o familiares, en ocasiones, puede parecer conveniente, pero también es extremadamente arriesgado. Esto podría llevar a una pérdida de control sobre quién tiene acceso a la cuenta y comprometer la seguridad de la misma.

• Prescindir del uso de autenticación de doble factor (2FA). La autenticación de dos factores proporciona una capa adicional de seguridad al requerir una segunda forma de verificación, como un código enviado por SMS a un dispositivo móvil o generado en una aplicación especial de autenticación. No activar esta función deja a las cuentas expuestas a sufrir ataques de suplantación de identidad. Además, algunos servicios, como Google, ya ofrecen autenticación sin contraseña mediante claves de acceso, mientras que otros favorecen la autenticación biométrica frente a las contraseñas tradicionales.

• Contraseñas emoji. Ante una de falta imaginación para inventar algo nuevo, las contraseñas emoji podrían ser una opción bastante segura. Dado que forman parte del estándar Unicode, es posible utilizarlos como contraseñas. Una de las ventajas más significativas es que los estafadores no pueden descifrar este tipo de combinaciones. En este enlace el usuario tiene más información sobre cómo configurar una contraseña emoji y los requisitos necesarios.

• Método ‘de asociación’. Este método consiste en crear una contraseña a partir de una secuencia de palabras o ideas que tengan un significado personal, pero que no sean fáciles de adivinar por los demás. Una contraseña puede basarse en una cita favorita, la letra de una canción inolvidable o una combinación única de objetos. Esta técnica genera contraseñas fuertes sin necesidad de una memorización compleja, lo que ayuda a mantener la seguridad al tiempo que reduce el riesgo de olvido. Por ejemplo, la frase «Visité París por primera vez en 2008» podría transformarse en una contraseña “vPpPvE2o:o8”.

“Utilizar una contraseña poco segura, así como no tener una buena gestión de la misma, puede derivar en graves consecuencias, incluida la pérdida de datos confidenciales, robo de identidad y daño a la reputación de una empresa, entre otras muchas. En un entorno digital cada vez más hostil, es fundamental que tanto las organizaciones como los particulares tomen medidas proactivas para protegerse contra las amenazas cibernéticas. En el Día Mundial de la Contraseña, instamos a todos a revisar y fortalecer sus prácticas de seguridad de claves, trabajando juntos hacia un mundo digital más seguro”, concluye Marc Rivero, lead security researcher de Kaspersky.