El equipo de investigación de Microsoft encuentra la reutilización de contraseñas desenfrenada
¿Qué pasaría si le dijera que el 1,5% de las contraseñas filtradas públicamente todavía se utilizan para iniciar sesión en las cuentas de Microsoft? No parece mucho, pero en realidad equivale a 44 millones de usuarios que todavía usan contraseñas filtradas para sus cuentas de Microsoft. Esto es lo que encontró el equipo de investigación de Microsoft cuando realizó un análisis de sus cuentas de usuario y de Azure AD frente a los tres mil millones de credenciales filtradas públicamente durante el primer trimestre del año.
Preguntamos a algunos destacados profesionales de la seguridad sobre la proliferación de la reutilización de contraseñas y qué otras opciones hay para que las personas fortalezcan sus medidas de seguridad:
Stuart Sharp, vicepresidente de ingeniería de soluciones en OneLogin
“La reutilización de contraseñas es un problema enorme y este análisis solo resalta la gravedad de la situación. Ya sea a sabiendas o sin saberlo, las personas están utilizando credenciales comprometidas para acceder a datos personales y corporativos confidenciales, lo que pone a las organizaciones y a las personas en riesgo de ataques desastrosos por parte de malos actores. La autenticación multifactor ya no es solo la mejor práctica de seguridad, sino una necesidad fundamental para las aplicaciones corporativas y personales por igual. Siempre que sea posible, se deben utilizar formas más sólidas de autenticación multifactor, como WebAuthn con biometría en el dispositivo «.
Gavin Millard, vicepresidente de inteligencia en Sostenible
“La reutilización de contraseñas y la autenticación de un solo factor es uno de los mayores problemas de ciberseguridad que enfrentamos en la actualidad. Es frustrante que no importa lo fácil que los administradores de contraseñas faciliten el almacenamiento y el uso de contraseñas complejas para los servicios en línea, o la opción de agregar un segundo mecanismo de autenticación, como un código SMS enviado a un dispositivo móvil, la adopción sigue siendo lamentablemente baja.
“Como individuos, necesitamos cambiar nuestra forma de pensar al proteger cualquier cuenta en línea, empleando el mismo nivel de protección que adoptamos para asegurar nuestras cuentas financieras. Esto significa alejarse no solo de la reutilización de contraseñas, sino también fortalecerlas, especialmente para las cuentas en las que compartimos detalles confidenciales o información personal, y usar siempre un segundo factor si está disponible «.
Javvad Malik, defensor de la conciencia de seguridad en KnowBe4
“Cuando observamos la gran cantidad de servicios y aplicaciones diferentes que las personas usan y requieren registrarse, no sorprende que las personas reutilicen las credenciales. Es por eso que es tan importante educar y crear conciencia entre los usuarios sobre los peligros de reutilizar las credenciales y cómo puede conducir a la apropiación de cuentas. Una vez que las personas comprenden los riesgos, pueden tomar decisiones informadas para protegerse mejor a través de medios como habilitar MFA cuando esté disponible y usar un administrador de contraseñas para elegir contraseñas más sólidas y únicas para cada sitio en el que se registren «.
Robert Ramsden-Board, vicepresidente de EMEA, Securonix
“En el panorama actual de la seguridad cibernética, no podría ser más cierto decir que las contraseñas son el eslabón más débil. Necesitamos crear varias versiones de ellos, hacerlos difíciles de adivinar y memorizarlos. Por lo tanto, no sorprende que la reutilización de contraseñas sea tan desenfrenada.
“La autenticación de dos factores puede ayudar a abordar el riesgo que representa la reutilización de contraseñas. Sin embargo, las organizaciones y los usuarios deben explorar alternativas a la contraseña de texto tradicional, como la autenticación basada en la persona, que se basa en una combinación de elementos ‘geográficos’ y de comportamiento para determinar la identidad o un sistema de puntuación de confianza que permite a los usuarios iniciar sesión y desbloquear dispositivos a través de una puntuación de confianza que se calcula utilizando varios factores de comportamiento, como la ubicación, el reconocimiento facial y el patrón de escritura. Si bien es cierto que las contraseñas no van a desaparecer pronto, hay formas de fortalecerlas para mantener seguros a los usuarios y sus datos, y estas opciones deben implementarse en 2020 y más allá «.
Eoin Keary, CEO y cofundador de edgecan:
“¿Por qué la gente reutiliza las contraseñas? Porque tienen demasiados para recordar. Contraseñas de trabajo, servicios públicos, banca, inicios de sesión en cuentas de portátiles, etc. ¿Cómo puede una persona promedio recordar tantas? Además, un usuario normal no utiliza una bóveda de contraseñas o una solución de almacenamiento, independientemente de las recomendaciones.
“El problema con la reutilización de contraseñas en muchos servicios es que si un servicio es violado, la contraseña revelada se usa a menudo en ataques de relleno de credenciales que intentan acceder a otros servicios y sitios web. Este tipo de ataque es cada vez más común y apuesta por la costumbre generalizada de que los usuarios reutilicen sus contraseñas.
«Las soluciones como la autenticación multifactor ayudan a resolver el problema de la reutilización de contraseñas, ya que también requieren una contraseña de un solo uso en el momento del inicio de sesión que cambia cada vez»
Lamar Bailey, director senior de investigación de seguridad en Tripwire
“Es una buena práctica asegurarse de que las personas tengan diferentes contraseñas para diferentes cuentas, y estas contraseñas deben ser frases de contraseña que no sean fáciles de adivinar. Educar a la fuerza laboral sobre los aspectos básicos de la seguridad, como no reutilizar contraseñas para numerosas cuentas o no hacer clic en correos electrónicos, enlaces o archivos adjuntos maliciosos, naturalmente reducirá la amenaza de un ataque. Lamentablemente, las personas son el eslabón débil de la pirámide de seguridad con los piratas informáticos que se aprovechan de esta ingenuidad y esto debe cambiar.
Ahora es fundamental que los usuarios comprueben las contraseñas y los nombres de usuario comprometidos de forma regular. Muchas bóvedas de contraseñas como LastPass y Dashlane harán esto automáticamente por usted o puede usar un servicio como https://haveibeenpwned.com/