La mayoría de las contraseñas se vulnera en menos de una hora y muchas, en solo un minuto

“Los humanos somos muy vulnerables”. Lo afirma Yuliya Novikova, responsable de Inteligencia de Huella Digital de la empresa de ciberseguridad Kaspersky, tras un exhaustivo estudio de 193 millones de contraseñas que ha demostrado que solo dos de cada diez son seguras. La mayoría puede averiguarse en una hora y muchas de ellas, en solo un minuto. Y el coste es mínimo, los canales de la dark web (la red oculta a los buscadores convencionales) y de Telegram donde se comercializan armas de la ciberdelincuencia, ofrecen paquetes “todo incluido”: programas, servidores en la nube y datos de víctimas potenciales por solo 80 euros a la semana.

“Nuestros datos son como nuestras casas. ¿La dejaría abierta para que entre cualquiera?”, pregunta Lilian Balatsou, experta en lingüística de inteligencia artificial y doctora en Neurociencia Cognitiva por la Universidad de Bangor durante un encuentro de la firma de ciberseguridad en Atenas. La respuesta, tras el estudio de Kaspersky, es que sí, que la casa la dejamos abierta la mitad de las veces.

Novikova explica que el 40% de los ataques (un tercio de ellos seguidos de secuestro y extorsión) comienzan con una cuenta comprometida. Los empleados y suministradores de compañías con usuario y contraseña para operar reconocen que vulneran las normas de las corporaciones sobre seguridad, por tedio o por realizar sus tareas sin complicaciones añadidas.

De esta forma, estos poseedores de llaves de la casa la utilizan mal y dejan el seguro sin poner o permiten que las copien, más de una vez en un 21% de los casos. “El error humano es la principal causa de incidentes”, advierte Novikova, quien detalla que estos se han llegado a infectar 10 millones de sistemas el pasado año, un 32% más que a principios de la década.

Según los datos de Kaspersky, el 45% de las contraseñas se vulneran en menos de un minuto, el 14% en menos de una hora y otro 14% más en un día o menos de un mes. De esta forma, solo poco más de dos de cada 10 claves de acceso a sistemas críticos son robustas.

El resto utiliza nombres o palabras comunes o términos del diccionario que, aunque estén alterados por números o signos que sustituyen letras, son fácilmente vulnerables. Detrás no hay un pirata (hacker) empleando su tiempo en descifrarlas. “Los ciberdelincuentes son muy creativos, pero también perezosos”, afirma la experta de la firma de seguridad para señalar que en los canales de venta de armas de ataques informáticos ya se ofrecen, por 80 euros la semana, paquetes de suscripción que incluyen no solo las bases de datos de las víctimas vulnerables, sino también los programas y los servidores para poder ejecutarlos sin infraestructura propia. Estos sistemas son capaces de vulnerar incluso los protocolos de autenticación de múltiples factores, los que solo facilitan el acceso de un usuario cuando aporta dos o más pruebas diferentes de su identidad.

Soluciones

Marco Preuss, director adjunto del Equipo Global de Investigación y Análisis (GReAT) y jefe del Centro de Investigación de Kaspersky Europa, desconfía incluso de los sistemas de identificación biométrica, que considera que implican además el uso de información personal.

De esta forma, los expertos que han participado en el encuentro en Atenas se decantan por la generalización de los gestores de contraseñas, programas que pueden almacenar de forma segura usuarios y claves de acceso singulares e incluso generarlas de forma robusta para cada uso.

Además de estos, las tácticas más efectivas son: utilizar una contraseña diferente por cada servicio para que, en caso de robo, solo se vea vulnerada una cuenta, recurrir a palabras poco comunes o desordenarlas, comprobar mediante servicios online la robustez de la elegida, evitar que respondan a datos personales a los que puedan tener acceso los piratas (como nombres y fechas personales que accesibles a través de las redes sociales) y habilitar la autenticación de doble factor (2FA).

Rafael Conde del Pozo, director de innovación de Softtek, añade un elemento más de riesgo: los teléfonos. Según explica, “los dispositivos móviles se han convertido en extensiones de nosotros mismos y precisan de una protección integral contra las vulnerabilidades emergentes”.

En este sentido, propone dotarlos de sistemas de autenticación biométrica avanzada, populares en el pago con móviles; de comportamiento, que analiza patrones que no encajan con el usuario; e inteligencia artificial para identificar anomalías, cifrar datos y restringir accesos.

Sobre vulnerabilidades de los móviles, la división de Inteligencia de Amenazas de Check Point ha identificado múltiples campañas que aprovechan Rafel RAT, una herramienta de código abierto para dispositivos Android que se desarrolló para campañas de phishing (engaño) a través de mensajes y conversaciones con el fin de que el usuario instale aplicaciones maliciosas encubiertas bajo un nombre y un icono falsos. Estas solicitan amplios permisos, muestran páginas web legítimas o las imitan y luego rastrean de forma secreta el dispositivo para filtrar datos.

Las medidas de seguridad implican a todo tipo de programas, incluidas las aplicaciones de redes sociales. La misma compañía de seguridad, tras detectar accesos ilegales a través de mensajes directos en TikTok, recomienda establecer contraseñas robustas, configurar la autenticación de doble factor a través de la página de seguridad de la red para activar la función “iniciar sesión con verificación” y comunicar cualquier actividad extraña. Una vulnerabilidad en esta red ha afectado recientemente a cuentas de medios de comunicación y de personajes populares.

Puedes seguir a EL PAÍS Tecnología en Facebook y X o apuntarte aquí para recibir nuestra newsletter semanal.