VIDEO RELACIONADO - Entrevistas COVID-19: César Hidalgo, tecnología frente al coronavirus (10:51)
El mes pasado, Zoom se unió a una larga lista de compañías cuyos datos de usuarios han sido víctimas de hackers. Se descubrieron en la dark web más de medio millón de inicios de sesión de cuentas para la enormemente popular plataforma de videoconferencia, ofrecidos de forma gratuita o por casi nada.
Si bien algunos usuarios pueden verse tentados a culpar a la compañía por esto, en realidad es parte de un problema mucho mayor que involucra a los piratas informáticos, un rincón ilegal de Internet y nuestra propia incapacidad para elegir mejores contraseñas.
Así es como su información personal termina en la web oscura, y qué puede hacer para protegerse.
El problema de la contraseña
Cientos de millones de cuentas se ven comprometidas cada año en violaciones de datos a través de phishing, malware y otros tipos de ataques. Más de 11.600 millones de registros se han violado desde 2005, según un recuento en curso realizado por la organización sin fines de lucro Privacy Rights Clearinghouse con sede en California.
Esas cuentas a menudo se descargan en foros de piratas informáticos o se colocan en la dark web, una colección de sitios web a los que sólo se puede acceder mediante un tipo especial de navegador llamado Tor, que significa The Onion Router (los sitios web oscuros terminan con .onion).
Originalmente creado por la Marina de los EE.UU. en 2002 para permitir la comunicación anónima en línea, el cifrado mejorado y el anonimato del sistema implica que a menudo se use para actividades ilegales, incluidas las ventas de drogas.
Los piratas informáticos compran bases de datos de contraseñas robadas y bombardean otros sitios web con ellos hasta que uno funcione, una técnica bastante común conocida como relleno de credenciales. También ejecutan variaciones de la contraseña con diferentes combinaciones, según Beenu Arora, CEO de la firma de ciberseguridad con sede en Atlanta, Cyble. Si una de esas contraseñas funciona en otro servicio, un banco, por ejemplo, puede volver a publicarse o venderse en la dark web.
"Eso sucede mucho", dijo Bruce Schneier, experto en ciberseguridad y miembro del Centro Berkman de Internet y Sociedad de la Universidad de Harvard. "Hay una gran violación de datos, y luego alguien probará el mismo nombre de usuario y contraseña en un banco, en Google. Simplemente pruébelo. Muchos de nosotros reutilizamos las contraseñas, por lo que podría tener suerte".
El relleno de credenciales probablemente fue la forma en que los piratas informáticos lograron acceder a más de 500,000 cuentas de Zoom que luego publicaron en la dark web, según Cyble, que primero marcó su disponibilidad. Un portavoz de Zoom confirmó a CNN Business que su "investigación en curso" sugiere que los "malos actores" se basaron en el método de relleno de credenciales.
"Es común que los servicios web que sirven a los consumidores sean el objetivo de este tipo de actividad, que generalmente involucra a los malos actores que prueban un gran número de credenciales ya comprometidas de otras plataformas para ver si los usuarios los han reutilizado en otro lugar", dijo el portavoz en un comunicado.
Las cuentas de Zoom pueden haber estado disponibles por apenas un centavo cada una, pero ese no es siempre el caso, especialmente cuando la información más sensible o detallada se ve comprometida. Arora dijo que ciertas contraseñas en la dark web, particularmente aquellas que brindan acceso a información financiera o médica, pueden venderse por hasta US$ 1.000 cada una.
La principal fuente de vulnerabilidad, dicen los expertos, es que las personas tienden a usar la misma contraseña en varias cuentas o no cambian sus contraseñas incluso después de haber sido violadas. Microsoft estima que alrededor del 73% de las contraseñas son duplicados.
"El eslabón más débil es el comportamiento humano", dijo Kiersten Todt, un ex funcionario de seguridad cibernética en la administración Obama y actualmente director gerente del Instituto de Preparación Cibernética, que asesora a las empresas sobre cómo proteger sus redes.
"A menudo pensamos que muchas de estas cosas requieren mucha ingeniería técnica y ciencia profunda, pero en realidad son solo algoritmos" que explotan nuestra tendencia a usar contraseñas fáciles de recordar en múltiples lugares, agregó Todt.
Lee también: 5 herramientas para videollamadas grupales durante el aislamiento por coronavirus
Averigua si has sido hackeado
Hay algunas compañías que ofrecen escaneos gratuitos de dark web, que le permiten enviar información, incluido su número de seguro social, información de tarjeta de crédito y número de teléfono, si sospecha que alguno de ellos ha sido pirateado. Luego, las compañías buscarán en la dark web y le informarán si encuentran algo.
Pero estos escaneos tampoco son infalibles. "No hay forma de que una empresa busque en toda la dark web", escribieron los investigadores del proveedor de software antivirus NortonLifeLock en una publicación de blog . "Una exploración puede descubrir si sus datos han sido expuestos. Pero no puede encontrar cada vez que ha ocurrido". Si no está dispuesto a pasar por ese proceso que lleva más tiempo, y no desea dar la misma información confidencial que le preocupa haber estado expuesto en primer lugar, varios sitios ofrecen servicios que simplemente permiten ingrese su dirección de correo electrónico y le dirá en cuestión de segundos si fue parte de una violación conocida.
Google en diciembre agregó una nueva actualización a su navegador Chrome que advierte a las personas si se han violado sus nombres de usuario y contraseñas. Cyble promociona su propio servicio, un sitio web llamado AmIBreached.com, donde los usuarios pueden ingresar sus ID de correo electrónico para averiguar si se vio comprometido y cuándo. Otros proveedores de antivirus como Avast tienen servicios similares. Schneier dijo que hace que sus estudiantes de Harvard verifiquen sus detalles en haveibeenpwned.com.
Curioso y un poco preocupado al darme cuenta de que nunca lo había verificado antes, ejecuté mi dirección de correo electrónico personal a través de algunos de estos servicios. Después de unos ansiosos segundos cuando toda mi vida en línea apareció ante mis ojos, vi el temido símbolo rojo de signo de exclamación dentro del triángulo y descubrí que fue traspasado al menos dos veces en 2017.
Definitivamente no sé cuántos sitios he creado inicios de sesión en las casi dos décadas que he estado usando Internet, pero como descubrí, todo lo que se necesita es una contraseña incorrecta de cualquier servicio, aunque sea olvidable. Resulta que los culpables fueron 8tracks, un servicio de lista de reproducción seleccionado que utilicé durante unos meses cuando era adolescente antes de que Spotify se convirtiera en algo, y otro a través del sitio web indio de reservas de viajes Yatra.com.
No recuerdo la última vez que utilicé ninguno de los dos sitios y, por suerte, definitivamente cambié mis contraseñas desde 2017.
Lee también: "Hasta qué punto podemos jugar a ser dioses": La realidad virtual, la puerta de ingreso a la "matrix"
Cómo protegerte
Una vez que su cuenta ha sido comprometida, no hay mucho que pueda hacer para cambiar su contraseña.
"Así que me robaron mi contraseña, ¿hay alguna forma de que pueda recurrir a todos los delincuentes del planeta, a sus computadoras y eliminar mi nombre? No", dijo Schneier. "Cambia tu contraseña".
Si no ha sido "hackeado", por otro lado, puede evitar varios tipos de ataques simplemente usando contraseñas menos comunes o usando contraseñas diferentes para cada una de sus cuentas.
Todt dice que una solución fácil es usar "frases de paso", oraciones completas que tienen al menos 15 caracteres de longitud en lugar de una sola palabra o combinación de palabra y número. Los equipos deportivos también son una buena jugada, dijo, si inicias sesión usando algo como 'Mi equipo deportivo favorito son los Gigantes de San Francisco' en lugar de solo 'Gigantes de San Francisco'.
Y para aquellos que no pueden o no quieren recordar docenas de contraseñas diferentes, Todt recomienda administradores de contraseñas como 1Password, LastPass y Dashlane, servicios en línea que pueden encriptar y almacenar múltiples contraseñas para que no tenga que seguir escribiéndolas y puede evitarlas automáticamente ser reutilizado en todas las cuentas.
Sin embargo, incluso esos servicios a veces pueden ser vulnerables: LastPass fue violado en 2015 , cuando los piratas informáticos obtuvieron acceso a direcciones de correo electrónico, recordatorios de contraseña y versiones codificadas de contraseñas.
Los usuarios también pueden apuntalar sus contraseñas agregando otro obstáculo entre ellos e iniciar sesión en muchos sitios. La autenticación de múltiples factores, también conocida como autenticación de dos factores, requiere una credencial externa adicional junto con su contraseña, como su huella digital, una combinación de números que cambia con frecuencia que obtiene de una aplicación o un código de una sola vez que puede ser enviado por correo electrónico o mensaje de texto a usted.
Todt dice que los usuarios tienen una capacidad mucho mayor para obstaculizar a los hackers de lo que creen. "En realidad es una fuente de empoderamiento, si reconoce que está en su poder tener una autenticación fuerte", dijo. "Así que tiene el poder de prevenir y frustrar la mayoría de los tipos de ataques maliciosos comunes".
Lee también: Polémica tecnología que usa datos personales para detectar el coronavirus
08/05/2020
13:35
