- La fuga plantea riesgos significativos, especialmente a través de ataques de fuerza bruta y relleno de credenciales, donde los atacantes usan las contraseñas filtradas para obtener acceso no autorizado a las cuentas.
- “Las filtraciones de datos se han vuelto tan habituales hoy que sirven para recordar la importancia de la higiene de las contraseñas”.
Investigadores de Cybernews dieron a conocer de manera reciente sobre la filtración de datos RockYou2024, denominada así por el nombre del archivo de texto RockYou2024.txt que fue publicado en un foro de hackers por un usuario llamado «ObamaCare». Este archivo incluye contraseñas de más de 4,000 bases de datos recopiladas durante más de dos décadas de filtraciones, un total de al menos 10 mil millones de contraseñas en texto plano, una de las mayores fugas de contraseñas de la historia.
La fuga plantea riesgos significativos, especialmente a través de ataques de fuerza bruta y relleno de credenciales, donde los atacantes usan las contraseñas filtradas para obtener acceso no autorizado a las cuentas. De acuerdo con Satnam Narang, ingeniero senior de investigación en Tenable, «la razón por la que estas filtraciones de datos son tan valiosas para los piratas informáticos es que, por desgracia, los usuarios tienden a reutilizar las contraseñas en múltiples servicios. Esta práctica de reutilización de contraseñas facilita a los piratas informáticos la utilización de técnicas como el «relleno de credenciales» (credential stuffing), en las que los piratas «rellenan» estas «credenciales» en otros sitios web con la esperanza de iniciar sesión con éxito».
Satnam Narang destacó que la realidad es que las filtraciones de datos se han vuelto tan habituales hoy que sirven para recordar la importancia de la higiene de las contraseñas. La colección de contraseñas «RockYou2024» es solo uno de los ejemplos más recientes de combinación de datos procedentes de diversas filtraciones para crear una lista única de credenciales de inicio de sesión (combinaciones de nombre de usuario y contraseña).
«No podemos echar la culpa a los usuarios, porque la prevalencia de muchas aplicaciones y servicios diferentes les obliga a crear cuentas y simplemente es más fácil utilizar la misma contraseña. Aquí es donde servicios como los gestores de contraseñas pueden ser extremadamente beneficiosos para los usuarios. Los gestores de contraseñas están diseñados para crear contraseñas fuertes y únicas y pueden utilizarse para ayudar a los usuarios a iniciar sesión en sitios web sin tener que recordar varias contraseñas. Los usuarios solo tienen que recordar una única contraseña que controla su cuenta de gestor de contraseñas», señaló Narang
El experto recomienda además que para los servicios más sensibles, como el correo electrónico o la banca, los usuarios también deben utilizar la autenticación de dos factores cuando esté disponible. La autenticación de dos factores basada en aplicaciones, en la que se genera aleatoriamente una contraseña de un solo uso (OTP) cada 60 segundos, también puede utilizarse para impedir que los piratas informáticos accedan a una cuenta. Esto se debe a que, aunque el pirata informático pueda obtener contraseñas robadas de otra violación, es poco probable que tenga acceso físico al dispositivo móvil de alguien, por lo que no podrá introducir la OTP.
«Las filtraciones de datos no dejarán de producirse. Por eso es de vital importancia que los usuarios adopten una mejor higiene de contraseñas, por ejemplo mediante el uso de gestores de contraseñas, y que también consideren la posibilidad de mejorar la seguridad de las cuentas mediante el uso de la autenticación de dos factores, especialmente la autenticación de dos factores basada en aplicaciones», finalizó Satnam Narang.