Por Max Dorfman, escritor de investigación, Triple-I
Es Cyber Safety 101: la autenticación de múltiples factores y las contraseñas difíciles de descifrar son elementos básicos para prevenir incursiones.
Sin embargo, “Contraseña”, “12345” y “Qwerty123” se encuentran entre las contraseñas más comúnmente filtradas en la internet oscura por piratas informáticos, según la empresa de seguridad móvil Lookout. Y, a pesar de la cantidad de atención que recibe el tema, la situación no parece estar mejorando.
Una encuesta realizada por EY, una firma de consultoría con sede en el Reino Unido, encontró que solo el 48 por ciento de los encuestados del gobierno y del sector público dijeron que tenían “mucha confianza en su capacidad para usar contraseñas seguras en el trabajo”. El problema se ejemplifica en un estudio reciente de la Oficina del Inspector Basic de EE. UU., parte del Departamento del Inside (DOI), la agencia responsable de administrar las tierras federales y los recursos naturales.
Resulta que piratear DOI es relativamente fácil.
En menos de dos horas, y gastando solo $15,000, la Oficina del Inspector Basic pudo obtener contraseñas de “texto claro” (no cifradas) para el 16 por ciento de las cuentas de usuario. En whole, 18 174 de 85 944 (el 21 % de las contraseñas de usuarios activos) fueron pirateadas, incluidas 288 cuentas con privilegios elevados y 362 cuentas de altos empleados del gobierno de EE. UU.
Gran parte de este problema, según el informe, se debe a la falta de autenticación multifactor, así como a los requisitos de complejidad de las contraseñas que permitieron que el private no relacionado usara las mismas contraseñas débiles. La Oficina del Inspector Basic encontró que:
- DOI no implementó de manera consistente la autenticación multifactor;
- Los requisitos de complejidad de la contraseña estaban desactualizados y eran ineficaces; y
- El departamento no desactivó oportunamente las cuentas inactivas ni hizo cumplir los límites de antigüedad de las contraseñas, lo que dejó a más de 6000 cuentas activas adicionales vulnerables a ataques.
La contraseña reutilizada con mayor frecuencia se usó en 478 cuentas activas únicas. Los investigadores encontraron que cinco de las 10 contraseñas más reutilizadas en el DOI incluían una variación de “contraseña” combinada con “1234”.
Las contraseñas simples facilitan la piratería
Dado que la persona promedio tiene más de 100 cuentas en línea diferentes con contraseñas, la reutilización de contraseñas es comprensible, pero las contraseñas simples facilitan que los piratas informáticos accedan a cuentas y datos personales.
“Las contraseñas comprometidas, débiles y reutilizadas aún representan la mayoría de las violaciones de datos relacionadas con la piratería y son uno de los principales problemas de riesgo para la mayoría de las empresas”, dijo Gaurav Banga, director ejecutivo y fundador de la firma de seguridad cibernética Balbix. En 2020, Balbix descubrió que el 99 % de los usuarios empresariales reciclan contraseñas entre cuentas laborales o entre cuentas laborales y personales.
Un peligro creciente
“El costo de los ataques de ransomware ha aumentado a medida que los delincuentes se han dirigido a empresas más grandes, cadenas de suministro e infraestructura crítica”, cube Allianz en su Barómetro de riesgos de 2023 de Allianz. “En abril de 2022, un ataque impactó alrededor de 30 instituciones del gobierno de Costa Rica, paralizando el territorio durante dos meses”.
La aseguradora international continúa diciendo: “Los ataques de doble y triple extorsión son ahora la norma…. Los datos confidenciales se roban cada vez más y se utilizan como palanca para demandas de extorsión a socios comerciales, proveedores o clientes”.
Parte de este crecimiento se debe al aumento del “ransomware como servicio”, un modelo comercial basado en suscripción que permite a los afiliados utilizar herramientas de ransomware existentes para ejecutar ataques. Basado en el modelo de “software program como servicio”, ayuda a los malhechores a atacar a sus objetivos sin tener que saber codificar ni contratar programadores sin escrúpulos.
Cambiando objetivos
Michael Menapace, abogado de seguros de Wiggin and Dana LLP y becario no residente de Triple-I, dijo a los asistentes al Foro Conjunto de la Industria 2022 de Triple-I que “el ransomware como modelo de negocio sigue vivo y coleando”.
Lo que ha cambiado en los últimos años, dijo, es que “donde los malos encriptaban sus sistemas y extraían un rescate para devolverle sus datos, ahora exfiltrarán sus datos y amenazarán con hacerlos públicos”.
Los tipos de objetivos también han cambiado, dijo Menapace, con un mayor enfoque en “objetivos más suaves, en specific, municipios” que a menudo no tienen el private o las finanzas para mantener la misma higiene cibernética que las grandes entidades corporativas.
Las organizaciones y las personas deben tomar en serio la amenaza de los ataques cibernéticos y hacer todo lo posible para reducir su riesgo. Las políticas y prácticas mejoradas de higiene cibernética son un primer paso necesario.
