Se ha descubierto una base de datos de 1,400 millones de contraseñas de usuarios en la dark web (red oscura), que allana el camino para lo que los expertos en seguridad esperan que sea una “epidemia de delitos cibernéticos”.
La información compilada a partir de 252 violaciones de datos de sitios web como LinkedIn, MySpace, Netflix y YouPorn permite un acceso fácil a la lista de información más grande sobre los usuarios.
El monitor de estos sitios Julio Casal describió la base de datos en una publicación de su blog como de fácil acceso e interactiva, lo que significa que “incluso hackers novatos y no sofisticados” pueden explotarla.
“Ninguna de las contraseñas está encriptada, y lo que da miedo es [que] hemos probado un subconjunto de estas contraseñas y la mayoría de ellas han sido verificadas como verdaderas”, escribió Casal en el blog.
Los investigadores de seguridad han llamado a la base de datos 41GB un “tesoro” para los ciberdelincuentes, especialmente teniendo en cuenta lo fácil que es buscar los datos.
Al buscar nombres de usuario o direcciones de correo electrónico en diferentes sitios web vulnerados, los delincuentes podrían buscar patrones de contraseña que podrían utilizarse para acceder a otras cuentas.
“Con tantas cuentas en línea propiedad de cada uno de nosotros, puede ser bastante difícil determinar qué cuentas tenemos (y las hemos olvidado) y cuáles contienen datos”, dijo en un comunicado por correo electrónico Mark James, especialista en seguridad de ESET a Newsweek.
“Con cada violación que ocurre, los datos que se roban pueden mostrar patrones y tendencias en nuestras prácticas de contraseñas: si nos vemos obligados a cambiar contraseñas regularmente, puede mostrar nuestros procesos de pensamiento que podrían permitir a un atacante utilizar esa información para ataques posteriores”.
Otros expertos en seguridad dicen que la base de datos también debería servir como una llamada de atención a las empresas cuando se trata de su seguridad y protección de los datos de los clientes.
En un comentario enviado por correo electrónico, la directora de seguridad de NuData, Lisa Baergen, lo llamó una “advertencia clara” para que las organizaciones consideren la ciberseguridad como una prioridad y no dependan tanto de las comprobaciones de seguridad que utilicen en contraseñas.
“Cuando las empresas verifican a sus clientes con más que solo datos estáticos, no están expuestos a los riesgos que presentan bases de datos como esta”, dijo Baergen.
“La biometría pasiva monitorea el comportamiento de cómo los usuarios sostienen el dispositivo, qué dedos usan y qué tan rápido escriben, que no puede ser replicado por un actor malo … Con una solución de autenticación multicapa más sólida [las empresas] pueden evitar fácilmente intentos de adquisición de cuentas que utilizan PII [información de identificación personal] de la red oscura”.
Andrew Clarke, director de One Identity, agregó: “Las empresas deben darse cuenta de que la antigüedad de la contraseña ya pasó, y aquí hay un ejemplo de por qué este es el caso. Hemos visto muchas empresas que permiten que sus usuarios establezcan contraseñas débiles como ‘123456’”.
“Pero también, los usuarios reutilizan sus contraseñas para servicios personales y comerciales. Ambos resultan en ganancias fáciles para los criminales “.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek