La huella digital de los usuarios de Internet abarca redes sociales, registros financieros e información de carácter sensible, como fotografías, en servicios de almacenamiento en la nube. A menudo, una dirección de correo es el único respaldo de todas ellas. Hallando la contraseña o las preguntas de seguridad de recuperación, los ciberdelincuentes pueden descargar todos los datos de la víctima, robar sus credenciales bancarios o borrar sus copias de seguridad.
Personalidades como el presidente de la República Francesa Emmanuel Macron, la exgobernadora Sarah Palin o la agencia de noticias estadounidense Associated Press sufrieron el secuestro de sus cuentas online. Aun así, a pesar de la creciente preocupación de los usuarios por su seguridad, la información siempre se dirige a las medidas preventivas que podrían adoptar las víctimas y pocas veces a la raíz del problema: cómo ocurren las grandes brechas de seguridad, dónde se compran las listas de credenciales robadas o cuáles son los métodos preferidos de los delincuentes.
Sobre esta premisa, Google, en colaboración con la Universidad de California en Berkeley, ha analizado durante un año el ecosistema de robo y compraventa de credenciales en los mercados negros de internet profundo e identificó 788.000 víctimas potenciales de keyloggers, programas que capturan lo que teclea el usuario o lo que ve a través de su pantalla para enviarlo a un servidor externo controlado por el hacker, 12,4 millones de víctimas potenciales a los kits de phishing, práctica que engaña al usuario para que introduzca sus credenciales en una web controlada por el atacante, y 1.900 millones de credenciales expuestos por brechas de seguridad que son vendidas en los mercados negros.
Clasificados por su riesgo, detectamos que el phishing es la mayor amenaza, seguida por los keyloggers y las brechas de seguridad en servicios de terceros
Según los investigadores, entre el 12 % y el 25 % de los ataques de phishing y keylogger dieron con una contraseña válida para acceder a la cuenta de Google de la víctima. Pero los ciberdelincuentes van más allá, y usan herramientas cada vez más sofisticadas que intentan obtener el número de teléfono, la dirección IP y la geolocalización para burlar las medidas de seguridad que implementan los servicios web.
“Clasificados por su riesgo, detectamos que el phishing es la mayor amenaza, seguida por los keyloggers y las brechas de seguridad en servicios de terceros”, concluye Google en su estudio. Las brechas de seguridad, como la sufrida por Yahoo, afectan directamente a la seguridad de las cuentas de Gmail u otros servicios. Según el estudio, entre el 7 % y el 25 % de las contraseñas obtenidas coinciden con la establecida en Gmail porque los usuarios tienen a reutilizarlas.
España está entre los 10 países más afectados por las grandes brechas de seguridad y los kits de phishing aunque la mayoría se concentran en Estados Unidos, según la investigación.
La autenticación en dos pasos y las medidas de seguridad extra que implementan servicios como Gmail, pueden evitar el secuestro inmediato de las cuentas al conocer la contraseña, pero no es siempre suficiente. Los ciberdelincuentes pueden contar con herramientas para interceptar los SMS de la verificación en dos pasos o la geolocalización del dispositivo. Es preferible emplear métodos de autenticación dedicados como Google Authenticator o la verificación a través de aplicación que ofrece Twitter en iOS y Android.
Aunque la verificación en dos pasos sea la solución más eficaz e inmediata, Google detectó que sólo el 3,1 % de las víctimas que recuperaron su cuenta habilitaron esta protección para prevenir futuros secuestros. “La educación del usuario es la mejor iniciativa para aumentar la seguridad de los usuarios”, dicen los investigadores.
Los lectores de huella dactilar, o el novedoso sistema de reconocimiento facial que incorpora el nuevo iPhone X, son las mejores opciones por implementar una segunda verificación fuerte, única y difícilmente quebrantable por los delincuentes. Además, no requiere una concienciación e instrucción previa del usuario porque es guiado para que la establezca desde el primer momento en el que enciende el teléfono.
ELPAIS