Existe actualmente un aumento de los ataques de relleno de credenciales o credential stuffing en los que se prueban de forma automática distintas claves robadas hasta lograr acceder a la cuenta del usuario. Este es solo un ejemplo de los riesgos que conlleva emplear una única contraseña en Internet, algo bastante habitual por simple comodidad de los usuarios o bien debido a la dificultad de recordar claves más complejas. Según un estudio reciente de Proofpoint, el 45% de las personas empleadas afirma introducir siempre los mismos datos de acceso en diferentes plataformas. Una práctica que llegaría a tener repercusiones muy graves: si una contraseña queda comprometida, el ciberdelincuente podría suplantar la identidad del trabajador y poner en peligro a toda la empresa.
De igual modo, los atacantes continúan utilizando sofisticadas cepas de malware o keyloggers (registradores de pulsaciones de teclas) para hacerse con información sensible mediante campañas de phishing por correo electrónico. Incluso en el mejor de los escenarios, que es cuando el usuario accede a un servicio web con una contraseña única y bastante segura, un ataque cuidadosamente dirigido con ladrones o keyloggers podría revelar dicha clave y entregarla a los ciberdelincuentes.
Para Proofpoint, tanto los empleados como las empresas pueden poner de su parte para responder de forma efectiva ante estas amenazas. En el caso de reutilización de contraseñas, es importante la formación del usuario en cuanto a buenas prácticas de seguridad junto con la puesta en marcha de soluciones tecnológicas que liberen un poco de esa responsabilidad al usuario, ya que se trata de la ruta más explotada por los ciberdelincuentes de manera sistemática. La compañía de ciberseguridad insta así a las organizaciones a implementar la autenticación multifactor por norma. Como dato alentador está el uso creciente de aplicaciones de gestión de contraseñas con las que disminuyen los posibles riesgos causados por la vulnerabilidad humana. Asimismo, más allá de simples rutinas de capacitación del usuario basadas en web, Proofpoint recomienda realizar simulaciones de ataques como una forma eficaz y sostenible de defensa contra el phishing. Todo esto, si se combina con una protección sólida del correo electrónico para garantizar que haya menos ataques que lleguen a su objetivo, ayudará a reducir esa dependencia en la contraseña como última línea de defensa contra las amenazas.
Desde la compañía de ciberseguridad se prevé también que estos consejos dirigidos a usuarios y organizaciones dejen progresivamente a un lado el tema de las contraseñas. Ya hemos visto cómo se opta cada vez más por el reconocimiento facial y demás formas de autenticación biométricas, lo que hará que confiar en contraseñas pase en un tiempo a ser cosa del pasado. Aun así, y pese a que las vulnerabilidades técnicas sean más difíciles de explotar a futuro, las personas seguirán siendo el eslabón más amenazado con ataques mucho más personalizados y complejos.
Fuente: https://globbsecurity.com/