Con la Inteligencia Artificial aumentando la peligrosidad de cualquier amenaza, las contraseñas son, cada vez más, un blanco de ataque.
No puede ser de otra manera. Después de todo, la primera línea de defensa de cualquier sistema suele tener la debilidad de que es creada por personas.
Una pregunta frecuente en algunos círculos de analistas tecnológicos es por qué la ciberseguridad no ha encontrado aún un mecanismo más seguro que sustituya a la contraseña.
Después de todos, pareciera que es el eslabón débil de la cadena de seguridad de personas y empresas.
La respuesta podría ser que, a pesar de que es un recurso mal utilizado con demasiada frecuencia, la ventaja de la contraseña está, precisamente, en que puede ser única e irrepetible.
De hecho, el problema con ellas es que los usuarios, por comodidad, la hacen fácilmente predecible, en más de una manera.
“Las contraseñas que empleamos en los dispositivos y servicios son uno de los pilares básicos de la ciberseguridad. Sin embargo, son muchos los internautas que siguen usando las mismas claves. Esto pone en peligro sus datos personales”, señala un reporte de Statista sobre la importancia de este instrumento.
En este reporte, el portal estadístico destaca que, debido a su importancia, las contraseñas merecen que se les otorge la importancia que merecen. Hacerlas robustas.
Es decir, que tengan al menos doce caracteres, mayúsculas, minúsculas, números y caracteres especiales. Además, no deberían compartirse con nadie, además de que deben actualizarse a menudo.
Riesgos y credenciales
Lo cierto es que, con las contraseñas en la base de la identidad digital, los ataques para obtener datos que permitan descifrarlas se incrementan exponencialmente.
En 2024, el robo de contraseñas superó al phishing como segundo vector de ataque más frecuente, solo detrás de la explotación de vulnerabilidades.
Esta tendencia confirma lo que expertos ya advertían: las contraseñas débiles y reutilizadas son puertas abiertas al fraude financiero, la pérdida de privacidad y la instalación de ransomware.
“Las contraseñas son la primera línea de defensa contra el robo de identidad y las intrusiones en la privacidad”, aseguró en su diagnóstico el Jefe del Laboratorio de Investigación de ESET Latinoamérica, Camilo Gutiérrez Amaya.
Sin embargo, esta línea se erosiona cada vez más por prácticas inseguras como compartir credenciales, usar combinaciones obvias y omitir la autenticación de doble factor.
De esta manera, el año pasado, las contraseñas más comunes volvieron a ser combinaciones de números y palabras fáciles de adivinar.
Así lo demuestra el administrador de contraseñas NordPass en su estudio sobre las claves más usadas en 2024. El análisis, elaborado en colaboración con investigadores independientes especializados en incidentes de ciberseguridad, evalúa una base de datos de 2,5TB de 44 países.
Pero, concientizar a los usuarios, más allá de campañas efímeras, debe convertirse en cultura organizacional y hábito digital.
Especialmente, cuando las credenciales comprometidas terminan en foros clandestinos, listas negras o como vectores para ataques dirigidos.
Anatomía del robo o cómo los atacantes consiguen contraseñas
Los métodos para obtener credenciales se han vuelto más sofisticados y complementarios.
ESET categoriza las principales técnicas en cuatro vectores:
- Phishing e ingeniería social: Los usuarios son inducidos a revelar sus contraseñas en sitios falsos o mediante engaños personalizados.
- Ataques de fuerza bruta: Se prueban miles de combinaciones en busca de acceso exitoso, especialmente cuando las contraseñas son cortas o comunes.
- Filtraciones de datos: Brechas en plataformas o servicios provocan la exposición masiva de credenciales.
- Malware tipo “infostealer”: Este software extrae contraseñas guardadas en navegadores y también ataca billeteras digitales y credenciales sensibles.
Una práctica inmediata para verificar si una contraseña ha sido comprometida es usar herramientas como Have I Been Pwned, que permiten consultar exposiciones anteriores.
Aunque recibir una alerta no significa un acceso directo a la cuenta, sí implica una vulnerabilidad latente.
“Aplicar estos principios fortalecerá significativamente la seguridad de las cuentas en línea, reducirá el riesgo de fugas y protegerá la información personal”, refirió Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.