Si te decimos que se sabemos que la contraseña que acabas de introducir está comprometida por una filtración de datos, ¿qué harías?
Presumiblemente, la respuesta es “cambiarla inmediatamente”. Y, sin embargo, según Google, solo uno de cada cuatro usuarios de su extensión Password Checkup de Chrome decidió hacerlo al enterarse de la noticia.
Publicado en febrero, Password Checkup compara una versión hash de cada contraseña de usuario introducida con una base de datos de cuatro mil millones que Google conoce que se han visto comprometidas por filtraciones.
Si detecta una coincidencia para una combinación de contraseña y nombre de usuario, el usuario puede continuar iniciando sesión (es decir, ignorarlo pero se le advertirá la próxima vez), iniciar sesión y cambiarla, o ignorar la advertencia haciendo clic en “cerrar”.
Comprobar que las contraseñas no se encuentren en las bases de datos de contraseñas filtradas de forma segura, es técnicamente más complicado de lo que parece, simplemente diremos que Google ha hecho todo lo posible para resolver el problema.
Lo que aún no ha logrado resolver es el mayor problema: la apatía de los usuarios.
Posiblemente, la parte más sorprendente del hallazgo de Google es que estos usuarios están lo suficientemente preocupados por su seguridad como
Solo en el primer mes, Google dice que escaneó 21 millones de nombres de usuario y contraseñas, detectando 316.000 o el 1,5% como parte de una filtración (una estadística que excluye contraseñas triviales como ‘12345’, que la herramienta no advierte para evitar exagerar lo obvio).
Hay algunas buenas noticias: el 60% de los que cambiaron sus contraseñas potencialmente comprometidas eligieron otras difíciles de adivinar.
Reutilización de contraseña
La pregunta es: ¿por qué un número significativo de personas entre los primeros en adoptar una herramienta de asesoramiento de contraseñas eligen ignorar sus advertencias?.
La respuesta parece ser que, incluso los usuarios relativamente cautelosos, subestiman enormemente el peligro de la reutilización de contraseñas.
No hay duda de que mucha gente todavía reutiliza las contraseñas a pesar de que todos los avisos para que no lo hagan, pero parece que se reutilizan algunas más que otras.
Google descubrió que es menos probable que las personas reutilicen contraseñas en sitios conocidos, como el gobierno y las finanzas (0,2% y 0,3% de reutilización, respectivamente) y el correo electrónico (0,5%).
Cuando llega a las compras (1,2%), noticias (1,9%) y entretenimiento (6,3%), las cosas comienzan a empeorar.
Desafortunadamente, desde el punto de vista del atacante, esto no importa. Una vez que los delincuentes tienen acceso a una contraseña reutilizada (específicamente, las débiles), comenzarán a comprobar automáticamente esa misma combinación en todos los sitios imaginables.
Más allá de simplemente abolir las contraseñas por completo como una forma de autenticación, la respuesta valiente podría ser que herramientas como Password Checkup (y Firefox Monitor, equivalente pero no idéntico, de Firefox) comiencen a molestar a los usuarios de manera más asertiva.
Es poco probable que los fabricantes de navegadores tengan el estómago para esto todavía, pero, si llega a suceder, la molestia podría llevar a más usuarios a mejores alternativas, como administradores de contraseñas y autenticación de dos factores.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario