(In)seguridad en las contraseñas

por Trend Micro  |  22 de Junio de 2012  |  Seguridad

Trend Micro presenta una infografía con los datos más relevantes relacionados con incidentes vinculados al robo de contraseñas y el fraude online en los últimos tiempos.

Madrid, 22 de junio de 2012 – La contraseña de seguridad ha sido y continúa siendo un factor crítico y su importancia, por desgracia, sólo se reconoce después de que haya tenido lugar un ataque como puede ser una brecha de datos que permite la violación de la información. Es importante para la industria de la seguridad incidir en este aspecto y aumentar la concienciación con el fin de cambiar la mentalidad del público en general en términos de cómo deben manejar sus cuentas online, tal y como explica Jonathan Leopando, Técnico de Comunicaciones de Trend Micro.

El mes de junio se está convirtiendo en un mes muy malo para la seguridad de las contraseñas. La semana pasada tres sitios principales – Linkedin, eHarmony y last.fm – sufrieron importantes fugas de información que han llevado a la publicación de millones de contraseñas de los usuarios. A principios de esta semana, se reveló que el juego League of Legends también había sufrido su propio capítulo de fallos, que ha supuesto que los datos de los clientes – incluyendo contraseñas – salieran a la luz pública.

¿Qué hemos aprendido con estos incidentes sobre la seguridad de las contraseñas? Que la gente sigue utilizando contraseñas lamentablemente inseguras. Demasiadas personas siguen utilizando contraseñas muy cortas como 1234, o las palabras que son demasiado cortas o previsibles (por ejemplo: job  o LinkedIn). Incluso algunas contraseñas que a primera vista parecen seguras luego serán simples de adivinar (nombres y combinaciones de sitios como davidlinkedin, boblinkedin; relacionados con el sitio. También  juegos de palabras como leakedin linkedout formaban parte de la lista).

Los atacantes tienen ahora una cantidad abrumadora de poder de computación a sus disposición gracias a las GPU, que pueden ser fácilmente convertidas en herramientas  para llevar a cabo ataques de fuerza bruta. Esto hace que el almacenamiento seguro de contraseñas sea actualmente un tema de debate que involucra tanto a investigadores de seguridad como a administradores de TI. Sin embargo, esto es algo sobre lo que los usuarios no tienen control.

En la siguiente infografía, Trend Micro ofrece información sobre los detalles relacionados con incidentes de seguridad de contraseñas y otras estadísticas del fraude online:

  • No gestionar adecuadamente tus credenciales online es como jugar al póker realizando altas apuestas. Si no juegas bien tus cartas el juego termina. Echa un vistazo a algunos de los riesgos a los que te debes enfrentar cuando tu información personal no es tan privada como creías.
  • Por lo menos, cada usuario gestiona unas 10 cuentas online de media. 
  • El ataque llevado a cabo contra Sony en mayo de 2011, en el que se robaron miles de contraseñas y otros datos de los usuarios, supuso para la compañía un coste de unos 171 millones de dólares.
  • El 33% de los usuarios o bien guardan sus contraseñas en un archivo .DOC/.TXT. 
  • Los ladrones de datos te robarán a ciegas. Los ladrones de datos como ZeuS están diseñados para obtener y retener información de las redes sociales y otras credenciales de registro de la cuenta. 
  • Trend Micro cuenta con 221.000 detecciones de spyware activo 
  • Estados Unidos continúa siendo el país que más phishing aloja. 
  • El 10% de los usuarios tiene una única contraseña para todas sus cuentas online. 
  • Las amenazas Web ¡siempre suben la apuesta! Abundan los patrones de ingeniería social que tratan de sonsacar las contraseñas y credenciales de los usuarios. Correos electrónicos que supuestamente proceden de grandes compañías,los aka phishing emails se han convertido, de hecho, en algo demasiado común. 
  • Paypal fue el sitio que más estafas de phishing sufrió en enero de 2012, con 13.000 URLs falsas. 

Principales estadísticas sobre fraude online

  • La identidad de una persona es robada cada 3 segundos.
  • Los costes de tarjetas de crédito de fraudulentas y las cuestiones relacionadas con tarjetas de crédito suponen para los emisores y propietarios hasta 500 millones de dólares al año.
  • Más de 2,8 años son la representación de la información financiera almacenada en los equipos informáticos.
  • Un hacker conocido como “Soldier” robó 3,2 millones de dólares de las mayores compañías estadounidenses en septiembre de 2011 utilizando ZeuS y SpyEye.
  • En 2010, 8,1 millones de adultos de Estados Unidos sufrieron la pérdida de un total de 37.000 millones de dólares.

Lo que si pueden hacer los usuarios es mejorar las contraseñas que utilizan. He aquí nuestros consejos para hacerlo:

  • Frases, no palabras. Tener una contraseña más larga es una parte esencial de la mejora de las contraseñas de usuario. De diez a doce caracteres es un buen comienzo;  para los sitios más sensibles como los bancos, es recomendable emplear contraseñas más largas. Por supuesto,  si tus palabras claves son tan largas deberías usar frases claves en vez de palabras. Palabras excesivamente largas como Supercalifragilisticoespialidoso pueden ser un poco  difíciles de recordar con precisión.  Lo más seguro es que cometamos algún fallo. Elige frases completamente al azar, o incluso sin sentido, que puedas recordar de alguna manera… de forma creativa y personal, y que se mantengan alejadas de contraseñas potenciales como nombres de películas y otros asuntos de la cultura pop de hoy. Por ejemplo,”ZombiesWantBrains” probablemente no sería una buena contraseña. Una frase más adecuada, más aleatoria, sería “ComputerSwimmingMelonLamp”.
  • Reciclar es bueno menos para las contraseñas. Hagas lo que hagas, no recicles contraseñas. Como mínimo, una contraseña descubierta será añadida a la lista de  contraseñas conocidas que los atacantes podrían utilizar en primer lugar. Si el nombre de usuario se vio también comprometido, entonces el atacante podría  ser capaz de tener una combinación de  nombre de usuario + contraseña que utilizará en otros lugares. Resumiendo: no reciclar la misma contraseña en varios sitios.

Por supuesto, estos consejos se basan fundamentalmente en las limitaciones y dificultades que tenemos la mayoría de las personas a la hora de recordar las contraseñas. Gestores de contraseñas, tales como Trend Micro DirectPass  también pueden ayudar a reducir la carga sobre los usuarios almacenando las contraseñas de estos. Además de almacenar las contraseñas en la nube hacen que estas sean accesibles mediante múltiples dispositivos, ya sean PCs, smartphones o tabletas.

Trend Micro DirectPast permite que la vida digital sea más sencilla. ¿Cómo? Este gestor de contraseñas ofrece una alternativa fácil y segura para almacenar numerosas contraseñas online por lo el usuario sólo necesitará recordar una. También sincroniza todos los dispositivos en la nube, permitiendo realizar transacciones online seguras tanto desde el lugar de trabajo como desde el domicilio o en la calle.

Entre otras funciones ofrece:

  • Inicio de sesión multicapa: DirectPass monitoriza constantemente los sites a los que te registras para cambiar la contraseña. El usuario no necesita teclear sus nuevas contraseñas cuando se conecta a una página ya registrada cada vez que actualice las crecendiales.
  • Generador de contraseñas: DirectPass ayuda a crear contraseñas seguras de forma rápida, fácil y automática.
  • Navegador Seguro: DirectPass garantiza la seguridad al acceder a sitios bancarios o financieros.
  • Cumplimiento automático de formularios: DirectPass establece un perfil del usuario, ayudándole a completar los formularios online de forma eficiente y rápida.

Acerca de Trend Micro:

Trend Micro Incorporated, líder global en seguridad cloud, crea un mundo seguro para el intercambio de información digital con sus soluciones de gestión de amenazas y seguridad de contenidos en Internet para entornos corporativos y de consumo. Compañía pionera en seguridad del servidor, Trend Micro cuenta con más de 20 años de experiencia en el mercado y ofrece al cliente seguridad basada en cloud y servidor adecuada a las necesidades tanto del cliente como de los partners, detención más rápida de nuevas amenazas, y protección de datos en entornos físicos, virtualizados y cloud. Impulsado por la infraestructura de seguridad cloud Trend Micro™ Smart Protection Network™, la tecnología cloud computing líder de la industria, los productos y servicios de Trend Micro detienen las amenazas que surgen, a través de Internet, y están apoyados por más de 1.000 expertos en inteligencia de amenazas en todo el mundo. Más información en: http://es.trendmicro.com.

Si desea información adicional sobre Trend Micro Incorporated, así como sobre los productos y servicios disponibles, puede consular www.trendmicro.com. Este comunicado de prensa de Trend Micro y otros lanzamientos están disponibles en la siguiente dirección http://trendmicro.mediaroom.com/  y como parte del canal RSS en www.trendmicro.com/rss. Siga nuestras noticias a través deTwitter en @TrendMicroes. http://www.trendmicro.com/rss

Para más información

GRAYLING SPAIN         
Marta Correas / Natividad de Mateo    
prensa@grayling.com        
Tel.: 91 522 10 08        

TREND MICRO ESPAÑA
Jose Miguel Rufo 
JoseMiguel_Rufo@trendmicro.es    
Tel.: 91 369 70 30

Contrate la Tarifa Plana de Anuncios por 49€/mes