Recientemente, se ha revelado una de las mayores filtraciones de datos jamás registradas en el mundo, con una recopilación de 26.000 millones de registros que incluyen información confidencial y credenciales de acceso de diversas empresas y servicios en línea, incluidos LinkedIn y Twitter (ahora X). Esta brecha masiva supera con creces incidentes anteriores, como la famosa filtración de datos de Cam4 en 2020, que expuso cerca de 11.000 millones de registros, y la brecha en Yahoo en 2013, que comprometió tres mil millones de cuentas de usuario.
En España, el panorama no es diferente y las filtraciones de contraseñas han sido motivo de creciente preocupación. Según el Instituto Nacional de Ciberseguridad (INCIBE), en 2023 se registraron más de 80.000 incidentes de ciberseguridad, muchos de los cuales involucraron el robo de credenciales. “La naturaleza global de estas brechas pone en riesgo a usuarios y empresas españolas, independientemente de las medidas de seguridad personal que se implementen. Por ello, es crucial que los usuarios verifiquen regularmente si sus credenciales han sido comprometidas y adopten prácticas de seguridad robustas, como el uso de gestores de contraseñas y la autenticación de dos factores” comenta Josep Albors, director de investigación y concienciación de ESET España.
Transparencia empresarial y herramientas para detectar filtraciones de datos
En el contexto actual de ciberseguridad, las empresas están obligadas a revelar incidentes de piratería informática y vulnerabilidades no parcheadas debido a requisitos normativos específicos. Esta transparencia no solo genera confianza entre los clientes, sino que también les informa si sus cuentas o datos han sido comprometidos. Los usuarios suelen ser notificados por correo electrónico sobre violaciones de datos, pero también es posible enterarse de estos incidentes a través de fuentes públicas, como el INCIBE.
Para verificar si los datos han sido expuestos en una filtración, ESET recomienda utilizar herramientas online como haveibeenpwned.com, que permite comprobar gratuitamente el estado de seguridad de las credenciales introduciendo una dirección de correo electrónico. “El sitio ofrece una herramienta gratuita para verificar si los datos han sido comprometidos, simplemente ingresando la dirección de correo electrónico y haciendo clic en "Pwned?". La herramienta muestra el estado de seguridad de las credenciales y detalla la filtración específica. Si los datos están seguros, el resultado será verde; si han sido comprometidos, el resultado será rojo, indicando en qué filtración aparecieron”, explica Albors.
Además, la compañía líder en ciberseguridad recuerda que navegadores web como Google Chrome y Firefox pueden alertar si las contraseñas han sido comprometidas o incluidas en alguna filtración de datos conocida y recomendar contraseñas más seguras. Sin embargo, para una mayor seguridad, ESET recomienda el uso de gestores de contraseñas dedicados, que no solo almacenan de forma segura las credenciales, sino que también generan contraseñas complejas y únicas para cada cuenta en línea. A pesar de que estos gestores pueden ser objetivo de ataques, las ventajas de su uso, como la comprobación de contraseñas filtradas o como la integración con sistemas de autenticación de dos factores (2FA), superan los riesgos.
Más vale prevenir que curar: medidas de seguridad contra el robo de contraseñas
Para evitar el impacto de las filtraciones de credenciales, ESET recuerda que es crucial no confiar únicamente en las contraseñas. La compañía recomienda utilizar la autenticación de doble factor (2FA) en todos los servicios que lo permitan, preferiblemente con una clave de seguridad dedicada o aplicaciones como Microsoft Authenticator o Google Authenticator. “Esto dificulta el acceso no autorizado a las cuentas, incluso si los atacantes obtienen las contraseñas”, añade Josep Albors. Además, el experto advierte que es importante “no guardar las contraseñas en papel, aplicaciones de notas o navegadores web, ya que estos métodos son vulnerables a filtraciones de datos”.
Otro consejo básico para la seguridad de las cuentas consiste en utilizar contraseñas seguras, que dificultan a los delincuentes los ataques de fuerza bruta. Por ello, se recomienda evitar las contraseñas simples y cortas, como una palabra y un número. “En caso de duda, utilizar herramientas como Password Generator de ESET puede ser un buen truco para generar tus contraseñas o comprobar la fortaleza de estas”, añade Albors.
Por otro lado, ESET también recuerda que es esencial no reutilizar contraseñas en múltiples servicios para prevenir ataques de "credential stuffing". Además, métodos de autenticación más recientes, como inicios de sesión sin contraseña, tokens de seguridad y biometría, ofrecen alternativas adicionales para verificar la propiedad de las cuentas de manera segura.
Inversión en seguridad empresarial
Las empresas necesitan invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir brechas e incidentes de seguridad. Además, las organizaciones deben reducir proactivamente su superficie de ataque y reaccionar en cuanto detecten algo sospechoso. ESET también aboga por la gestión de vulnerabilidades como aspecto crucial en la prevención de ciberincidentes, ya que estar al tanto de las lagunas conocidas del software y parchearlas a tiempo ayuda a prevenir su explotación por parte de los ciberdelincuentes. Además, la formación en ciberseguridad para empleados y la seguridad de los endpoints y el correo electrónico son fundamentales para mitigar el factor humano como desencadenante de compromisos de seguridad.
Por último, ESET alerta que para las empresas que valoran la seguridad de los datos, es vital considerar soluciones de prevención de pérdida de datos (DLP) y mantener una política sólida de copias de seguridad. Asimismo, el manejo de grandes volúmenes de datos de clientes y empleados requiere prácticas estrictas de cifrado, asegurando que los datos sensibles sean difíciles de explotar sin las claves de cifrado correspondientes. “Aunque no existe una solución única para la seguridad de datos, una combinación de buenas prácticas de ciberseguridad adaptadas a las necesidades específicas de cada empresa y al cambiante panorama de las amenazas puede contribuir significativamente a prevenir filtraciones y violaciones de datos”, concluye Josep Albors.