• El método más usado: dar las credenciales al ‘hacker’ sin darte cuenta a través de una falsa web de inicio de sesión
  • De los países donde se ha realizado el estudio, España está entre los 10 más expuestos a brechas de seguridad

Lo advierte Google en un estudio publicado en el mes de noviembre en colaboración con la Universidad de Berkley (California): la forma aún más utilizada por los ‘hackers’ para obtener tu dirección de Gmail es el pishing, método que sigue siendo muy parecido desde los años 2000 a pesar de los cambios y avances en tecnología e Internet.

 

Para entender la importancia de proteger tus contraseñas, el pasado 20 de Noviembre el País publicaba este reportaje donde explicaba:

“La huella digital de los usuarios de Internet abarca redes sociales, registros financieros e información de carácter sensible, como fotografías, en servicios de almacenamiento en la nube. A menudo, una dirección de correo es el único respaldo de todas ellas. Hallando la contraseña o las preguntas de seguridad de recuperación, los ciberdelincuentes pueden descargar todos los datos de la víctima, robar sus credenciales bancarios o borrar sus copias de seguridad.

Personalidades como el presidente de la República Francesa Emmanuel Macron, la exgobernadora Sarah Palin o la agencia de noticias estadounidense Associated Press sufrieron el secuestro de sus cuentas online. Aun así, a pesar de la creciente preocupación de los usuarios por su seguridad, la información siempre se dirige a las medidas preventivas que podrían adoptar las víctimas y pocas veces a la raíz del problema: cómo ocurren las grandes brechas de seguridad, dónde se compran las listas de credenciales robadas o cuáles son los métodos preferidos de los delincuentes.”

Sobre esta premisa partía el estudio, que ha analizado durante un año el sistema de robo y compraventa de credenciales en la deepweb e identificó “788.000 víctimas potenciales de keyloggers, programas que capturan lo que teclea el usuario o lo que ve a través de su pantalla para enviarlo a un servidor externo controlado por el hacker, 12,4 millones de víctimas potenciales a los kits dephishing, práctica que engaña al usuario para que introduzca sus credenciales en una web controlada por el atacante, y 1.900 millones de credenciales expuestos por brechas de seguridad que son vendidas en los mercados negros”. El periódico británico The Independent también se hacia eco de estas cifras en Este reportaje 

“Según los investigadores, entre el 12 % y el 25 % de los ataques de phishing y keylogger dieron con una contraseña válida para acceder a la cuenta de Google de la víctima. Pero los ciberdelincuentes van más allá, y usan herramientas cada vez más sofisticadas que intentan obtener el número de teléfono, la dirección IP y la geolocalización para burlar las medidas de seguridad que implementan los servicios web.”

“España está entre los 10 países más afectados por las grandes brechas de seguridad y los kits de phishing aunque la mayoría se concentran en Estados Unidos, según la investigación.”

El sistema de reconocimiento facial de iphone X, de momento el más seguro

“La autenticación en dos pasos y las medidas de seguridad extra que implementan servicios como Gmail, pueden evitar el secuestro inmediato de las cuentas al conocer la contraseña, pero no es siempre suficiente. Los ciberdelincuentes pueden contar con herramientas para interceptar los SMS de la verificación en dos pasos o la geolocalización del dispositivo. Es preferible emplear métodos de autenticación dedicados como Google Authenticator o la verificación a través de aplicación que ofrece Twitter en iOS y Android.”

Aunque la verificación en dos pasos sea la solución más eficaz e inmediata, Google detectó que sólo el 3,1 % de las víctimas que recuperaron su cuenta habilitaron esta protección para prevenir futuros secuestros. "La educación del usuario es la mejor iniciativa para aumentar la seguridad de los usuarios", dicen los investigadores.

Los lectores de huella dactilar, o el novedoso sistema de reconocimiento facial que incorpora el nuevo iPhone X, son las mejores opciones por implementar una segunda verificación fuerte, única y difícilmente quebrantable por los delincuentes. Además, no requiere una concienciación e instrucción previa del usuario porque es guiado para que la establezca desde el primer momento en el que enciende el teléfono.