Según Google, las estafas y el phishing son las peores amenazas online, peores incluso que los keyloggers
Los piratas informáticos están constantemente buscando nuevas formas de poner en peligro a los usuarios. Ya sea mediante phishing, o mediante el uso de software malicioso, estos piratas suelen buscar de distintas formas hacerse con los credenciales de las cuentas online de los usuarios para recopilar información sobre ellos, suplantar su identidad y poder llevar a cabo ataques informáticos mucho más completos. Sin embargo, ¿sabemos cuál es la técnica más peligrosa para los usuarios? Google lo tiene claro: el Phishing.
Gracias a un reciente estudio online realizado por Google junto a la University of California, Berkeley y el International Computer Science Institute, la compañía ha podido comprobar que los ataques informáticos que más datos revelan a los piratas informáticos en sus ataques online son los que se realizan a través de Phishing.
Tal como ha demostrado el estudio, los piratas informáticos han conseguido robar en un año muchos más datos de acceso a través de estadas que utilizando otras técnicas como keyloggers o la reutilización de contraseñas.
Según este estudio, los piratas informáticos consiguieron hacerse con 788.000 credenciales utilizando malware, como keyloggers, para recopilar las pulsaciones de los usuarios, mientras que, mediante phishing, como falsas webs de inicio de sesión, se hicieron con cerca de 12.5 millones de credenciales. Sin embargo, aún hay algo peor: las vulnerabilidades en los servidores de las páginas web.
Las brechas de seguridad de terceros, una amenaza mucho mayor
Aunque muchas veces el robo de contraseñas de los usuarios es culpa de los usuarios, en la mayoría de los casos no es así, sino que la responsabilidad es de una determinada página web, que ha estado almacenando las contraseñas de forma insegura y ha permitido a piratas informáticos hacerse con los credenciales de todos sus usuarios.
Cuando nos registramos en una página web, esta guarda en una base de datos un hash de la contraseña para que cuando el usuario vuelva a iniciar sesión en ella se compare el hash para deducir si la contraseña es real o no.
Si el usuario utiliza una contraseña débil, y la web un algoritmo de hash inseguro y mal implementado, la más mínima vulnerabilidad en el servidor puede permitir al pirata informático hacerse con la base de datos de usuarios, contraseñas (en hash) y más información personal. Una vez tiene esa base de datos, mediante el uso de distintas técnicas, puede sacar las contraseñas de los hashes robados.
Según Google, en el último año, los piratas informáticos se han hecho con casi 2000 millones de contraseñas a través de estas técnicas, siendo, como vemos, mucho más peligrosas que el Phishing y que el malware para los usuarios.
Cómo proteger nuestras cuentas online de estos ataques informáticos
En el caso del Phishing, por ejemplo, lo mejor que podemos hacer es navegar siempre con sentido común y, cuando se nos pida una contraseña, debemos comprobar que la URL que estamos visitando corresponde a la de la página web en cuestión. Un navegador actualizado, como Google Chrome, nos ayudará también a detectar y evitar este tipo de páginas web.
En el caso de los Keylogger, por ejemplo, las recomendaciones básicas de seguridad son, por un lado, evitar descargar archivos de Internet y que nos lleguen por nuestro correo electrónico, y por otro lado asegurarnos de estar utilizando un software antivirus actualizado capaz de protegernos de este malware.
Por desgracia, en el caso de los robos de datos de servidores de terceros el usuario no tiene mucho que hacer. El uso de una contraseña larga, segura y complicada nos ayudará a generar un hash más seguro y difícil de romper, pero poco más podemos hacer en este caso, salvo utilizar contraseñas diferentes para todas las páginas web en las que nos registremos de manera que, si nos roban una contraseña, poco más puedan hacer con ella.
¿Qué opinas de estas amenazas online?