Por Francisco D’Agostino<\/p>\n
La cantidad de registros con informaci\u00f3n personal de usuarios expuestos como consecuencia de fallos de seguridad tuvo un aumento durante la pandemia. Aplicaciones como\u00a0Zoom<\/a>\u00a0o\u00a0Nintendo<\/a>\u00a0fueron algunas de las que estuvieron en el centro de estos ataques que derivaron en brechas de datos durante el transcurso del a\u00f1o. ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, analiz\u00f3 qu\u00e9 riesgos implican estas filtraciones de informaci\u00f3n en la seguridad de los usuarios.<\/p>\n La informaci\u00f3n divulgada entre una brecha y otra pueden variar, desde datos de contacto, identificaci\u00f3n, biom\u00e9tricos o laborales, como direcciones de correo electr\u00f3nico, identificadores gubernamentales, contrase\u00f1as, o informaci\u00f3n financiera, entre otros. No todos los registros tienen el mismo valor y en algunos casos no parecen tener un valor monetario significativo, pero s\u00ed estrat\u00e9gico.<\/p>\n En los casos de las filtraciones de Zoom y Nintendo, los cibercriminales utilizaron t\u00e9cnicas de phishing o de\u00a0fuerza bruta<\/a>, como password spraying y credential stuffing, para obtener credenciales de acceso a las cuentas. Mediante la primera, enviaron correos suplantando las identidades de las aplicaciones, informando alg\u00fan tipo de excusa para que el usuario ingrese sus credenciales en un sitio falso. Para la segunda, utilizaron de forma automatizada credenciales compuestas por contrase\u00f1as d\u00e9biles y credenciales ya difundidas en viejos ataques y que al parecer los usuarios hab\u00edan reutilizado para acceder a otras apps o servicios. En conjunto, estos incidentes derivaron en la obtenci\u00f3n de m\u00e1s de 100.000 accesos en cada caso, provocando compras fraudulentas y accesos indebidos a los servicios.<\/strong><\/p>\n \u201cMuchos desconocen las consecuencias de que datos personales como nombres, edad o direcciones de correo sean expuestos en internet porque no saben c\u00f3mo los atacantes utilizan esta informaci\u00f3n para realizar su actividad maliciosa. La falta de conciencia que muchas veces existe sobre la\u00a0importancia del cuidado de los datos personales\u00a0y las buenas pr\u00e1cticas de seguridad, como la creaci\u00f3n de\u00a0<\/em>contrase\u00f1as seguras<\/em><\/a>, la instalaci\u00f3n <\/em>de soluciones de seguridad<\/em><\/a> en cada dispositivo o\u00a0 actualizaci\u00f3n de sistemas, tiene incidencia directa en la cantidad de brechas de datos que se dan en la actualidad y tambi\u00e9n en la cantidad de ataques o incidentes de seguridad que sufren los usuarios.\u201d, <\/em>menciona Martina L\u00f3pez, Investigadora de Seguridad Inform\u00e1tica de ESET Latinoam\u00e9rica.<\/p>\n \u00bfQu\u00e9 puede hacer un atacante con una direcci\u00f3n de correo electr\u00f3nico?<\/strong><\/p>\n Un atacante puede utilizar esta informaci\u00f3n como parte de su campa\u00f1a de suplantaci\u00f3n de identidad que llegan a nuestra bandeja de entrada, m\u00e1s conocida como phishing. Estos ataques buscan robar credenciales de acceso o datos financieros o tambi\u00e9n descargar malware. Dependiendo del objetivo de la campa\u00f1a, podr\u00edan contener archivos maliciosos o enlaces a p\u00e1ginas web donde llevan a cabo del robo de la informaci\u00f3n, esta vez directamente desde el usuario. Asimismo, con las cuentas de correo pueden enfrentarse a\u00a0campa\u00f1as de extorsi\u00f3n<\/a>\u00a0en las que los atacantes suelen utilizar ingenier\u00eda social y presentan a la v\u00edctima alg\u00fan dato personal o privado para lego solicitar una suma de dinero para evitar la divulgaci\u00f3n de la informaci\u00f3n.<\/p>\n \u00bfQu\u00e9 puede hacer un atacante con una contrase\u00f1a o datos financieros?<\/strong><\/p>\n La obtenci\u00f3n de contrase\u00f1as y datos financieros puede causar actividades fraudulentas dentro de o fuera de la aplicaci\u00f3n involucrada. En el caso de los datos financieros, estos pueden ser utilizados para realizar compras a nombre del titular o para comercializarlos en el mercado negro. En el caso de las contrase\u00f1as, adem\u00e1s de comercializarse, pueden usarse para acceder al servicio o aplicaci\u00f3n con fines malintencionados, as\u00ed como intentar acceder a otros servicios probando si el usuario reutiliz\u00f3 la misma combinaci\u00f3n o con pocas variaciones en otra cuenta.<\/p>\n Un\u00a0estudio<\/a>\u00a0realizado en 2018 revel\u00f3 que alrededor de la mitad de los usuarios reutilizan sus contrase\u00f1as con poca o nula modificaci\u00f3n a trav\u00e9s de diversos sitios, siendo los m\u00e1s afectados los sitios de compras online o servicios de correo. Por otro lado, las peores contrase\u00f1as de 2020 presentan una gran similitud con las listas de a\u00f1os anteriores, y confirman as\u00ed los\u00a0an\u00e1lisis sobre el uso contrase\u00f1as<\/a> que sostienen que los usuarios siguen utilizando criterios d\u00e9biles, como combinaciones num\u00e9ricas como 123456. Estas decisiones pueden llevar a ingresos automatizados en sitios sensibles al momento de una brecha de informaci\u00f3n, o en un futuro ataque.<\/p>\n \u201cAdem\u00e1s de la importancia de que las compa\u00f1\u00edas detr\u00e1s de los servicios y aplicaciones tomen las medidas necesarias para proteger los datos de los usuarios y as\u00ed eviten verse comprometidos tras la explotaci\u00f3n de una vulnerabilidad, los usuarios tienen su cuota de responsabilidad y es importante que sepan c\u00f3mo minimizar los riesgos en caso de que sus datos se vean afectados y c\u00f3mo actuar en caso de que eso suceda.<\/em><\/p>\n Es importante mantenerse alerta y\u00a0 conocer las <\/em>recomendaciones para resguardarse del impacto que una brecha de datos<\/em><\/a>\u00a0pudiera tener las cuentas.\u201d, <\/em>concluye L\u00f3pez, Investigadora \u00a0de ESET Latinoam\u00e9rica.<\/p>\n