Un nuevo informe del proveedor de inteligencia de amenazas cibernéticas Digital Shadows revela el alcance de los datos de inicio de sesión filtrados en todo el mundo en relación con las apropiaciones de cuentas (Account Take Over, o ATO para abreviar). Hay más de 24 mil millones de combinaciones de usuario y contraseña en circulación en la web oscura.
En relación a la población mundial, esto corresponde a cuatro cuentas expuestas por internauta. Por lo tanto, la cantidad de credenciales robadas y reveladas ha aumentado alrededor de un 2020 % desde 65.
Datos de inicio de sesión en la web oscura: aumento del 65 por ciento
La mayoría de los datos expuestos se refieren a personas y consumidores e incluyen nombres de usuario y contraseñas de varias cuentas, desde cuentas bancarias y minoristas en línea hasta servicios de transmisión y redes sociales y portales corporativos. Un total de 6,7 millones de los datos de inicio de sesión descubiertos se clasifican como "únicos" y, por lo tanto, se ofrecieron a la venta por primera vez y solo una vez en un mercado en la dark web (2020: 5 millones; +34 %).
Los datos de inicio de sesión comprometidos se ofrecen principalmente a través de mercados y foros relevantes en la web oscura. Aquí, el ecosistema ciberdelincuente ha crecido significativamente en alcance y profesionalismo en los últimos dos años. Además de los datos de acceso filtrados, el malware y las herramientas de craqueo, los clientes interesados también pueden contratar servicios de suscripción y servicios premium relacionados con la adquisición de cuentas. Solo en los últimos 18 meses, los analistas de Digital Shadows identificaron 6,7 millones de incidentes de credenciales de inicio de sesión de clientes anunciadas en varias plataformas. Esto incluye los nombres de usuario y contraseñas de empleados, socios, clientes, así como varios servidores y dispositivos IoT.
La falta de higiene de las contraseñas facilita las cosas a los atacantes
Según el estudio, el mayor déficit de seguridad sigue siendo la falta de higiene de las contraseñas. Los usuarios de Internet continúan usando contraseñas fáciles de adivinar (por ejemplo, "contraseña") y secuencias simples de números. Por lo tanto, casi cada 200 contraseñas (0,46 %) es "123456". Las combinaciones de letras que están juntas en el teclado de la computadora (por ejemplo, "qwerty", "1q2w3e") también son populares. De las 50 contraseñas más comunes, 49 se pueden descifrar en menos de un segundo. Algunas de las herramientas que necesita para hacer esto están disponibles en la dark web por tan solo $50.
Incluso agregar caracteres especiales (por ejemplo, @, #) solo puede retrasar la piratería de los datos de inicio de sesión, pero no necesariamente evitarlo. Una contraseña de 90 partes con un solo carácter especial les cuesta a los ciberdelincuentes un promedio de 4 minutos más de tiempo, según Digital Shadows. Con dos caracteres especiales, los piratas aún necesitan dos días y XNUMX horas.
El futuro sin contraseña debe llegar
“La industria está dando grandes pasos hacia un futuro sin contraseña. Sin embargo, por ahora, el problema de las credenciales comprometidas parece estar fuera de control”, dijo Chris Morgan, analista senior de inteligencia de amenazas cibernéticas en Digital Shadows. “Los delincuentes tienen a su disposición listas interminables de credenciales filtradas o robadas, y se deleitan con la falta de creatividad de los usuarios para elegir sus contraseñas. Esto permite hacerse cargo de las cuentas en segundos utilizando herramientas de craqueo automatizadas y fáciles de usar. Muchos de los casos que examinamos como parte de nuestro estudio podrían haberse evitado asignando una contraseña única y segura”.
Más en DigitalShadows.com
Acerca de las sombras digitales
Digital Shadows rastrea los datos filtrados involuntariamente a través de la web abierta, profunda y oscura, lo que ayuda a las organizaciones a minimizar la exposición digital resultante a las amenazas externas. Con SearchLight™, las empresas pueden cumplir con las normas de protección de datos, prevenir la pérdida de propiedad intelectual y evitar daños a la reputación.