El 42% de organizaciones en España atacadas con phishing en 2022 también reportaron robo de credenciales y compromiso de cuentas

Los usuarios siguen cometiendo los mismos errores con sus contraseñas: crear claves débiles y muy fáciles de adivinar, incluyendo nombres y fechas relacionadas con ellos mismos o sus familias, cambiando un número por el siguiente y utilizando una misma contraseña en varios sitios o dispositivos. Por el Día Mundial de las Contraseñas, que se celebra cada primer jueves de mayo, los expertos en ciberseguridad insisten en la necesidad de emplear distintas contraseñas sólidas, especialmente para cuentas financieras o en aquellas que aparezcan datos críticos.

Desde Proofpoint señalan que se debe ir más allá de dar unas recomendaciones básicas de buenas prácticas sobre contraseñas, dado el sofisticado panorama actual de amenazas tanto para consumidores como para organizaciones. Y teniendo además en cuenta que las contraseñas actúan como primera barrera entre las personas, los atacantes y las posibilidades de éxito de un ciberataque.

“Por complejas que sean, las contraseñas pueden ser robadas; y es una tendencia en aumento por parte de los ciberdelincuentes en todo el mundo”, afirma Manuela Muñoz, Named Account Manager de Proofpoint. En España, el 42% de organizaciones que sufrió un ataque de phishing el año pasado informó también de robo de credenciales y compromiso de cuentas, según el reciente informe State of the Phish 2023 de Proofpoint. “Los atacantes se dan cuenta de que es más fácil y barato robar credenciales e iniciar sesión que piratear sistemas. Les basta con comprometer a un solo empleado para poder moverse dentro de las redes de una organización”, añade la experta en ciberseguridad.

Una de las medidas que ayuda a prevenir el robo de contraseñas es activar la autenticación multifactor (AMF), si está disponible, para tantas cuentas como sea posible. Validar una identidad con distintas pruebas antes de conceder un acceso aumenta la protección de la cuenta. Tan simple como que el usuario, cuando intenta iniciar sesión, reciba una alerta en su teléfono solicitando confirmación para poder entrar. Esto frustraría los sistemas automatizados que los atacantes utilizan para adivinar contraseñas o introducir contraseñas robadas. Otro paso sería utilizar un gestor de contraseñas, que las crea aleatoriamente y las almacena de forma segura encriptadas y accesibles en todos los dispositivos personales, evitando a los usuarios tener que recordar complicadas combinaciones con cada inicio de sesión en un sitio web diferente.
 
“No obstante, debemos tener en cuenta que los ciberdelincuentes siguen teniendo éxito a la hora de hacerse con credenciales de inicio de sesión de usuarios, independientemente de su complejidad y eludiendo tecnologías de seguridad como AMF o el gestor de contraseñas. El 95% de los problemas de ciberseguridad tiene su origen en la interacción humana, por lo que es importante que todos los usuarios sepan cómo identificar estos intentos de phishing de credenciales para evitar ser víctimas de esta creciente amenaza y proteger su información”, concluye Manuela Muñoz, de Proofpoint.