Los usuarios de Chrome ignoran las advertencias para cambiar las contraseñas filtradas

30 agosto, 2019
694 Visualizaciones

Si te decimos que se sabemos que la contraseña que acabas de introducir está comprometida por una filtración de datos, ¿qué harías? Presumiblemente, la respuesta es “cambiarla inmediatamente”. Y, sin embargo, según Google, solo uno de cada cuatro usuarios de su extensión Password Checkup de Chrome decidió hacerlo al enterarse de la noticia.

Publicado en febreroPassword Checkup compara una versión hash de cada contraseña de usuario introducida con una base de datos de cuatro mil millones que Google conoce que se han visto comprometidas por filtraciones.

Si detecta una coincidencia para una combinación de contraseña y nombre de usuario, el usuario puede continuar iniciando sesión (es decir, ignorarlo pero se le advertirá la próxima vez), iniciar sesión y cambiarla, o ignorar la advertencia haciendo clic en “cerrar”.

Comprobar que las contraseñas no se encuentren en las bases de datos de contraseñas filtradas de forma segura, es técnicamente más complicado de lo que parece, simplemente diremos que Google ha hecho todo lo posible para resolver el problema.

Lo que aún no ha logrado resolver es el mayor problema: la apatía de los usuarios.

Posiblemente, la parte más sorprendente del hallazgo de Google es que estos usuarios están lo suficientemente preocupados por su seguridad como

Solo en el primer mes, Google dice que escaneó 21 millones de nombres de usuario y contraseñas, detectando 316.000 o el 1,5% como parte de una filtración (una estadística que excluye contraseñas triviales como ‘12345’, que la herramienta no advierte para evitar exagerar lo obvio).

Hay algunas buenas noticias: el 60% de los que cambiaron sus contraseñas potencialmente comprometidas eligieron otras difíciles de adivinar.

Reutilización de contraseña

La pregunta es: ¿por qué un número significativo de personas entre los primeros en adoptar una herramienta de asesoramiento de contraseñas eligen ignorar sus advertencias?.

La respuesta parece ser que, incluso los usuarios relativamente cautelosos, subestiman enormemente el peligro de la reutilización de contraseñas.

No hay duda de que mucha gente todavía reutiliza las contraseñas a pesar de que todos los avisos para que no lo hagan, pero parece que se reutilizan algunas más que otras.

Google descubrió que es menos probable que las personas reutilicen contraseñas en sitios conocidos, como el gobierno y las finanzas (0,2% y 0,3% de reutilización, respectivamente) y el correo electrónico (0,5%).

Cuando llega a las compras (1,2%), noticias (1,9%) y entretenimiento (6,3%), las cosas comienzan a empeorar.

Desafortunadamente, desde el punto de vista del atacante, esto no importa. Una vez que los delincuentes tienen acceso a una contraseña reutilizada (específicamente, las débiles), comenzarán a comprobar automáticamente esa misma combinación en todos los sitios imaginables.

Más allá de simplemente abolir las contraseñas por completo como una forma de autenticación, la respuesta valiente podría ser que herramientas como Password Checkup (y Firefox Monitor, equivalente pero no idéntico, de Firefox) comiencen a molestar a los usuarios de manera más asertiva.

Es poco probable que los fabricantes de navegadores tengan el estómago para esto todavía, pero, si llega a suceder, la molestia podría llevar a más usuarios a mejores alternativas, como administradores de contraseñas y autenticación de dos factores.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Aumentan los ataques de spam y phishing enviados desde páginas web de empresas legítimas
Security Breaches
18 compartido1,506 visualizaciones
Security Breaches
18 compartido1,506 visualizaciones

Aumentan los ataques de spam y phishing enviados desde páginas web de empresas legítimas

Vicente Ramírez - 13 agosto, 2019

Los cibercriminales explotan cada vez en mayor medida los formularios de registro, suscripción o comentarios en los sitios web para…

Johnson Controls se asocia con el Instituto Tecnológico Hotelero (ITH)
Soluciones Seguridad
18 compartido2,376 visualizaciones
Soluciones Seguridad
18 compartido2,376 visualizaciones

Johnson Controls se asocia con el Instituto Tecnológico Hotelero (ITH)

Samuel Rodríguez - 26 febrero, 2019

El Instituto Tecnológico Hotelero (ITH) suma a como nuevo asociado en el área de nuevas tecnologías de HVAC (Climatización) y…

Mastercard abre el acceso de su API de Blockchain a sus socios
Soluciones Seguridad
928 visualizaciones
Soluciones Seguridad
928 visualizaciones

Mastercard abre el acceso de su API de Blockchain a sus socios

José Luis - 23 octubre, 2017

La tecnología blockchain de Mastercard se implantará primero en el espacio B2B para responder a los retos de los pagos…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.