Un estudio de Google revela cómo los delincuentes entran en las cuentas de Gmail

Google, es justo decirlo, no es partidario de confiar en contraseñas para asegurar cuentas en línea.

Leyendo el reciente estudio encargado por la compañía sobre las causas de la adquisición de cuentas en línea de la Universidad de California, Berkeley, no es difícil entender por qué.

El análisis de un año hasta marzo de 2017 confirma una gran cantidad de malas noticias que los expertos en seguridad podrían haber adivinado, comenzando con la sorprendente cantidad de credenciales robadas, que cubren una amplia gama de servicios en línea, que parecen estar circulando en la web oscura.

Después de rastrear los foros de blackhat y pegar sitios, 1.900 millones de credenciales se remontaron a infracciones de datos, 12.4 millones al trabajo de kits de phishing y 788,000 fueron robadas por registradores de pulsaciones.

Según los 751,000 usuarios de Gmail con estos datos, la compañía pudo determinar que para sus usuarios los ataques de phishing son, con mucho, los más peligrosos de los tres, y representan el 25% de las contraseñas actuales expuestas.

Los keyloggers fueron los más efectivos con una tasa del 12%, con infracciones de datos más allá del 7%.

Pero solo tener la contraseña y el nombre de usuario (que se puede cambiar) no es la explicación completa de las diferentes tasas de éxito. Resulta que los ataques de phishing y los registradores de pulsaciones de teclas se ven reforzados por su tendencia a captar datos como números de teléfono, datos de geolocalización y direcciones IP.

Esto hace que sea mucho más difícil para una empresa como Google detectar la actividad deshonesta simplemente mirando desde dónde parece que alguien está ingresando, digamos, porque esto puede ser falso.

La advertencia:

Si bien las fugas de credenciales pueden exponer la mayor cantidad de contraseñas, los kits de phishing y los registradores de pulsaciones proporcionan más flexibilidad para adaptarse a las nuevas protecciones de cuentas.

Lo que nos lleva de vuelta a la perenne angustia de las contraseñas.

El estudio confirmó que se vuelven a utilizar grandes cantidades de contraseñas (incluso un gran número de terribles que parecían haber sido mal almacenadas), lo que significa que alguien violado en un servicio a menudo ha puesto en riesgo varias cuentas.

La conclusión de los investigadores es que la autenticación basada en contraseñas está muerta en el agua. Las credenciales son simplemente demasiado fáciles de robar, mientras que los usuarios no hacen mucho esfuerzo para protegerlas. Ninguna cantidad de retoques puede salvar este modelo.

La habilitación de la autenticación de múltiples factores (MFA) mitigaría gran parte de esto, particularmente los ataques de phishing, las fugas de credenciales y, en cierta medida, el registro de pulsaciones de teclas. Y, sin embargo, solo una minoría lo usa, incluso después de haber sido víctima de un ataque:

Nuestros propios resultados indican que menos del 3.1% que son víctimas del secuestro, posteriormente habilitan cualquier forma de autenticación de dos factores luego de recuperar su cuenta.

Esto sugiere que las personas no han oído hablar de AMF, no saben cómo habilitarlo o realmente no les gusta.

Hace que te preguntes por qué Google no solo hace que MFA sea obligatoria y simplemente continúa migrando gente por su propio bien, como Apple parece querer hacer .

Una posibilidad intrigante es que las empresas como Google podrían rastrear la red oscura para encontrar cuentas incumplidas y restablecerlas a medida que se detectan.

Ya se sabe que Facebook hace esto y Google lo hizo por cada cuenta de Gmail comprometida que los investigadores descubrieron en este estudio, por lo que no es descabellado que esto pueda suceder en el futuro.

Naked Security ha escrito varias veces sobre la importancia de MFA ( incluso para Gmail ), que imploramos a cualquiera que no lo use para leer y actuar.

Google también lanzó recientemente algo llamado Programa de Protección Avanzado (APP) para usuarios de Gmail que se consideran en alto riesgo de ataques de phishing.