Un equipo especializado en proteger la información digital de la empresa CloudSEK identificó recientemente una falla de seguridad que permite ingresar a cuentas de Google sin necesidad de conocer sus contraseñas.
Esta debilidad en la seguridad se dio a conocer el 20 de octubre de 2023, a través de un canal de Telegram. Luego, esta falla fue incorporada a una herramienta de hacking conocida como Lumma Infostealer, la cual es utilizada por ciberdelincuentes para obtener información privada de manera ilegal.
El programa dañino utiliza pequeños archivos conocidos como cookies, que son generados por empresas distintas a la página principal que se visita, para entrar sin autorización a los datos del usuario. Esto permite a los atacantes seguir accediendo a la cuenta de Google del usuario, aún cuando cambie su contraseña.
El inconveniente surge porque las cookies de autenticación de Google facilitan que una persona pueda entrar a la cuenta y usar distintos servicios, sin tener que ingresar su nombre de usuario y contraseña todo el tiempo.
Los cibercriminales pueden tomar estas cookies para esquivar la capa adicional de seguridad conocida como autenticación de dos factores, que normalmente pide al usuario un segundo paso de verificación, como un código enviado al teléfono, para confirmar su identidad.
Google ya está tomando medidas para resolver este problema. Los responsables de Chrome, que es el navegador más utilizado en el mundo, señalaron que se han implementado acciones para proteger cualquier cuenta que se haya visto afectada por esta situación.
Google y CloudSEK ofrecen un consejo para protegerse: cambiar esas credenciales. Recomiendan que si se piensa que la cuenta podría estar en peligro, o como medida de protección habitual, se cierre la sesión en el navegador.
¿Qué significa esto? Que se deben invalidar los tokens de sesión, o “pases” digitales que permiten mantener a los usuarios conectados. Al cerrar la sesión, estos “pases” o tokens pierden su validez y se evita el acceso no autorizado.
Luego, indican que se debe cambiar la contraseña y volver a iniciar sesión para crear nuevos “pases” digitales, también conocidos como tokens.
Al modificar la contraseña, se impide cualquier acceso no autorizado, ya que los antiguos tokens, de los cuales dependen los ladrones de información, se anulan, creando una barrera esencial para detener el funcionamiento del método de ataque.
Asimismo, la empresa de información digital señaló que “se recomienda a los usuarios que comprueben periódicamente si hay sesiones desconocidas, cambien contraseñas y estén atentos al descargar software y archivos adjuntos desconocidos”.
Cada cuánto se deberían cambiar las contraseñas
Actualmente, las contraseñas son el método de seguridad más usado por los usuarios para proteger sus cuentas, por lo que si esa información cae en manos equivocadas perderemos el control de nuestras redes sociales, cuentas bancarias, correos electrónicos y demás.
Así que las recomendaciones de los expertos en ciberseguridad ya no apuntan a tener un periodo de tiempo definido para modificar la clave, sino a mejorar la construcción de la contraseña.
La reutilización de contraseñas, incluso en variantes cercanas, aumenta la vulnerabilidad. Los expertos advierten que si una contraseña se ve comprometida en un servicio, los ciberdelincuentes pueden adivinar fácilmente contraseñas similares en otros sitios, ya que está la costumbre de tener una sola clave para muchos perfiles.
Ante todo estos hábitos, empresas como Microsoft han optado por dejar de pedirle a los usuarios a que estén cambiando continuamente sus credenciales y, en cambio, la solución es tomarse el tiempo para crear contraseñas robustas que se puedan recordar.
Las recomendaciones de los expertos apuntan a conceptos concretos: claves largas, únicas y sin patrones reconocibles, como fechas de nacimiento o nombres propios.
La Oficina de Ciberseguridad del Internauta en España añade que deben tener al menos 8 caracteres, combinación de letras, números y caracteres especiales, uso de mayúsculas y minúsculas, evitando datos obvios y sin reutilizarlas en otros servicios.
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/UREEIGNUCNAYZI2ZAVYHEF7WZY.png 265w){kind=small}
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/BKQKX75MGJCIPJDKNLDHNQLJ6I.jpg 265w){kind=small}
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/KNXT3NUIWZB3FCGUV4FDCL6DCM.png 265w){kind=small}
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/HYOWEOYOVRATNAGT4Y4BAQBJHE.jpg 265w){kind=small}
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/NRN5ADKSBNB6VB5H7UPU7TAL2I.jpg 265w){kind=small}