Hay una buena posibilidad de que
nunca hayas escuchado el término «relleno de credenciales (credential
stuffing)», pero eso no significa que no hayas sido objetivo de este generalizado
y efectivo ciberataque. Aquí aprenderemos qué es el relleno de credenciales y
cómo puedes protegerte fácilmente contra él.
¿Qué es el
relleno de credenciales?
Hay todo tipo de vectores de
ciberataques, desde los profundamente simples hasta los profundamente
sofisticados. En el lado más simple de las cosas, tienes ataques como exploits
de ingeniería social donde los
atacantes usan habilidades sociales y la buena voluntad de otras personas para
obtener acceso a inicios de sesión, información confidencial, etc. No
tienen que conocer tus credenciales para lograr un ataque exitoso de ingeniería
social.
En el lado más complejo de las cosas,
tenemos ataques que requieren que los atacantes rompan múltiples capas de
seguridad, se escapen con los datos y trabajen para desempacar esos datos más
adelante.
Desempaquetar esos datos,
específicamente cuando los datos son una recopilación de nombres de usuario o
direcciones de correo electrónico y las contraseñas asociadas, es el
primer paso para lanzar un ataque de relleno de credenciales. Así es como
funciona y cómo puede afectarte personalmente.
Digamos que, como millones de otros
usuarios de Internet, tienes docenas de cuentas en varios servicios. También
tienes varios inicios de sesión de alto valor y riesgo, como los inicios de
sesión para tu correo electrónico, banco, etc. Y tienes muchos inicios de
sesión de bajo valor y bajo riesgo como, por ejemplo, el inicio de sesión para
un foro de muscle car que has estado usando durante años, una cuenta que hiciste
para algún sitio de cupones, y así sucesivamente.
Con suerte, tu banco y tu proveedor
de correo electrónico tienen una excelente seguridad. Los objetivos de alto
valor generalmente se endurecen adecuadamente y las posibilidades de que
alguien ataque con éxito a Bank of America o Gmail y obtenga acceso a todos los
nombres de usuario y contraseñas son bastante bajas. Pero no se puede decir lo
mismo de ese foro de autos o ese sitio de cupones. ¿Qué sucede cuando alguien
explota esos sitios y roba todos los datos del usuario? Ahora tienen tu nombre
de usuario, muy probablemente tu correo electrónico y tu contraseña.
Los atacantes alimentarán esos datos
en sistemas automatizados que visitan miles de objetivos de alto valor/alto
perfil e intentan iniciar sesión utilizando las credenciales robadas,
«rellenándolas» para ver dónde encajan.
Si reutilizas los mismos nombres de
usuario, correo electrónico y contraseñas donde quiera que vayas en línea,
estás en problemas. Una fuga en el servicio de menor riesgo que utilizas ahora
se convierte en una puerta trasera en todos los servicios de alto valor que
utilizas, como tu bandeja de entrada de correo electrónico y tu banco.
No hay un análogo directo en el mundo
físico, pero si lo hubiera, parecería usar una clave para todo. Si perdiste tu
llave o alguien hizo una copia de ella, tendrían una llave que funcionaba para
tu hogar, automóvil, oficina, unidad de almacenamiento, caja de seguridad,
casillero de gimnasio, etc, y todo lo demás. Incluso podría abrir la puerta de
la casa de tus padres también. Claramente, eso no es ideal, y hay una razón por
la que no usamos llaves físicas de esa manera.
¿Cómo puedo
protegerme contra el relleno de credenciales?
El relleno de credenciales puede ser
increíblemente común e increíblemente fácil de ejecutar en comparación con los
ataques cibernéticos más complejos, pero también es, afortunadamente,
increíblemente fácil de proteger. Veamos cómo puedes evitar ser víctima de
ataques de relleno de credenciales, comenzando con los cambios más simples y
fáciles y pasando a consejos que requieren un poco más de inversión y
planificación.
Crear
contraseñas complejas y únicas
Si hay algo que escucharás una y otra
vez al aprender sobre buenas prácticas de contraseñas, es que debería usar
contraseñas complejas y únicas por cada servicio que uses, y por una buena
razón. Lo más eficaz que puedes hacer para superar el problema de «una
llave abre todas las puertas» es, naturalmente, tener un llavero muy
grande con una llave dedicada para cada puerta virtual de tu vida.
Si has estado usando la misma
contraseña o un puñado de contraseñas desde que abriste tu primera cuenta de correo electrónico hace décadas, no hay
tiempo como el presente para adoptar este nuevo hábito crucial de contraseñas.
Cada sitio y servicio debe tener una contraseña única, sin excepciones.
Automatizar
tus contraseñas con un administrador de contraseñas
Si estás usando las mismas
contraseñas repetidamente, es probable que no estés usando un administrador de contraseñas. Esto significa que es posible que
te hayas asustado un poco cuando leíste mi sugerencia anterior de usar una
contraseña única para cada servicio. Mantener una contraseña compleja y única
para docenas, y mucho menos cientos, de servicios es una tarea absurdamente
difícil sin herramientas para ayudarte.
Ingresa al administrador de
contraseñas. Crea una contraseña compleja pero memorable para desbloquear el
administrador de contraseñas y luego deja que el administrador de contraseñas
maneje el resto.
Un buen administrador de contraseñas
te ayudará a generar contraseñas únicas y complejas, rastrearlas, completarlas
automáticamente en los sitios cuando las visites e incluso ayudarte a
actualizarlas de manera rutinaria. Si no estás utilizando un administrador de
contraseñas, te estás perdiendo un sorprendente impulso de calidad de vida y
una de las mejores cosas que puedes hacer para apuntalar la seguridad de sus
cuentas.
Si nunca antes has usado un
administrador de contraseñas, puedes consultar este artículo para comenzar con administradores de contraseñas.
Habilitar
la autenticación multifactor en todas partes
Mucha gente es resistente a la
autenticación multifactor porque lo ven como una molestia. Pero es una forma
fantástica de agregar una capa adicional de seguridad a tus cuentas. Incluso si
tienes el hábito no tan grande de reutilizar contraseñas, si todas tus cuentas
críticas de alto valor tienen habilitado la autenticacion multifactor, estás
protegido contra el relleno de credenciales.
El atacante podría haber obtenido tu
nombre de usuario y contraseña de un sitio vulnerable, pero no tendrá acceso a
tu aplicación de autenticación, teléfono u otras herramientas multifactoriales.
Eliminar
cuentas antiguas para reducir el riesgo
Si no estás utilizando una cuenta,
elimínala. Debido a que las cuentas en línea no tienen carácter físico (no
abarrotan tu oficina ni se desbordan del cajón de basura de tu cocina), es
fácil ignorar las antiguas. Pero si no estás usando una cuenta, no hay ninguna
razón real para conservarla.
Cuando puedas, elimina las cuentas no
utilizadas de los servicios que ya no te interesan. Y cuando no puedas,
asegúrate de iniciar sesión y cambiar tu contraseña (usando el generador de
contraseñas en tu práctico administrador de contraseñas, por supuesto). De esa
manera, cuando el servicio no utilizado se ve comprometido, lo único que se
filtra es una contraseña única y compleja que no funciona en ningún otro lugar.
Utilizar un
servicio de alias de correo electrónico
No todos querrán lidiar con los pasos
adicionales involucrados, pero somos firmes defensores del uso de un servicio
de alias de correo electrónico para protegerse en línea. El resumen es este. En
lugar de colocar tu dirección de correo electrónico principal en cada servicio
que lo requiera (ya sabes, esa codiciada dirección nombre.apellido@gmail.com
que obtuviste hace años), un servicio de alias le permite crear una cantidad
ilimitada de direcciones de correo electrónico para alimentar servicios grandes
y pequeños.
¿Necesitas registrarte en otro
servicio más para la escuela de tu hijo, alguna aplicación o cualquier otro
servicio que requiera una dirección de correo electrónico? Mantén privada tu
dirección de correo electrónico principal y envíales un correo electrónico
único.
Luego puedes tirarlo a la basura en
el momento en que comiencen a enviarte spam o cuando desactives el servicio. Un
servicio de alias de correo electrónico no solo es excelente para tu privacidad
y para mantener tu bandeja de entrada ordenada, sino que, si el servicio al que
te registraste está comprometido, no hay problema. Los hackers no obtienen
nombre.apellido@gmail.com. En su lugar, obtienen
somerandomstring@some-alias-provider.com, que no les proporciona ningún valor
de relleno de credenciales.
Independientemente de cómo abordes el
problema, no pierdas de vista el primer y más importante consejo que compartí.
Una contraseña compleja y única para cada servicio es la forma más sencilla y
eficaz de protegerse contra el relleno de credenciales. Cuanto antes empieces a
utilizarlos, mejor.
Cómo generar contraseñas aleatorias con este script de Bash