Consejos para el uso de contraseñas frente a posibles ataques cibernéticos

En los últimas semanas nos han preguntado mucho por correos que reciben en los cuales un hacker indica que tiene sus contraseñas, acceso a su pc y algunos servicios (incluso que tiene material sensible de la persona) y como prueba de esto, menciona que usa determinada contraseña para alguno de sus servicios (normalmente una contraseña vieja o que ya no utiliza).

¿Qué puede estar sucediendo?

Muchos atacantes envían estos correos de forma masiva y obtienen esas contraseñas de bases de datos que contienen información sensible como
usuarios, passwords, información personal, información de ubicación, etc.
Que fueron armadas y expuestas por atacantes luego de un incidente
de seguridad en algún servicio y/o empresa.

¿Cómo podemos identificar un ataque de este estilo? 

• Si la contraseña que nos indica el atacante es vieja (ya no se utiliza más o la utilice hace mucho tiempo). 
• El mensaje es muy genérico.
• Existen datos inconsistentes  (“sé que utiliza esta contraseña en  muchos servicios” cuando no es así, “tenemos fotos y material que evidencia que usted visualiza sitios para adultos”, “actualmente utiliza esta contraseña” y no se utiliza hace mucho tiempo)
• Podemos ingresar a los siguientes sitios y verificar si nuestra dirección de correo se encuentra identificada como parte de estas incidencias. Incluso nos indican que tipos de datos fueron los que se expusieron (correo electrónico, passwords, datos personales, datos de ubicación, etc)

o   https://monitor.firefox.com/

o   https://haveibeenpwned.com/ 

¿Qué podemos hacer o cómo podemos prevenirnos?

• Podemos utilizar los sitios enumerados anteriormente para verificar que nuestros datos y contraseñas no fueron expuestos
• Cambiar lo antes posible las contraseñas de dichos servicios (en caso de que la contraseña no se haya modificado desde esa fecha)       
• Tomarse unos minutos para habilitar un segundo factor de autenticación, por ejemplo mediante notificación al celular, en los servicios importantes como LinkedIn, Gmail, Facebook, etc. Lo que agregaría un segundo elemento para validar la identidad y evitaríamos depender únicamente de la contraseña.      
• Preferir el uso de autenticación integrada, por ejemplo “ingresar utilizando Google” o “ingresar utilizando Facebook” y verificar los permisos que le brindamos a las aplicaciones (si los mismos tienen sentido para la función de la aplicación).

Para finalizar dejamos algunos consejos para hacer más segura tu
contraseña:

• Elegir una contraseña compleja que contenga números, letras, símbolos y de un largo razonable.  
• Evitar incluir en las contraseñas deportes favoritos, nombres de personas cercanas, nombres de mascotas, etc .
• Intentar no utilizar a misma contraseña para múltiples servicios.
• Evaluar el uso de herramientas gestores de contraseñas.
• Utilizar un segundo factor de autenticación.