Información de la empresa
Las empresas pueden estar sujetas a requisitos normativos específicos que las obliguen a revelar incidentes de piratería informática y vulnerabilidades no parcheadas. En Estados Unidos, por ejemplo, las empresas que cotizan en bolsa deben informar de los ciberincidentes importantes a la Comisión del Mercado de Valores de los Estados Unidos (SEC, por sus siglas en inglés) en un plazo de 96 horas, o cuatro días laborables, desde que se produzcan.
Esta transparencia no solo puede ayudar a generar confianza entre los clientes, sino que también les informa de si sus cuentas o datos se han visto comprometidos. Las empresas suelen notificar a los usuarios las violaciones de datos por correo electrónico, pero como los archivos de la SEC son públicos, es posible que te enteres de estos incidentes por otras fuentes, posiblemente incluso por las noticias que los cubren.
¿Cómo detectar filtraciones de contraseñas?
Quizá la forma más sencilla de comprobar si algunos de tus datos fueron expuestos en una filtración de datos sea visitar haveibeenpwned.com. El sitio cuenta con una herramienta gratuita que puede decirte cuándo y dónde aparecieron sus datos, como dirección de correo electrónico o contraseñas.
Solo tienes que introducir tu dirección de correo electrónico, hacer clic en “pwned?” y ¡voilá! Aparecerá un mensaje informándote del estado de seguridad de tus credenciales, así como de la filtración exacta en la que se vieron envueltas. Para los afortunados, el resultado será verde, lo que indica que no ha habido pwnage, y para los menos afortunados, el sitio se volverá rojo, indicando en qué filtración o filtraciones de datos aparecieron sus credenciales.
Navegador web
Algunos navegadores web, como Google Chrome y Firefox, pueden comprobar si tus contraseñas han sido incluidas en alguna filtración de datos conocida. Chrome también puede recomendar contraseñas más seguras a través de su módulo de gestión de contraseñas u ofrecer otras funciones para mejorar la seguridad de tus contraseñas.
Sin embargo, es posible que quieras ir más allá y utilizar un gestor de contraseñas dedicado que tenga un historial probado de tomarse en serio la seguridad de los datos, incluso mediante un cifrado robusto. Además, estas herramientas suelen incluir software de seguridad multicapa de buena reputación.
¿Cómo evitar (el impacto de) las fugas de credenciales?
1. No confíes solo en contraseñas: Protege tus cuentas con dos métodos de autenticación.
2.Habilitá la autenticación de doble factor (2FA): Usa una clave de seguridad dedicada o una app como Microsoft Authenticator o Google Authenticator para mayor seguridad.
3. No almacenes contraseñas en papel o en notas: Evita guardarlas en navegadores web, ya que son vulnerables a malware.
4. Usa contraseñas seguras: Evita contraseñas simples y cortas; usa herramientas como la de ESET para generar o verificar su fortaleza.
5. Considera frases de contraseña: Pueden ser más seguras y fáciles de recordar que combinaciones aleatorias.
6. Utiliza contraseñas únicas para cada cuenta: Así evitas el riesgo de ataques como el «credential stuffing».
Un nuevo enfoque de la autenticación se basa en los inicios de sesión sin contraseña, como las passkeys, y también existen otros métodos de inicio de sesión como los tokens de seguridad, los códigos de un solo uso o la biometría para verificar la propiedad de la cuenta en múltiples dispositivos y sistemas.
Prevención por parte de la empresa
Las empresas tienen que invertir en soluciones de seguridad, como software de detección y respuesta, que puedan prevenir brechas e incidentes de seguridad en filtraciones de contraseñas. Además, las organizaciones deben reducir proactivamente su superficie de ataque y reaccionar en cuanto detecten algo sospechoso. La gestión de vulnerabilidades también es crucial, ya que estar al tanto de las lagunas de software conocidas y parchearlas a tiempo ayuda a prevenir su explotación por parte de los ciberdelincuentes.
Por otra parte, el factor humano, siempre presente, también puede desencadenar un ataque, por ejemplo cuando un empleado abre un archivo adjunto de correo electrónico sospechoso o hace clic en un enlace. Por eso no se puede subestimar la importancia de la formación en ciberseguridad y la seguridad de los endpoints y el correo electrónico.