El relleno de credenciales es el ciberataque más fácil de evitar (aquí se explica cómo hacerlo)

Puntos clave

  • El relleno de credenciales es un ciberataque común en el que se utilizan nombres de usuario y contraseñas robados para obtener acceso no autorizado a varias cuentas.
  • Para protegerse del relleno de credenciales, cree contraseñas seguras y únicas para cada servicio, utilice un administrador de contraseñas, habilite la autenticación multifactor y elimine o proteja las cuentas no utilizadas.
  • El uso de un servicio de alias de correo electrónico también puede ayudarle a protegerse del relleno de credenciales al ocultar su dirección de correo electrónico principal.

Es muy probable que nunca antes haya escuchado el término "relleno de credenciales", pero eso no significa que no haya sido el objetivo de un ciberataque generalizado y efectivo. Esto es lo que es el relleno de credenciales y cómo puede protegerse fácilmente de él.

Este artículo de la Semana de concientización sobre la ciberseguridad se presentó en asociación con Incogni.

→ Índice de contenidos
  • ¿Qué es el relleno de credenciales?
  • ¿Cómo puedo protegerme del relleno de credenciales?
  • ¿Qué es el relleno de credenciales?

    Existen todo tipo de vectores de ciberataque, desde los más simples hasta los más sofisticados. En el lado más simple de las cosas, existen ataques como los exploits de ingeniería social en los que actores maliciosos utilizan habilidades sociales y la buena voluntad de otras personas para obtener acceso a datos de inicio de sesión, información confidencial, etc. No es necesario distinguir la sal criptográfica de la sal de mesa para llevar a cabo con éxito un ataque de ingeniería social.

    En el lado más complejo de las cosas, hay ataques que requieren que actores maliciosos eludan múltiples capas de seguridad, escapen con los datos y trabajen para descomprimirlos más tarde.

    Desempaquetar esos datos, particularmente cuando los datos son una colección de nombres de usuario o direcciones de correo electrónico y sus contraseñas asociadas, es el primer paso para lanzar un ataque de relleno de credenciales. Así es como funciona y cómo puede afectarle personalmente.

    Digamos que usted, como millones de otros usuarios de Internet, tiene docenas de cuentas en diversos servicios. También tiene varios inicios de sesión de alto valor/alto riesgo, como inicios de sesión para su correo electrónico, banco, etc. Y tiene muchos inicios de sesión de bajo valor y bajo riesgo, como, por ejemplo, un inicio de sesión para un foro de autos deportivos que ha estado usando de vez en cuando durante años, una cuenta que creó para algún sitio de cupones, etc. .

    Esperemos que su banco y proveedor de correo electrónico tengan una seguridad excelente. Los objetivos de alto valor suelen estar debidamente protegidos, y las posibilidades de que alguien hackee con éxito Bank of America o Gmail y obtenga acceso a todos los nombres de usuario y contraseñas son bastante bajas. Pero no se puede decir lo mismo de ese foro automotriz o ese sitio de cupones. ¿Qué sucede cuando alguien explota esos sitios y roba todos los datos de los usuarios? Ahora tienen su nombre de usuario, probablemente su correo electrónico y su contraseña.

    Los actores malintencionados introducirán estos datos en sistemas automatizados que visitarán miles de objetivos de alto valor o perfil e intentarán iniciar sesión utilizando las credenciales robadas, “rellenándolas” para ver dónde encajan.

    Si reutiliza los mismos nombres de usuario, correos electrónicos y contraseñas en todos los lugares donde se conecta, está en problemas. Una filtración de información sobre el servicio de menor riesgo que utiliza ahora se convierte en una puerta trasera a todos los servicios de alto valor que utiliza, como su bandeja de entrada de correo electrónico y su banco.

    No existe un análogo directo en el mundo físico, pero si lo hubiera, parecería que se usa una clave para todo. Si perdiste tu llave o alguien hizo una copia, tendría una llave que funcionara para tu casa, auto, oficina, almacén, caja fuerte, casillero del gimnasio y todo lo demás. Incluso podría abrir la puerta de la casa de tus padres también. Claramente esto no es lo ideal y hay una razón por la que no usamos claves físicas de esta manera.

    ¿Cómo puedo protegerme del relleno de credenciales?

    El relleno de credenciales puede ser increíblemente común e increíblemente fácil de ejecutar en comparación con ataques cibernéticos más complejos, pero, afortunadamente, también es increíblemente fácil protegerse contra él. Echemos un vistazo a cómo evitar ser víctima de ataques de relleno de credenciales, comenzando con los cambios más simples disponibles y pasando a consejos que requieren un poco más de inversión y planificación.

    Crea contraseñas seguras y únicas

    Si hay algo que escuchará una y otra vez a medida que aprenda buenas prácticas en materia de contraseñas, es que debe utilizar contraseñas seguras y únicas para cada servicio que utilice, y por una buena razón. Lo más eficaz que puedes hacer para superar el problema de "una llave abre todas las puertas" es, por supuesto, tener un llavero muy grande con una llave dedicada para cada puerta virtual de tu vida.

    Si ha utilizado la misma contraseña o varias contraseñas desde que abrió su primera cuenta de correo electrónico hace décadas, no hay mejor momento que ahora para adoptar este nuevo hábito crucial de las contraseñas. Cada sitio y servicio recibe una contraseña única, sin excepciones.

    Automatiza tus contraseñas con un administrador de contraseñas

    Si usas repetidamente las mismas contraseñas, probablemente no estés usando un administrador de contraseñas. Esto significa que es posible que se haya enojado un poco cuando leyó nuestra sugerencia en la última sección de usar una contraseña única para cada servicio. Mantener una contraseña única y segura para docenas, y mucho menos cientos, de servicios es una tarea absurdamente difícil sin herramientas que lo ayuden.

    Ingrese al administrador de contraseñas. Cree una contraseña segura pero fácil de recordar para desbloquear el administrador de contraseñas y luego deje que el administrador de contraseñas se encargue del resto.

    Un buen administrador de contraseñas lo ayudará a generar contraseñas únicas y seguras, monitorearlas, ingresarlas automáticamente en los sitios cuando los visite e incluso actualizarlas periódicamente. Si no utiliza un administrador de contraseñas, se está perdiendo una sorprendente mejora en la calidad de vida y una de las mejores cosas que puede hacer para fortalecer la seguridad de sus cuentas.

    Si nunca antes ha utilizado un administrador de contraseñas, consulte nuestra guía para comenzar a utilizar administradores de contraseñas. Cubre las preguntas más comunes y te dará una idea de cómo es la vida diaria con un administrador de contraseñas.

    Habilite la autenticación multifactor en todas partes

    Mucha gente está en contra de la autenticación multifactor porque la consideran una molestia. Pero es una manera fantástica de agregar una capa adicional de seguridad a sus cuentas. Incluso si tiene el hábito no tan bueno de reutilizar contraseñas, si todas sus cuentas críticas de alto valor tienen habilitado el factor múltiple, estará protegido contra el relleno de credenciales.

    Es posible que el atacante haya robado su nombre de usuario y contraseña de un sitio vulnerable, pero no tendrá acceso a su aplicación de autenticación, teléfono u otras herramientas multifactor.

    Eliminar cuentas antiguas para reducir el riesgo

    Si no utiliza una cuenta, elimínela. Debido a que las cuentas en línea no tienen carácter físico (no abarrotan su oficina ni se desbordan del cajón de basura de su cocina), es fácil ignorar las antiguas. Pero si no estás usando una cuenta, no hay ninguna razón real para conservarla.

    Cuando puedas, elimina las cuentas no utilizadas de los servicios que ya no te interesan. Y cuando no pueda, asegúrese de iniciar sesión y cambiar su contraseña (usando el generador de contraseñas en su práctico administrador de contraseñas, por supuesto). De esta manera, cuando el servicio no utilizado se ve comprometido, lo único que se revela es una contraseña única y compleja que no funciona en ningún otro lugar.

    Utilice un servicio de alias de correo electrónico

    No todo el mundo querrá seguir los pasos adicionales necesarios, pero somos firmes defensores del uso de un servicio de alias de correo electrónico para protegerse en línea. El resumen es este. En lugar de ingresar su dirección de correo electrónico principal en cada servicio que lo requiera (reconozca la codiciada dirección [email protected] que obtuvo hace años), un servicio de alias le permite crear una cantidad ilimitada de direcciones de correo electrónico para ingresar en grandes y pequeñas. servicios.

    ¿Necesita registrarse en otro servicio para la escuela de su hijo, alguna aplicación o cualquier otro servicio que requiera una dirección de correo electrónico? Mantenga privada su dirección de correo electrónico principal y envíeles un correo electrónico único.

    Luego puedes tirarlo a la basura en el momento en que empiecen a enviarte spam o cuando desactives el servicio. Un servicio de alias de correo electrónico no solo es excelente para su privacidad y para mantener ordenada su bandeja de entrada, sino que si el servicio al que se registró está comprometido, está bien. Los piratas informáticos no pueden descifrar [email protected]. En su lugar, reciben [email protected], lo que no les proporciona ningún valor de relleno de credenciales.

    Cualquiera que sea su enfoque del problema, no pierda de vista el primer y más importante consejo que hemos compartido. Una contraseña compleja y única para cada servicio es la forma más sencilla y eficaz de protegerse del relleno de credenciales. Cuanto antes empieces a utilizarlos, mejor.

    Subir Change privacy settings