Un grupo de investigadores de CyLab, el laboratorio de seguridad y privacidad de la Universidad Carnegie Mellon, han presentado un estudio con el que dicen haber desarrollado una política de creación de contraseñas que son fáciles de recordar y más seguras, una que está respaldada por la ciencia.

Tras más de una década estudiando el problema, dicen que este método mantiene el balance ideal entre seguridad y usabilidad: "Olviden todas las reglas sobre letras mayúsculas y minúsculas, números y símbolos; tu contraseña solo necesita al menos 12 caracteres y debe pasar una prueba de fortaleza en tiempo real desarrollada por los investigadores".

La poca utilidad de añadir símbolos, caracteres especiales y números solo porque sí

Según los datos recopilados durante la investigación, añadir mayúsculas, símbolos, números, y caracteres especiales no aumenta la seguridad de la contraseña tanto como otros requerimientos, y además tiende a tener un impacto negativo en la usabilidad del password.

De hecho, a una conclusión similar llegó hace algunos años Bill Burr, la misma persona que recomendó originalmente que usáramos caracteres especiales y cambiáramos de contraseñas constantemente. "Es completamente inútil" dijo, ahora para Burr lo más importante de una contraseña segura es la longitud.

Los científicos de CyLab han invertido años y mucho más trabajo en intentar probar esto. Para ello, en 2016 desarrollaron un "medidor de fortaleza de contraseña" alimentado por una red neuronal artificial que era lo suficientemente pequeño para integrarlo en un navegador web.

El medidor hace cosas como que una vez que has creado una contraseña con al menos 10 caracteres, te empieza a dar sugerencias para hacerla más fuerte y lograr un "mínimo de fortaleza", ya sea añadiendo algún carácter adicional o dividiendo palabras comunes.

Con ese medidor, los investigadores empezaron a hacer experimentos evaluando combinaciones de diferentes políticas de creación de contraseñas. En estos experimentos se les pidió a los participantes que crearan y recordaran contraseñas con políticas asignadas al azar, como por ejemplo requerir un mínimo de caracteres, obligar a usar caracteres especiales, bloqueando el uso de contraseñas inseguras (tipo 123456 o qwerty), etc.

En Genbeta

Cómo utilizar la nemotecnia para crear y recordar contraseñas complejas y seguras

La longitud mínima ideal es de 12 caracteres

Los primeros participantes tenían que ponerse en los zapatos de alguien que se acababa de enterar de que su proveedor de email había sufrido una brecha de datos y necesitaba cambiar su contraseña de inmediato. Unos días después se les pedía que recordaran su contraseña como medidor de usabilidad de la política de contraseñas a la que se sometieron.

Los investigadores encontraron que, una política que requiere tanto un mínimo de fortaleza (determinado por su medidor) como un mínimo de longitud de 12 caracteres, logró un buen balance entre seguridad y usabilidad.

Es menos fastidioso para un usuario escribir una contraseña más larga en lugar de una con más caracteres especiales, y resulta que también es más seguro

Básicamente, su estudio encontró que las políticas de un mínimo de fortaleza de contraseñas pueden proteger contra ataques online ya sea requiriendo que el usuario ingrese más tipos de caracteres o escriba contraseñas más largas. Sin embargo, aumentar el límite mínimo de la contraseña logra mayor seguridad a un menor costo en usabilidad, especialmente en el tiempo que le toma al usuario crear una contraseña que cumpla con la exigencia y en qué tan fastidioso le resulte.

En Xataka

Cómo crean y gestionan sus contraseñas los editores de Xataka

Una política de seguridad útil en combinación con esta es que los servicios utilicen listas negras de contraseñas inseguras para que el usuario no pueda utilizarlas. Los investigadores recomiendan que esas listas verifiquen que el usuario no use contraseñas comúnmente filtradas.

El mundo digital lleva años y años persiguiendo la seguridad en las contraseñas, pero incluso las medidas más básicas siguen sin calar entre el público general. No es sorpresa entonces que una y otra, y otra vez, las contraseñas más usadas siguen siendo las mismas terribles como '123456'.

Cuando una empresa u organización no implementa siquiera políticas de fortaleza mínimas como impedir que el usuario use "password" como password, no podemos culpar solo al usuario.

Esta investigación ofrece la idea de que con exigir mínimo una contraseña de 12 caracteres aumentas bastante la seguridad, y ofrece una herramienta que se puede implementar en los navegadores para guiar al usuario a crear una más segura, en lugar de ofrecer el semáforo tradicional que solo te dice "débil, fuerte, muy fuerte".

Imágenes | Marcos Merino mediante IA

En Genbeta | El autocompletado de contraseñas en Chrome o en Edge es tan cómodo como inseguro. Así te las pueden robar en segundos

Habitualmente se nos insiste en que utilicemos contraseñas fuertes, difíciles de adivinar y a buen recaudo de miradas indiscretas. Sin embargo, parece que algunas instituciones públicas son las primeras en incumplir esos consejos. Si hace poco nos sorprendía la noticia sobre el sistema de seguridad del Museo del Louvre, ahora es la DGT la protagonista.

Y es que la Dirección General de Tráfico, se ha visto envuelta en una polémica al respecto después de que Informativos Telecinco mostrara accidentalmente, en horario de máxima audiencia, un post-it pegado en un monitor con un nombre de usuario y una contraseña escritos. Y lo peor de todo es que esta última resultaba insultantemente fácil.

La escena apenas dura un instante en el reportaje emitido por la cadena, pero eso significa poco en los tiempos de las capturas de pantalla, por lo que ha sido suficiente para indignar a muchos usuarios concienciados con el tema de la ciberseguridad, que no ha tardado en difundir el desliz en redes.

Y es que la clave revelada es tan extremadamente simple que a muchos les resultará difícil creer que forme parte de un sistema informático gubernamental.

Vía Carlos Cantero en LinkedIn

Y es que la contraseña expuesta no era otra que '54321', una secuencia presente en todos los 'diccionarios de contraseñas' usados por los hackers para agilizar sus ciberataques, y considerada uno de los ejemplos más flagrantes de mala práctica digital.

Un descuido grabado en alta definición

El incidente salió a la luz gracias a profesionales del sector, como Carlos Cantero, especialista en Ciberinteligencia y OSINT. Al detener uno de los fotogramas del reportaje, observó que en la parte inferior de un monitor de la DGT había una pegatina con usuario y contraseña claramente visibles.

Así lo denunciaba Cantero en su publicación de LinkedIn:

"El hecho de que la DGT tenga el usuario y la contraseña insegura pegada al propio monitor, da bastante que pensar, sobre todo sabiendo el infierno que es España a nivel de protección de datos".

Algunos espectadores también lograron distinguir que, además de las credenciales, se mostraba el dominio privado del servicio interno utilizado para gestionar incidencias. Aunque ese dominio pueda estar protegido por VPN o filtrado de IPs, la mera exposición supone un riesgo potencial adicional.

En Genbeta

Resulta que obligarnos a cambiar regularmente de contraseña no era tan buena idea como parecía: se lo pone más fácil a los hackers

Llueve sobre mojado

Hay que tener en cuenta que la DGT arrastra un historial reciente de incidentes relacionados con la seguridad informática. No hace tanto que el organismo sufrió un ataque que permitió el robo de los datos de 34 millones de conductores, posteriormente puestos a la venta en la deep web por apenas 3.000 euros, dando pie a una de las mayores campañas de suplantación vividas en España. En esos meses, miles de ciudadanos recibieron correos falsos que simulaban multas urgentes, mensajes que permitían a los atacantes acceder a cuentas bancarias privadas.

En este contexto, el nuevo desliz resulta particularmente grave. Y es que colocar usuario y contraseña en un papel visible es una de las prácticas más inseguras posibles en un entorno profesional, y aún más cuando se trata de dependencias de una institución pública que custodia información crítica de millones de ciudadanos.

Lecciones no aprendidas

Este tipo de errores no son fallos aislados, sino síntomas estructurales de un problema más profundo: la falta de cultura de seguridad digital dentro de ciertos organismos públicos. Estas brechas no suelen deberse a grandes ataques externos, sino a pequeñas negligencias internas, acumuladas durante años y normalizadas en el día a día del trabajo administrativo. Los expertos recomiendan:

• evitar cualquier contraseña visible en espacios comunes,
• utilizar gestores de contraseñas,
• y, sobre todo, establecer contraseñas complejas y únicas para cada servicio.

Imagen | Marcos Merino mediante IA

En Genbeta | "Estamos sustituyendo las contraseñas por algo peor": así facilitan los códigos de un solo uso nuevos tipos de ataque

El pasado 19 de octubre, a pleno día y bajo la mirada sorprendida de cientos de turistas, el Museo del Louvre fue escenario de uno de los robos más audaces de la historia moderna: dos hombres disfrazados de operarios irrumpieron en la 'Galería Apolo', hogar de los tesoros más valiosos del patrimonio francés, y en cuestión de minutos destrozaron las vitrinas que contenían joyas napoleónicas y coronas de incalculable valor.

El botín, estimado en 88 millones de euros, desapareció junto a los ladrones cuando éstos huyeron en scooters por las calles del centro de París antes de que la policía fuera capaz de reaccionar. Las cámaras de seguridad, destinadas a documentar cada rincón del museo más visitado del mundo, sólo pudieron registrar imágenes borrosas e incompletas.

Un museo famoso a la altura del betún

La conmoción inicial ha dado paso a la incredulidad cuando, dos semanas, el periódico francés Libération ha revelado el detalle más embarazoso de la investigación:

el sistema de videovigilancia del museo tenía como contraseña... «LOUVRE».

El dato ha destapado una década de negligencia tecnológica. Los auditores de la ANSII (Agencia Nacional de Seguridad de los Sistemas de Información) ya habían alertado en 2014 que las contraseñas 'triviales' como LOUVRE y THALES (el nombre del proveedor del software de seguridad) podrían ser aprovechadas para manipular cámaras y modificar permisos de acceso.

El informe de la ANSSI fue demoledor: quien lograra acceder a la red interna del museo podría facilitar el robo de obras de arte. Once años después, la advertencia se cumplió palabra por palabra.

Auditorías de seguridad, ¿para qué?

Los documentos obtenidos por Libération muestran que el problema iba más allá de las contraseñas. El Louvre operaba servidores con Windows Server 2003 y, hasta hace poco, aún coexistían equipos con Windows 2000, un sistema operativo abandonado hace más de una década.

En Genbeta

Este grupo hacker coló una Raspberry Pi de 35 dólares en un banco para robar en toda su red de cajeros. Cerca estuvieron de lograrlo

Las actualizaciones eran "imposibles" (debido a la dependencia de software propietario descontinuado), y los contratos de mantenimiento con proveedores privados se renovaban sin control ni auditorías completas.

En 2017, una nueva evaluación del Instituto Nacional de Estudios Avanzados en Seguridad y Justicia reiteró las "graves deficiencias" del sistema y advirtió sobre la accesibilidad de las azoteas durante las obras, la mala gestión del flujo de visitantes y la fragmentación del control interno. Ni una sola de estas recomendaciones fue implementada por completo.

Golpe electoral y reputacional

La ministra de Cultura, Rachida Dati, reaccionó con torpeza: en los primeros días tras el robo insistió en que "los dispositivos de seguridad no habían fallado"... pero diez días más tarde reconoció ante el Senado que "sí existieron brechas y fallos de gestión", prometiendo una investigación exhaustiva.

El escándalo llega en un momento crítico para Dati, candidata a la alcaldía de París. Mientras, el museo que protege la Mona Lisa ha demostrado no poder protegerse ni a sí mismo.

Los informes filtrados han provocado indignación en la opinión pública y una ola de memes en redes sociales, comparando la ciberseguridad del Louvre con la de videojuegos en los que los personajes dejan las contraseñas pegadas en post-its.

Un robo de baja sofisticación y alta humillación

Lejos de la figura del ladrón elegante al estilo Arsène Lupin, los sospechosos detenidos —cuatro hombres y una mujer, residentes en Seine-Saint-Denis— resultaron ser delincuentes comunes, sin vínculos con el crimen organizado. Dos de ellos fueron arrestados al intentar huir del país; tres fueron liberados sin cargos.

Las autoridades no han recuperado ninguna de las ocho joyas sustraídas. La Fiscalía de París describe el caso como "un asalto planificado pero técnicamente rudimentario", lo que hace aún más evidente el colapso del sistema de seguridad del museo.

Vía | Libération

Imagen | Marcos Merino mediante IA

En Genbeta | Hace cinco años hubo un robo de bitcoins por valor de 14.500 millones de euros... y no se había desvelado hasta ahora

A diario, millones de personas confían en sus PCs y dispositivos móviles gestionar su información personal, realizar transacciones bancarias, o acceder a redes sociales y correos electrónicos. Sin embargo, muchos siguen utilizando contraseñas débiles y fácilmente predecibles, lo que pone en riesgo la seguridad de sus datos.

Joe Cockroft, un hacker ético y experto en ciberseguridad, ha señalado un error común en el que caen los usuarios cuando intentan proteger sus datos: usar información personal a modo de contraseñas. Y es que muchos optan por utilizar nombres de familiares, equipos de fútbol favoritos, o ciudades donde viven, ya que son fáciles de recordar.

Sin embargo, todo esto hace que las contraseñas sean también más fáciles de descifrar, pues esta información usada en la contraseña suele estar disponible públicamente a través de redes sociales o sencillas búsquedas online:

"Utilizar información identificable, como el nombre de tu equipo de fútbol favorito o los nombres de tus hijos, hace que tu contraseña sea mucho más fácil de descifrar".

Xataka

Estamos en 2023 y 123456 sigue siendo la contraseña más usada. Tenemos un problema de gestión de seguridad

Consejos de sentido común

La recomendación de Cockroft para proteger tus cuentas es sencilla, pero efectiva... y pocas veces seguida: crear contraseñas que sean complejas y difíciles de predecir. Según su consejo, una contraseña segura debe:

• Contener una combinación de letras (tanto mayúsculas como minúsculas), números y símbolos especiales.
• Evitar el uso de una misma contraseña para múltiples cuentas (así, si un ciberdelincuente logra descifrar una contraseña que usas en varias plataformas, podría tener acceso a todas tus cuentas).
• Modificarse regularmente (así como revisar periódicamente si tus cuentas han sido comprometidas).

Un paso adicional recomendado por los expertos es activar, siempre que esté disponible, la autenticación de dos factores (2FA), una capa extra de seguridad que requiere, además de la contraseña, una verificación adicional, como un código enviado a tu teléfono móvil o correo electrónico.

Las diez contraseñas más peligrosas... del Reino Unido (pero toma nota igualmente)

Las contraseñas más populares, nos recuerda Cockroft, son también las más vulnerables: por ello es crucial dejar de lado la comodidad de recordar una palabra simple para evitar problemas mayores en el futuro.

En declaraciones al Daily Mail, este hacker revelaba las diez contraseñas más populares entre los usuarios británicos. Contraseñas que, según su criterio, nunca deben utilizarse debido a su vulnerabilidad frente a ciberataques.

A grandes rasgos, la lista se parece mucho a la española: muchas cadenas numéricas ordenadas, obviedades como "password" y "qwerty"... y nombres de grandes equipos de fútbol.

1. 123456
2. password
3. qwerty
4. liverpool
5. 123456789
6. arsenal
7. 12345678
8. 12345
9. abc123
10. chelsea

Toda contraseña popular es también extremadamente fácil de descifrar: los ciberdelincuentes utilizan programas especializados que prueban listas extensas de combinaciones de contraseñas comunes. Dichas listas pueden contener miles o incluso millones de posibles contraseñas, facilitando el acceso no autorizado a cuentas personales en cuestión de minutos.

Imagen | Marcos Merino mediante IA

En Genbeta | La Policía Nacional da el truco definitivo para evitar una de las estafas más peligrosas. Es infalible

Seguro que no soy el único que usa habitualmente la función de 'Guardar contraseña' del navegador. Al fin y al cabo, puede parecer el mejor modo de no tener que estar recordando cada una de las contraseñas que creamos, o bien, incluso cuando tenemos una excelente memoria, puede ser que lo hagamos únicamente porque no queremos andar escribiendo la contraseña cada vez que entramos en la web en cuestión.

Pero, claro, eso puede generar algunos problemas de seguridad nuevos. Porque si la contraseña en cuestión se queda guardada en nuestro PC, cualquiera con acceso a nuestro navegador (familiares, compañeros de trabajo) puede acceder a nuestras contraseñas.

Ya, ya, aquí es donde me puedes decir que para revisar las contraseñas guardadas es necesario acceder al perfil de usuario del navegador, ir a la sección de contraseñas y conocer nuestra propia contraseña del sistema operativo para que el navegador muestre la que buscamos.

Así dicho, parece algo bastante seguro, es cierto. Pero, ¿y si hubiera un método enormemente sencillo que permitiera a cualquiera con acceso a nuestro navegador (siempre que usemos un navegador basado en Chromium, como Google Chrome o MS Edge) revelar cualquier contraseña guardada... con la única condición de entrar en el formulario de login de la web en cuestión?

Ya no estaríamos tan convencidos de que la costumbre de guardar contraseñas en el navegador sea tan segura, ¿verdad? Pues analicemos ese método con detalle.

En Genbeta

Cuidado con 'Mostrar contraseña': el corrector de texto de Chrome y Edge envía a la nube los datos privados que escribes en la web

Así puedes 'desofuscar' las contraseñas

En primer lugar, accedemos a una web que pueda tener una contraseña guardada en el navegador en el que estamos. Gmail, X o Outlook pueden ser apuestas seguras, aunque en este caso vamos a utilizar Evernote. Una vez que intentemos iniciar sesión, veremos que la contraseña se nos muestra ofuscada con puntos o asteriscos.

Podríamos simplemente darle a 'Iniciar sesión' (otro potencial problema de seguridad), pero imaginemos que lo que nos interesa es saber la contraseña para saber si el usuario ha usado la misma en servicios con información más 'jugosa'.

Llegados a este punto, el siguiente paso es muy sencillo: hacemos clic con el botón derecho en el campo de la contraseña, clicamos en 'Inspeccionar' y veremos cómo se despliegan en un lateral las herramientas de desarrollo web, que nos permite alterar en directo el código de la web que estemos visualizando. 

Automáticamente, aparecerá destacada la porción del código HTML que hace que se muestre el elemento en el que hayamos hecho clic. En este caso, un 'input type="password"...'.

Pues bien, sólo tenemos que seleccionar el texto 'password' del código HTML y cambiarlo por 'text', y a continuación, pulsar intro.

Automáticamente, al haber dejado de ser un campo de contraseña y pasar a ser de texto plano, el contenido de dicho campo (ya introducido ahí por el navegador) dejará de estar ofuscado y será perfectamente visible. 

Listo, ya no necesitamos conocer la contraseña de Windows del propietario / usuario habitual del PC.

Vía | Pau Garcia-Milá

Imagen | Marcos Merino mediante IA

En Genbeta | Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente 

En junio nos hicimos eco de una noticia que había saltado a los titulares asegurando que "16.000 millones de contraseñas" habían quedado expuestas en lo que se calificaba como una "filtración histórica". Pero Troy Hunt, famoso por ser el creador de Have I Been Pwned (el sitio web de referencia a la hora de comprobar si nuestras credenciales han sido filtradas), ha analizado una muestra significativa de ese material para separar los hechos de la hipérbole.

Su conclusión: el impacto real es muchísimo menor que la cifra que se ha difundido y, además, no se trata de una única brecha, sino de recopilaciones de credenciales previas ya conocidas y redundantes.

De dónde sale el titular de los "16.000 millones"

La dinámica es conocida: los medios compiten por presentar "la mayor filtración jamás vista", buscando una cifra que supere a la anterior. En este caso, el bulo (del que se habían hecho eco incluso las compañías de ciberseguridad) tomó tracción y en su momento llevó incluso a un pico de búsquedas de Have I Been Pwned, a pesar de que HIBP aún no había cargado ningún dato de esa supuesta "megafiltración".

El asunto es que no hay una única fuente de exposición: "Bob", un investigador reputado, explicó a Hunt que lo que circulaba eran diferentes conjuntos de datos de infostealers que se habían hecho públicos a lo largo del año, a veces retirados y a menudo reempaquetados.

Los stealer logs se generan máquina a máquina cuando un dispositivo comprometido roba credenciales almacenadas o introducidas en el navegador; con el tiempo, se agrupan y redistribuyen. Presentarlo como "una filtración" es, por tanto, engañoso.

Lo que analizó HIBP: tamaño real, estructura y depuración

Hunt recibió de "Bob" 10 archivos JSON que sumaban 775 GB y 2.700 millones de filas de datos. Una comprobación rápida mostró que más del 90 % de las direcciones ya figuraban en HIBP y, en el caso de viejos stealer logs, coincidían los mismos dominios. Es decir, mucho material visto previamente.

Hunt resume tres motivos por los que los números "de portada" se inflan de forma sistemática:

1. Duplicación entre ficheros (el mismo dato aparece en varios paquetes).
2. Duplicación dentro del mismo fichero (repeticiones crudas de filas).
3. Métrica engañosa: una "fila" no equivale a "una persona"; una sola víctima puede generar decenas o cientos de filas (cuenta × servicio).

Aplicando su proceso de limpieza y parsing, de esas 2.700 millones de filas se extrajeron 325 millones de entradas únicas procedentes de stealer logs (filas válidas con web + email + contraseña). Al consolidar individuos, el total quedó en 109 millones de direcciones de correo únicas, que son las que han acabado incorporándose a HIBP.

En otras palabras: se ha pasado de 2.700 millones de "filas" a 109 millones de "personas": una reducción del 96 %.

En Xataka

Cómo saber si tus contraseñas se han filtrado en Internet

Sin embargo, la muestra dada por "Bob" representa apenas una séptima parte de la cifra de los titulares, ¿pudiera ser que el resto de credenciales no muestren cifras tan infladas? Hunt es claro: no se puede saber con certeza. Pero apuesta a que la caída sería mayor aún.

Las cifras que importan (y lo que significan)

• Direcciones de correo únicas nuevas: pese a la gran redundancia, es cierto que finalmente se incorporaron 4,4 millones de direcciones que no estaban previamente en HIBP. Es relevante… pero no justifica titulares de "la mayor de la historia".
• Contraseñas únicas: se identificaron 231 millones de contraseñas únicas en entradas válidas; el 96 % ya era conocido por HIBP y su servicio Pwned Passwords (con recuentos de prevalencia actualizados). Son consultables en la web y la API de HIBP.

Por qué hay que quitarle hierro al asunto

• No es un solo incidente: presentar un agregado de logs de malware como "una brecha récord" pervierte el concepto de "brecha" (que implica una fuente concreta y un evento).
• La métrica basada en filas infla: hablar de "filas" o "credenciales" en bruto sobrerrepresenta el daño. Lo que cuenta es personas únicas y credenciales válidas tras deduplicar. En el corpus analizado, la inflación fue del 96 %.
• El material no es "fresco": mucha de esta información llevaba circulando, por lo que el riesgo no es nuevo frente a lo ya conocido.

¿Qué debes hacer si te preocupa tu seguridad?

1. Comprueba tu correo en HIBP y activa las alertas.
2. Cambia contraseñas allí donde reutilizaste o donde el gestor indique riesgo. Usa generadores aleatorios y almacenado en gestor de contraseñas.
3. Activa MFA/2FA en los servicios críticos: correo, banca, redes sociales, trabajo. Aunque una contraseña se filtre, el segundo factor bloquea la mayoría de abusos.
4. Limpia y actualiza tus equipos: los stealer logs existen porque malware robó tus credenciales. Pasa antimalware, actualiza sistema y navegador, revisa extensiones sospechosas.

Imagen | Marcos Merino mediante IA

En Genbeta | Si usas una de las contraseñas de esta lista, tienes el récord del inicio de sesión más hackeable de Internet

En un esfuerzo por facilitar el acceso y mejorar la experiencia del usuario, muchas plataformas digitales han comenzado a reemplazar las contraseñas tradicionales con un sistema de inicio de sesión basado en códigos de un solo uso enviados por correo electrónico o SMS.

Aunque esta práctica pueda parecer moderna, eficiente y segura, en realidad representa una seria amenaza para la seguridad de las cuentas online. Y lo que es más preocupante: esta amenaza ya está causando estragos en comunidades enteras de usuarios, especialmente los de Minecraft y otros juegos online.

¿Cómo funciona este método de acceso?

El método de inicio de sesión basado en códigos de un solo uso (One-Time Passcode, OTP) ha ganado popularidad como alternativa a las contraseñas tradicionales. La propuesta es sencilla y tiene un aire de modernidad y conveniencia:

1. El usuario accede a la página de inicio de sesión de un servicio.
2. Introduce únicamente su dirección de correo electrónico o número de teléfono.
3. El sistema le envía un código temporal (por ejemplo, de 6 dígitos) a través de correo electrónico o mensaje SMS.
4. El usuario introduce el código en la web y accede directamente a su cuenta.

Este enfoque se conoce como autenticación passwordless (sin contraseña), y se nos vende como un avance en términos de comodidad para el usuario. Además, grandes empresas tecnológicas como Microsoft, Google e incluso plataformas bancarias ya han comenzado a implementarlo en algunos de sus servicios.

El principal atractivo de este método radica en su aparente sencillez y que ofrece la opción de suprimir el estrés de recordar largas y complejas contraseñas. También es cierto que cierra las puertas a ciertos vectores de ataque tradicionales como los ataques de fuerza bruta o el relleno de credenciales (credential stuffing), ya que no se almacena una contraseña estática en los servidores que pueda ser reutilizada o robada.

Desde el punto de vista técnico, este modelo también se apoya en mecanismos que aseguran que el código enviado solo pueda usarse una vez y que tenga una validez temporal limitada (usualmente unos minutos), y esto genera una sensación de seguridad adicional.

En Genbeta

He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima

Sin embargo, esta ilusión de seguridad se desmorona rápidamente en la práctica, especialmente cuando:

• El servicio no verifica adecuadamente la identidad de quien solicita el código.
• El usuario desconoce qué implica compartir un código OTP.
• El entorno donde se introduce el código no es el sitio original (como Discord u otras plataformas ajenas al proveedor del servicio).

Y es aquí donde este método, diseñado para simplificar, se convierte en el talón de Aquiles de miles de cuentas digitales, especialmente cuando se mezcla con ingeniería social y plataformas con fuerte presencia juvenil, como Minecraft o Discord.

¿Cuál es el problema con este método?

Lo cierto es que este método facilita enormemente los ataques de suplantación de identidad (phishing). ¿Por qué?

En primer lugar, porque cualquiera puede iniciar el proceso de verificación con tu correo: un atacante solo necesita conocer tu dirección de correo electrónico (algo que suele ser público o fácil de adivinar).

Luego, accede a la página oficial de inicio de sesión del servicio —por ejemplo, Microsoft— y solicita un código de acceso de un solo uso. Este código legítimo será enviado a tu bandeja de entrada, como si tú hubieras iniciado el proceso de inicio de sesión.

Tú no entiendes por qué te ha llegado este e-mail o SMS (un problema agravado por el hecho de que los correos electrónicos que contienen los códigos no indican claramente su propósito)... pero, entonces, el atacante contacta contigo, normalmente a través de Discord, y te pide ese código, haciéndose pasar por un bot de verificación o un administrador de servidor.

Si caes en la trampa y le das ese código, le estarás entregando acceso completo a tu cuenta, sin que él haya necesitado conocer tu contraseña. Como el código es real y el sitio de origen también, resulta muy difícil detectar la estafa antes de que sea demasiado tarde.

Además, con este sistema, los gestores de contraseñas no pueden protegerte: en los ataques tradicionales, los gestores detectan URLs maliciosas o autocompletan contraseñas sólo en sitios legítimos. En este nuevo modelo, como el usuario nunca escribe una contraseña y el sistema legítimo es el que emite el código, no hay manera de saber si el código está siendo usado correctamente.

Casos reales

Esta vulnerabilidad no es una mera posibilidad teórica. Ya existen varios ejemplos documentados de los que empiezan a hacerse eco las comunidades online (desde los foros de Microsoft a YouTube).

En Genbeta

Cómo saber si me han hackeado la cuenta de Instagram y qué hacer para recuperarla

Una de las tácticas más comunes descritas en varios foros como Reddit consiste en invitar a jugadores a un servidor de Discord que parece legítimo, con bots y verificación. Se les pide introducir su correo de Microsoft y luego el código de 6 dígitos que recibirán en su correo. Muchos creen que están verificando su cuenta para acceder al servidor, pero en realidad están entregando el código de acceso a su cuenta de Microsoft a los estafadores.

Resultado: el atacante cambia la dirección de correo de la cuenta, borra o reemplaza la información que podría usarse para recuperarla en caso de pérdida de acceso (número de teléfono asociado, preguntas de seguridad), y el propietario legítimo pierde el acceso permanentemente.

Además, según el testimonio de un youtuber, los atacantes utilizan Webhooks de Discord para automatizar el robo de cuentas una vez obtienen el código. Así, los datos de la víctima son reemplazados por los del estafador en cuestión de minutos.

¿Por qué no se habla más de esta estafa?

Una de las razones es que los actores maliciosos utilizan canales y sistemas legítimos. El correo de Microsoft que contiene el código, por ejemplo, parece auténtico... porque lo es: el código no viene de un sitio falso. La manipulación ocurre cuando la víctima, por ingenuidad o falta de información, entrega ese código al estafador.

Además, muchos afectados son menores de edad o usuarios menos familiarizados con prácticas seguras en Internet. Esto los convierte en blancos fáciles y en víctimas silenciosas.

¿Cómo prevenir estos ataques?

1. Nunca entregues códigos de verificación a terceros. Ningún servidor de Discord o sitio debería pedirte un código enviado a tu correo personal. Si alguien te lo solicita, es una estafa.
2. Educa a otros usuarios, especialmente jóvenes. Muchos de los afectados son adolescentes. Compartir esta información puede evitar que más personas caigan.
3. Verifica siempre el propósito de los códigos que recibes. Si recibes un código inesperado de Microsoft, ignóralo. Y si tú mismo lo has solicitado, asegúrate de ingresarlo solo en el sitio original, no en Discord o servicios externos.
4. Usa contraseñas seguras y sistemas de autenticación multifactor reales. Aunque parezca contradictorio, volver a usar contraseñas fuertes y seguras es, hoy por hoy, más seguro que depender exclusivamente de códigos de un solo uso sin contraseña.

Vía | Daniel Huang

Imagen | Marcos Merino mediante IA

En Genbeta | Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente

KNP es una empresa de transporte británica que operaba desde hacía 158 años y que contaba con 700 empleados que acaba de ir a la quiebra por un grave problema de seguridad que surgió de algo muy simple: según las investigaciones que hay hasta ahora, la contraseña muy débil de un empleado permitió a los hackers acceder a los sistemas hasta arruinar a la empresa.

Ante más investigaciones, se cree que los hackers lograron acceder al sistema informático adivinando la contraseña de un empleado, tras lo cual cifraron los datos de la empresa y bloquearon sus sistemas internos.

En Genbeta

"No negociamos con ciberdelincuentes" puede ser una mala política ante ataques de ransomware, según este estudio de Sophos

Es curioso que el director de KNP, Paul Abbott, afirma que no le ha dicho al empleado que su contraseña comprometida probablemente provocó la destrucción de la empresa. A nadie le gustaría cargar con la culpa de un error así. Como el CEO ha dicho en una entrevista a BBC: "¿Querría saberlo si fuera usted?".

Un secuestro de ransomware

Según se ha hecho público ahora, en 2023, KNP operaba 500 camiones, la mayoría bajo la marca Knights of Old. La empresa afirmó que su sistema informático cumplía con los estándares del sector y que había contratado un seguro contra ciberataques. Pero una banda de hackers, conocida como Akira, accedió al sistema, impidiendo al personal acceder a los datos necesarios para el funcionamiento del negocio.

La única forma de recuperar los datos, según los hackers, era pagar, ya que se trataba de un ataque de ransomware: "Si está leyendo esto, significa que la infraestructura interna de su empresa está total o parcialmente inactiva... Guardémonos las lágrimas y el resentimiento e intentemos entablar un diálogo constructivo", decía la nota de rescate.

En Genbeta

Un grupo de ransomware muy activo en España cierra y ofrece a sus víctimas liberar sus equipos gratis. Se cree que tiene otros planes

Según recoge ahora BBC, los hackers no especificaron el precio en ese momento, pero una firma especializada en negociación de ransomware estimó que la suma podría ascender a 5 millones de libras (5,76 millones de euros). KNP no disponía de esa cantidad. Al final, se perdieron todos los datos y la empresa quebró y 700 personas perdieron sus empleos.

Un cierre repentino

Como publica un medio local de Northamptonshire, donde operaba la empresa, el cierre repentino de 2023 se hizo evidente para el personal cuando los camiones tuvieron que regresar a la base debido a dificultades financieras. National World Scources informó que el viernes 22 de septiembre de 2023, por la tarde, se convocó al personal no administrativo junto con sus compañeros para informarles del cierre de la sede en Venture Park.

El lunes siguiente (25 de septiembre), la empresa administradora FRP Advisory Trading Limited anunció más de 730 despidos. La empresa administradora comunicó en otra reunión al personal "manual" que no recibirían su salario el último viernes del mes, como de costumbre, y que debían solicitar ayuda pública gubernamental.

En Genbeta

Ransomware de doble extorsión: el malware que te hace pagar dos veces para proteger tus datos

En septiembre de 2024, al menos 80 antiguos empleados de Knights of Old obtuvieron éxito en su acción legal para recuperar los salarios atrasados que se les adeudaban, argumentando que Knights of Old no inició un período de consulta cuando la empresa de transporte quebró. En agosto de 2024, el complejo de almacenes KNP, de 13.800 metros cuadrados, en Kettering Road, Islip, se vendió en una operación multimillonaria.

El Centro Nacional de Ciberseguridad (NCSC) ha revelado que el Reino Unido se enfrenta a un ataque importante a diario. Los hackers no están haciendo nada nuevo, afirma "Sam" (nombre ficticio), quien dirige un equipo del NCSC que se ocupa de los ataques diarios. Simplemente buscan un punto débil, han explicado en un reportaje: "Simplemente encuentran constantemente organizaciones en un mal día y se aprovechan de ellas".

Como publica desde ITGovernance del Reino Unido, A pesar de cumplir con los estándares del sector y contar con seguro contra ciberataques, la empresa no pudo recuperar sus datos y entró en concurso de acreedores. "Si una contraseña débil puede causar tanto daño, es evidente que implementar una política de contraseñas seguras debería formar parte de los procesos de ciberseguridad de toda organización"

Imagen | compartida por la empesa de camiones MAN

Vía | Xataka

En Genbeta | Somos el eslabón débil: tres de cada cuatro brechas de datos se debe a que los humanos caemos en engaños, no a 'bugs'

Instagram es más que una red social: es una extensión de nuestra identidad digital. Sin embargo, como cualquier espacio online, está expuesto a riesgos. En los últimos años, los hackeos a cuentas de Instagram se han vuelto más frecuentes, afectando tanto a usuarios anónimos como a celebridades.

Así que, si sospechas que tu cuenta ha sido hackeada o simplemente quieres prevenir este tipo de incidentes, aquí tienes todo lo que necesitas saber.

Cómo actúan los hackers en Instagram

Los hackers emplean múltiples técnicas para acceder a cuentas de Instagram, muchas veces sin que el usuario se dé cuenta hasta que ya es demasiado tarde. Estos son algunos de los métodos más comunes:

• Ataques Man-in-the-Middle (MITM): al conectarte a redes WiFi públicas o poco seguras, los hackers pueden interceptar tus datos de acceso.
• Phishing: enlaces falsos que imitan la pantalla de inicio de sesión de Instagram. Al ingresar tus credenciales de acceso, las estarías enviando directamente al atacante.
• Secuestro de cuentas vinculadas: muchas personas vinculan Instagram a Facebook. Si esta última cuenta se ve comprometida, el hacker podría obtener acceso a ambas.
• Malware en enlaces o DMs: algunos hackers distribuyen software malicioso mediante enlaces en mensajes directos o publicaciones patrocinadas.

Los ataques pueden escalar hasta la suplantación de identidad de figuras públicas o incluso la eliminación programada de la cuenta.

En Xataka

Instagram: 41 funciones y trucos para exprimir al máximo la app de mensajería

Cómo identificar si alguien ha accedido a tu cuenta de Instagram

Detectar un hackeo a tiempo puede marcar la diferencia. Estas señales deben ponerte en alerta:

• No puedes iniciar sesión: aunque ingreses tus credenciales correctas, el sistema no te permite acceder. Puede deberse a que el hacker ya ha cambiado tu contraseña.
• Publicaciones o stories desconocidas: si aparecen imágenes o vídeos que tú no subiste, es una señal clara de que alguien está publicando con tu nombre de usuario.
• Mensajes extraños a tus contactos: tus seguidores podrían recibir mensajes pidiendo dinero o con enlaces sospechosos.
• Cambios en la información de cuenta: modificaciones en tu correo, número de teléfono o contraseña sin tu intervención.
• Inicio de sesión desde ubicaciones extrañas, visible desde la sección "Contraseña y Seguridad" → "Dónde iniciaste sesión" en Instagram.
• Seguidos y seguidores sospechosos: tu cuenta puede empezar a seguir perfiles desconocidos automáticamente.

10 recomendaciones para proteger tu cuenta de Instagram

1. Usa contraseñas seguras: mezcla mayúsculas, minúsculas, números y símbolos. Evita fechas y nombres personales.
2. Activa la autenticación en dos pasos (2FA): así, aunque alguien tenga tu contraseña, no podrá acceder sin el código adicional.
3. Revisa los inicios de sesión frecuentemente: Asegúrate de que todos los dispositivos conectados son tuyos.
4. No uses redes WiFi públicas: especialmente sin recurrir a una VPN; pueden ser el escenario perfecto para ataques MITM.
5. No abras enlaces dudosos: incluso si parecen venir de contactos conocidos.
6. No vincules tu cuenta a Facebook si no es necesario: el riesgo se multiplica si una de ellas es comprometida.
7. Haz privada tu cuenta: limita la visibilidad de tu perfil a personas autorizadas.
8. Revisa los dispositivos conectados: elimina sesiones sospechosas desde el apartado de seguridad.
9. Evita apps de terceros no verificadas: pueden tener acceso indebido a tus datos.
10. Actualiza la app con frecuencia: las versiones nuevas corrigen fallos de seguridad.
11. Considera usar una VPN: encripta tu tráfico y dificulta que un atacante intercepte tus datos.

En Genbeta

Cómo resetear el algoritmo de Instagram para dejar de ver contenido que ya no te gusta

Qué hacer si te han hackeado la cuenta de Instagram

Si has confirmado que tu cuenta fue comprometida, actúa rápido. Aquí te dejamos una guía paso a paso.

Intenta recuperar tu cuenta desde la app

1. Abre Instagram y selecciona ¿Has olvidado tu contraseña?
2. Introduce tu nombre de usuario, email o número de teléfono asociado.
3. Sigue las instrucciones para recibir un enlace de recuperación por correo electrónico o SMS.
4. Si tienes acceso, cambia la contraseña inmediatamente por una más segura.

Recuperación sin acceso al correo ni teléfono

Si el hacker cambió tus datos de recuperación, sigue estos pasos:

1. Accede a: https://www.instagram.com/hacked o desde la app, selecciona "¿No puedes acceder?" y luego "Mi cuenta fue hackeada".
2. Introduce tu usuario y selecciona un método de verificación anterior (correo o teléfono, si todavía tienes acceso).
3. Ingresa una contraseña antigua. Meta puede usar esta información para verificar tu identidad.
4. Si todo lo anterior falla, Instagram te solicitará grabar una videollamada tipo selfie, para confirmar que eres el titular de la cuenta.
5. Luego deberás proporcionar un correo alternativo donde recibirás el enlace para restablecer el acceso a la cuenta.

El proceso puede demorar entre 3 y 4 días hábiles. Sé paciente y sigue los pasos cuidadosamente.

Una vez que hayas recuperado tu cuenta...

• Establece una contraseña fuerte y habilita la verificación en dos pasos.
• Asegúrate de que tu correo electrónico y número de teléfono sean correctos. Elimina cualquier rastro de dispositivos o datos sospechosos.
• Denuncia el hackeo desde la app de Instagram o mediante su formulario oficial. También puedes comunicarte con el número gratuito 017 del INCIBE, que ofrece asistencia en ciberseguridad en España.

Contacto con Instagram y ayuda adicional

Como última opción, puedes recurrir a estos métodos para contactar con Instagram y/o Meta:

• Formulario oficial de soporte: https://help.instagram.com
• Teléfonos de contacto de Meta (EE. UU.): +1 650 543 4800 / +1 415 857 3369.

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo recuperar tu cuenta de Instagram si te la desactivan por incumplir normas, si te la hackean o si tú la eliminas

En la era de la inteligencia artificial, buscar trabajo en McDonald’s puede limitarse a una simple conversación con Olivia. Pero Olivia no es una reclutadora de recursos humanos, sino un chatbot de IA diseñado para filtrar candidatos. Y hasta hace poco, este sistema sufría una vulnerabilidad de seguridad tan básica que roza lo increíble.

Siempre estamos recomendando utilizar contraseñas robustas para proteger los accesos a distintos servicios. No basta con poner como contraseña “Password” o el nombre seguido de varios números, ya que son fáciles de adivinar. Pero parece ser que McDonald’s no asistió a esa lección de seguridad, ya que por culpa de usar como contraseña “123456” se permitió el acceso a millones de registros de solicitantes de empleo de la cadena de comida rápida.

Un fallo de seguridad de primero de informática

Los investigadores de seguridad Ian Carroll y Sam Curry, conocidos por su historial en la detección de vulnerabilidades, descubrieron una serie de fallos alarmantes en la plataforma de IA Paradox.ai. Esta es una plataforma relevante, ya que está detrás del chatbot Olivia, que se utiliza en el portal de empleo de muchas franquicias de McDonald’s, McHire.com.

Lo que encontraron fue una puerta trasera completamente abierta. Con técnicas tan sencillas como adivinar un nombre de usuario y la contraseña (123456), los investigadores pudieron acceder a una base de datos con todos los registros de las conversaciones mantenidas entre Olivia y los aspirantes a puestos de trabajo en McDonald’s.

En concreto, accedieron sin dificultad a 64 millones de registros, que incluían información personal sensible como el nombre completo, direcciones de correo electrónico o números de teléfono.

Esto es un problema grave. Olivia es la cara visible de la automatización del proceso de contratación de McDonald’s. Este chatbot se encarga de la primera criba: pregunta a los candidatos por su información de contacto, solicita el currículum y los dirige hacia un test de personalidad. Aunque, según apuntan los investigadores, a veces puede “volver locos” a los solicitantes por no comprender preguntas básicas o repetidas.

Pero el mayor problema está en su seguridad. Tras contactar WIRED con Paradox.ai, los desarrolladores del software, estos confirmaron que existía una cuenta de acceso con la contraseña “123456”, aunque aseguraron que, aparte de estos investigadores de seguridad, “ningún tercero no autorizado accedió a ella”.

En Genbeta

Me lío tanto con las contraseñas de mis servicios y apps que he encontrado mi aliado perfecto: regenerarlas continuamente

Stephanie King, directora legal de Paradox.ai, afirmó: “No nos tomamos este asunto a la ligera, aunque se resolvió con rapidez y eficacia. Asumimos la responsabilidad”. Como medida para evitar futuros incidentes, la empresa ha anunciado la creación de un programa de bug bounty para incentivar la detección de vulnerabilidades.

Por su parte, McDonald’s se desmarcó por completo del problema, señalando directamente a su proveedor, Paradox.ai, como el principal responsable. En su comunicado, detallan lo siguiente:

Estamos decepcionados por esta vulnerabilidad inaceptable de un proveedor externo, Paradox.ai. Tan pronto como tuvimos conocimiento del problema, ordenamos a Paradox.ai que lo solucionara de inmediato, y se resolvió el mismo día que se nos informó

Este incidente pone de manifiesto los riesgos que conlleva externalizar a una IA el proceso de contratación, especialmente cuando tiene acceso a los datos personales de los aspirantes. Pero lo más grave es que medidas básicas de seguridad sigan sin estar interiorizadas en empresas tecnológicas supuestamente punteras, lo que recuerda que la ciberseguridad sigue siendo un pilar fundamental que no puede ser ignorado.

Imágenes | Shahbaz Ali Lewis Ogden

Fuente | Wired

En Genbeta | He dejado de usar contraseñas en todas mis cuentas de Google, Microsoft y Apple. Y me he quitado un peso de encima