Los 10 peores errores de contraseña de 2021

La sexta lista anual de Dashlane de los peores infractores de contraseñas del año revela los mayores contratiempos de seguridad de contraseñas para 2021.

Imagen: Roobcio / Shutterstock

El uso de contraseñas sólidas y seguras es un buen consejo no solo para sus propias cuentas personales, sino también para cualquier cuenta o servicio que utilice en el trabajo. De hecho, una contraseña débil puede crear muchos más problemas para una organización que tiene datos de usuario y otra información confidencial. Para mostrar cuántos problemas puede crear, el administrador de contraseñas Dashlane ha presentado una lista de los peores incidentes de seguridad relacionados con contraseñas para 2021.

VER: Política de administración de contraseñas (TechRepublic)

Para su lista de los peores infractores de contraseñas de 2021, Dashlane analizó los 10 peores contratiempos de seguridad del año que involucraron contraseñas pirateadas o robadas. Estos fiascos muestran que demasiadas personas y organizaciones siguen ignorando los consejos sobre la creación de una contraseña segura.

Vientos solares. En febrero de 2021, los piratas informáticos extranjeros pudieron acceder a correos electrónicos internos en agencias gubernamentales y organizaciones de todo el mundo aprovechando una vulnerabilidad en el software de monitoreo de red de SolarWinds. Aunque había suficiente culpa para todos, los ejecutivos de la compañía señalaron con el dedo a un pasante por crear una contraseña débil de «solarwinds123», que luego se filtró en línea. Como dijo la representante estadounidense Katie Porter (D-California) durante una audiencia: «Tengo una contraseña más segura que ‘solarwinds123’ para evitar que mis hijos vean demasiado YouTube en su iPad».PEINE. Un acrónimo de «Compilación de muchas infracciones», apuntaba a un foro de piratería en línea que publicó más de 3 mil millones de contraseñas diferentes compiladas a partir de infracciones pasadas en Netflix, LinkedIn, Bitcoin y muchas otras empresas. En total, la filtración reveló los datos de casi el 70% de todos los usuarios de Internet en todo el mundo y sirvió como recordatorio para no reutilizar sus contraseñas.Verkada. En este incidente, un grupo de piratas informáticos utilizó una contraseña de administrador filtrada en línea para acceder a más de 5,000 cámaras Verkada, lo que les dio una vista de las fábricas y almacenes de Tesla, gimnasios Equinox, hospitales, cárceles e incluso escuelas.RockYou2021. Apodada por Dashlane como la «Reina de todas las filtraciones de contraseñas», la infame debacle de RockYou2021 se centró en un archivo de texto de 100 GB con 8.400 millones de contraseñas publicadas en un foro de usuarios. Recopiladas a partir de violaciones de datos pasadas, muchas de las contraseñas probablemente correspondían a cuentas que ya no estaban activas, pero que aún incluían una gran filtración de datos confidenciales.Facebook. En abril de 2021, un pirata informático filtró los números de teléfono y otros datos personales de 533 millones de usuarios de Facebook. El gigante de las redes sociales culpó del incidente a una vulnerabilidad que la compañía solucionó en 2019. Pero los datos filtrados aún podrían resultar útiles para los ciberdelincuentes que buscan estafar a las personas.Ticketmaster. En esta infracción, los empleados de Ticketmaster piratearon los sistemas informáticos de un competidor para recuperar las contraseñas robadas. Al declararse culpable del crimen, la empresa se vio obligada a pagar una multa de 10 millones de dólares.Ve papi. En noviembre de este año, la empresa de alojamiento GoDaddy reveló una brecha de seguridad que afectó las cuentas de más de 1 millón de sus clientes de WordPress. Al investigar el incidente, la compañía descubrió que el pirata informático usó una contraseña comprometida para acceder a un sistema en su código heredado para WordPress administrado.ActMobile Networks. Se filtraron en línea más de 300 millones de registros personales de usuarios de VPN, muchos de los cuales revelaron direcciones de correo electrónico y contraseñas cifradas, según Comparitech. Siguiendo el rastro de las migas de pan, Comparitech señaló a ActMobile Networks como propietario, aunque la compañía negó el cargo, alegando que no mantiene ninguna base de datos.DailyQuiz.me. Los piratas informáticos irrumpieron en una base de datos DailyQuiz.me de casi 13 millones de cuentas, obteniendo contraseñas de texto sin formato, direcciones de correo electrónico y direcciones IP para 8,3 millones de personas. Los datos robados, puestos a la venta en la Dark Web, finalmente llegaron al dominio público.Departamento Jurídico de la Ciudad de Nueva York. Con solo la contraseña de la cuenta de correo electrónico robada de un empleado, un pirata informático pudo acceder a los registros confidenciales de esta agencia de 1.000 abogados. El departamento alberga información como evidencia de mala conducta policial, las identidades de los niños pequeños acusados ​​de delitos, registros médicos de los demandantes y datos personales de los empleados de la ciudad.

Recomendaciones

¿Cómo puede asegurarse de que sus empleados sigan pautas sólidas de seguridad de contraseñas para proteger los datos confidenciales de su organización? Dashlane ofrece los siguientes consejos:

Establecer una cultura de seguridad. Los empleados deben comprender qué papel desempeñan en la protección de los datos de su empresa. Deben participar en las discusiones sobre seguridad. Y deben tener las herramientas necesarias para seguir una contraseña sólida y una higiene de seguridad.Capacitar a los empleados. Muestre a los empleados cómo detectar e informar posibles riesgos y amenazas de seguridad. Es posible que desee crear un correo electrónico especial o un contacto que puedan usar para informar un incidente.Implementar la tecnología adecuada. Esto significa utilizar herramientas como la seguridad del correo electrónico, la protección de terminales y los administradores de contraseñas.Seguimiento de los resultados de sus herramientas de seguridad. Encuentre formas de medir la efectividad de sus defensas de seguridad. Por ejemplo, algunos administradores de contraseñas tienen una función de salud que analiza y califica la solidez de sus contraseñas.

Ver también