Columna: Hablemos de Seguridad por Pablo Ortiz-Monasterio

Queridos amigos, como algunos saben tenemos un rato aventurándonos en la parte de la IA y el desarrollo digital, esto es algo que está ahorita muy calientito, y creo que vale la pena compartir.

Acaba de salir información sobre una filtración gigantesca de datos, estamos hablando de 16 mil millones de credenciales de login de servicios como Google, Apple, Facebook, GitHub y muchos otros que usamos todos los días.

¿Qué sabemos?

Los investigadores de ciberseguridad encontraron 30 bases de datos diferentes con esta información, y casi todo es contenido nuevo que no había sido reportado antes. La información parece que viene de malware que roba datos (infostealers) que han estado funcionando durante meses o años, recopilando credenciales poco a poco. No es que hackearon a Google o Facebook directamente - más bien es una compilación masiva de datos robados de computadoras infectadas.

¿Qué no sabemos?

Nadie sabe exactamente quién tiene acceso a estos datos ahora, cuántas personas únicas están afectadas (porque hay mucha información repetida), o si los criminales ya están usando esta información activamente. Las bases de datos estuvieron expuestas brevemente en internet antes de que las cerraran, pero no está claro quién más las vio.

¿Qué funciona?

Cambiar contraseñas es lo más efectivo porque incluso si tienen tu contraseña vieja, la nueva los deja afuera. Pero seamos realistas - cambiar contraseñas en 50 sitios diferentes es un fastidio enorme.

Los administradores de contraseñas como 1Password, Bitwarden o LastPass son probablemente la mejor opción a largo plazo porque generan contraseñas diferentes y complejas para cada sitio, y las recuerdan por ti. El único riesgo es que si hackean al administrador de contraseñas, pierdes todo - pero es mucho más seguro que usar la misma contraseña en todos lados.

La autenticación de dos factores (2FA) es súper efectiva porque incluso si tienen tu contraseña, necesitan tu teléfono también. Las apps como Google Authenticator son mejores que recibir códigos por SMS porque los mensajes de texto se pueden interceptar más fácil.

¿Qué no funciona tan bien?

Contraseñas "seguras" complicadas que nadie puede recordar suelen terminar escritas en papelitos o reutilizadas en todos lados, que es peor que una contraseña sencilla pero única para cada sitio.

Cambiar contraseñas constantemente tampoco es la solución - es mejor tener una buena contraseña que dure tiempo que estar cambiando contraseñas débiles cada mes.

Trucos para contraseñas que sí puedes recordar:

En vez de "X7$mK9@pL", prueba frases que tengan sentido para ti: "MiGato3Come4Tacos2024!" o "Vivo5EnMadrid!" son más fuertes y más fáciles. Para diferentes sitios puedes agregar el nombre: "MiGato3Come4Tacos!Gmail" vs "MiGato3Come4Tacos!Bank".

¿Qué tan urgente es esto?

Honestamente, nadie sabe si los criminales ya están usando estos datos o si van a esperar. Pero considerando la cantidad de información que salió, probablemente van a empezar a intentar entrar a cuentas pronto. Cambiar las contraseñas de tus cuentas más importantes (email, banco, trabajo) es una buena idea hacer ya, las demás las puedes ir cambiando gradualmente.

Recomendación personal: Inviertan algo de tiempo en cambiar las contraseñas de sus redes sociales personales, ya que estas son las mas atacadas para robo de identidad hoy en día.

Gracias,
AS3 International