Ja fa uns mesos que es va revelar una de les majors filtracions de dades mai registrades en el món, amb una recopilació de 26.000 milions de registres que inclouen informació confidencial i credencials d’accés de diverses empreses i serveis en línia, inclosos Linkedin i Twitter (ara X). Aquesta escletxa massiva supera amb escreix incidents anteriors, com la famosa filtració de dades de Cam4 en 2020, que va exposar prop d’11.000 milions de registres, i la bretxa en Yahoo el 2013, que va comprometre 3.000 mil milions de comptes d’usuari.
A Espanya, el panorama no és diferent i les filtracions de contrasenyes han estat motiu de creixent preocupació. Segons l’Institut Nacional de Ciberseguretat (INCIBE), en 2023 es van registrar més de 80.000 incidents de ciberseguretat, molts dels quals van involucrar el robatori de credencials. “La naturalesa global d’aquestes bretxes posa en risc a usuaris i empreses espanyoles, independentment de les mesures de seguretat personal que s’implementin. Per això, és crucial que els usuaris verifiquin regularment si les seves credencials han estat compromeses i adoptin pràctiques de seguretat robustes, com l’ús de gestors de contrasenyes i l’autenticació de dos factors“, comenta Josep Albors, director de recerca i conscienciació de ESET España.
Transparència empresarial i eines per a detectar filtracions de dades
En el context actual de ciberseguretat, les empreses estan obligades a revelar incidents de pirateria informàtica i vulnerabilitats no tapats a causa de requisits normatius específics. Aquesta transparència no sols genera confiança entre els clients, sinó que també els informa si els seus comptes o dades han estat compromesos. Els usuaris solen ser notificats per correu electrònic sobre violacions de dades, però també és possible assabentar-se d’aquests incidents a través de fonts públiques, com el INCIBE.
Per a verificar si les dades han estat exposades en una filtració, ESET recomana utilitzar eines en línia com haveibeenpwned.com, que permet comprovar gratuïtament l’estat de seguretat de les credencials introduint una adreça de correu electrònic. “El lloc ofereix una eina gratuïta per a verificar si les dades han estat compromeses, simplement ingressant l’adreça de correu electrònic i fent clic en “Pwned?”. L’eina mostra l’estat de seguretat de les credencials i detalla la filtració específica. Si les dades estan segures, el resultat serà verd; si han estat compromeses, el resultat serà vermell, indicant en quina filtració van aparèixer”, explica Albors.
A més, la companyia líder en ciberseguretat recorda que navegadors web com Google Chrome i Firefox poden alertar si les contrasenyes han estat compromeses o incloses en alguna filtració de dades coneguda i recomanar contrasenyes més segures. No obstant això, per a una major seguretat, ESET recomana l’ús de gestors de contrasenyes dedicats, que no sols emmagatzemen de manera segura les credencials, sinó que també generen contrasenyes complexes i úniques per a cada compte en línia. Malgrat que aquests gestors poden ser objectiu d’atacs, els avantatges del seu ús, com la comprovació de contrasenyes filtrades o com la integració amb sistemes d’autenticació de dos factors (2FA), superen els riscos.
Més val prevenir que curar: mesures de seguretat contra el robatori de contrasenyes
Per a evitar l’impacte de les filtracions de credencials, ESET recorda que és crucial no confiar únicament en les contrasenyes. La companyia recomana utilitzar l’autenticació de doble factor (2FA) en tots els serveis que ho permetin, preferiblement amb una clau de seguretat dedicada o aplicacions com Microsoft Authenticator o Google Authenticator. “Això dificulta l’accés no autoritzat als comptes, fins i tot si els atacants obtenen les contrasenyes“, afegeix Josep Albors. A més, l’expert adverteix que és important “no desar les contrasenyes en paper, aplicacions de notes o navegadors web, ja que aquests mètodes són vulnerables a filtracions de dades“.
Un altre consell bàsic per a la seguretat dels comptes consisteix a utilitzar contrasenyes segures, que dificulten als delinqüents els atacs de força bruta. Per això, es recomana evitar les contrasenyes simples i curtes, com una paraula i un número. “En cas de dubte, utilitzar eines com a Password Generator de ESET pot ser un bon truc per a generar les teves contrasenyes o comprovar la fortalesa d’aquestes”, afegeix Albors.
D’altra banda, ESET també recorda que és essencial no reutilitzar contrasenyes en múltiples serveis per a prevenir atacs de “credential stuffing”. A més, mètodes d’autenticació més recents, com a inicis de sessió sense contrasenya, tokens de seguretat i biometria, ofereixen alternatives addicionals per a verificar la propietat dels comptes de manera segura.
Inversió en seguretat empresarial
Les empreses necessiten invertir en solucions de seguretat, com a programari de detecció i resposta, que puguin prevenir bretxes i incidents de seguretat. A més, les organitzacions han de reduir proactivament la seva superfície d’atac i reaccionar quan detectin una cosa sospitosa. ESET també advoca per la gestió de vulnerabilitats com a aspecte crucial en la prevenció de ciberincidentes, ja que estar al corrent de les llacunes conegudes del programari i posar-les pegats a temps ajuda a prevenir la seva explotació per part dels ciberdelinqüents. A més, la formació en ciberseguretat per a empleats i la seguretat dels endpoints i el correu electrònic són fonamentals per a mitigar el factor humà com a desencadenant de compromisos de seguretat.
Finalment, ESET alerta que per a les empreses que valoren la seguretat de les dades, és vital considerar solucions de prevenció de pèrdua de dades (DLP) i mantenir una política sòlida de còpies de seguretat. Així mateix, el maneig de grans volums de dades de clients i empleats requereix pràctiques estrictes de xifratge, assegurant que les dades confidencials siguin difícils d’explotar sense les claus de xifratge corresponents. “Encara que no existeix una solució única per a la seguretat de dades, una combinació de bones pràctiques de ciberseguretat adaptades a les necessitats específiques de cada empresa i al canviant panorama de les amenaces pot contribuir significativament a prevenir filtracions i violacions de dades“, conclou Josep Albors.
Per Tecnonews