Hay 24.600 millones de contraseñas a la venta en la dark web

PublishedJune 21, 2022

We may earn a commission from links on this page.

Imagen para el artículo titulado Hay 24.600 millones de contraseñas a la venta en la dark web — Foto: Leon Neal (Getty Images)

El año pasado se detectaron 24.649.096.027 pares de credenciales expuestos en la dark web, según el informe bienal de Digital Shadows.

Watch

181204 Explainer Aterrizar Marte Subs

view video

La ubicación elegida para el próximo Rover de la NASA es aún más intrigante de lo que creíamos

Cuál es la verdadera resolución del ojo humano

December 15, 2022

Por qué todos los gatos son tan parecidos entre sí y los perros no

May 7, 2019

Los datos robados, que incluyen usuario y contraseña, representan un aumento del 64% sobre el total de 2020, pero también reflejan una desaceleración respecto al informe anterior. Entre 2018 y el año en el que estalló la pandemia, el número de credenciales en venta se había disparado un 300%.

En 2021 se registraron 24.600 millones de pares de credenciales a la venta, de los cuales 6700 millones son combinaciones únicas de usuario y contraseña, 1700 millones más que hace dos años. La contraseña más común, “123456”, aparece en el 0,46% de las 6700 millones de combinaciones únicas.

Las credenciales se venden en marketplaces de la dark web, pero también están disponibles bajo servicios de suscripción para cibercriminales. Su precio varía: las cuentas relacionadas con criptomonedas están entre las más cotizadas.

Muchas de estas credenciales provienen de filtraciones masivas de datos a través de brechas de seguridad. Otras fueron robadas con kits de malware que pueden adquirirse desde 50 dólares. La falta de seguridad de las contraseñas es parte del problema, ya que 49 de las 50 contraseñas más comúnmente utilizadas pueden crackearse con herramientas offline en menos de un segundo.

El informe recomienda usar verificación de doble factor, administradores de contraseña y claves únicas y complejas hasta que la autenticación sin contraseña se vuelva una tecnología común, ya que los códigos de la verificación de doble factor son vulnerables a ataques de phishing y duplicación de tarjetas SIM, cada vez más comunes en ataques dirigidos.

Apple, Microsoft y Google firmaron recientemente un acuerdo con la alianza FIDO para ofrecer un estándar de inicio de sesión sin contraseña en sus navegadores web. Con iOS 16 y macOS 13, Apple introdujo una opción llamada Passkeys que genera una llave de acceso en lugar de una contraseña convencional. Se asocia al correo electrónico y está formada por una clave criptográfica mezclada con la identificación biométrica del usuario, recogida por el sensor de huellas Touch ID o el sistema de reconocimiento facial Face ID.

Un panorama desolador hasta que llegue el inicio de sesión sin contraseña