2 de cada 3 usuarios hackeados no cambian la contrase?a

Cambiar cada cierto tiempo de contrase?a o no usar siempre la misma en cuentas, servicios online y dispositivos es algo necesario. Pero modificarla tras sufrir un pirateo o robo de datos de un servicio tras una brecha de seguridad es, simplemente, esencial. Pero lo curioso es que mucha gente no lo hace, y tras hackeados vuelve a usar la misma contrase?a.

Reutilizar la misma contrase?a tras una brecha de seguridad

Un estudio del CyLab de la Universidad Carnegie Mellon sobre h¨¢bitos del comportamiento online presentado recientemente arroja un curioso resultado: s¨®lo una de cada tres personas que ten¨ªan cuentas en dominios pirateados cambiaron sus contrase?as en los tres meses siguientes al anuncio del hackeo, lo que equivale a s¨®lo un 13%. El resto reutilizaron el mismo password.

Para llegar a sus conclusiones, los autores del estudio observaron las pr¨¢cticas de seguridad de 249 participantes voluntarios a trav¨¦s del Observatorio de Comportamiento de Seguridad (SBO), un grupo de participantes que consintieron en que se observaran sus comportamientos inform¨¢ticos diarios. Los investigadores se centraron en nueve infracciones, y observaron los comportamientos de los usuarios que estaban en el SBO en el momento de esas infracciones.

Una de las infracciones en las que se centraron fue la brecha de seguridad en Yahoo sucedida en 2017, en la que cada cuenta Yahoo de los 3.000 millones que hab¨ªa fue hackeada.

Contrase?as nuevas pero m¨¢s d¨¦biles

Si bien uno de cada tres usuarios afectados por la infracci¨®n cambi¨® sus contrase?as, el problema es que los nuevos passwords fueron m¨¢s d¨¦biles que los anteriores, aunque un peque?o n¨²mero de nuevas contrase?as eran significativamente m¨¢s fuertes que las originales. Para empeorar las cosas, las nuevas contrase?as de los usuarios eran, en general, m¨¢s similares a los passwords que utilizaban en otras cuentas.

"Las notificaciones de infracci¨®n casi nunca le dicen a la gente que restablezca sus contrase?as similares - o id¨¦nticas - en otras cuentas", dice Lujo Bauer del CyLab, coautor del art¨ªculo y profesor del departamento de Ingenier¨ªa El¨¦ctrica y Computacional y del Instituto de Investigaci¨®n de Software. "Sin embargo, los participantes cuyos datos estudiamos ten¨ªan, en promedio, otras 30 contrase?as similares a la contrase?a hackeada. En promedio, los que cambiaron una contrase?a robada cambiaron menos de 3 de estas 30 contrase?as similares¡±.

?Forzar a los usuarios?

Dados estos hallazgos, los investigadores recomiendan que las empresas adopten un enfoque m¨¢s directo hacia sus clientes afectados por las infracciones.

"En el caso de las personas afectadas, deber¨ªan forzar el restablecimiento de la contrase?a, por ejemplo, impidiendo que el cliente inicie la sesi¨®n hasta que haya cambiado su password¡±, se?ala Bhagavatula. "Las empresas deben dejar claro que, aunque los usuarios cambien la contrase?a de su sitio, siguen siendo vulnerables en otros sitios si se utilizan palabras similares".