La noticia de una nueva filtración de credenciales reportada recientemente por el portal CyberNews constituye una importante oportunidad para que las empresas reevalúen sus políticas y prácticas de seguridad de la información. Se trata de una de las mayores filtraciones reportadas, con credenciales de diversas plataformas como GitHub, Zoom, Apple, Google, Facebook y Telegram.

Algunos investigadores señalan que no se trata de una filtración nueva, sino de una compilación de brechas anteriores ya conocidas. Según una hipótesis planteada por Bleeping Computer, los datos están mejor organizados que en otras filtraciones, en un formato comúnmente utilizado por malware del tipo infostealer. Este tipo de malware tiene como objetivo precisamente la captura de información, incluyendo credenciales de acceso. Aunque se trate de una compilación de filtraciones anteriores, esto no elimina el hecho de que usuarios y empresas deben mantenerse siempre atentos a prácticas seguras de gestión de credenciales.

El riesgo es evidente: si las credenciales de algún servicio están incluidas en la filtración, sus usuarios quedan vulnerables a la toma de control de cuentas y al acceso no autorizado a datos. Dependiendo del tipo de cuenta, los impactos pueden ir desde la exposición de comunicaciones privadas hasta datos empresariales internos y de clientes. Cabe destacar que la filtración le proporciona a los delincuentes un primer paso para cometer otros tipos de delitos, es decir, habilita crímenes adicionales.

Los delincuentes también pueden utilizar estos datos para dar mayor credibilidad a sus estafas. Con credenciales en su poder, es posible diseñar una gran variedad de engaños para convencer a las víctimas de que el contacto delictivo proviene de una entidad legítima.

No debe pasarse por alto que, si los datos filtrados pertenecen a una empresa (y no fueron obtenidos mediante ataques directos al usuario), esto constituye un incidente de datos personales. Cuando eso ocurre, surgen una serie de obligaciones para los agentes de tratamiento, especialmente en lo que respecta a las notificaciones exigidas por la LGPD y a la adopción de medidas de seguridad para la protección de los titulares.

Por lo tanto, se pueden tomar las siguientes medidas para mitigar los riesgos relacionados con esta (y otras) filtraciones:

  • Revisar las políticas de rotación de contraseñas. Si se identifican cuentas que no cuentan con esta práctica, implementarla de inmediato.
    • Aunque algunas normas técnicas actuales ya no exigen el cambio periódico obligatorio de contraseñas (NIST Special Publication 800-63B), consideramos que esta práctica aún puede ser recomendable en ciertos contextos. Además, dicha norma sigue recomendando el cambio de contraseñas en caso de filtraciones conocidas.
  • Notificar internamente a los usuarios, alertándolos sobre la situación y recomendando mayor vigilancia ante posibles estafas. Es importante incluir también recomendaciones sobre las cuentas personales de los empleados, ya que estas pueden ser utilizadas como vector de ataques que afecten a la propia empresa.
  • Mantener una comunicación continua con clientes y socios comerciales sobre las mejores prácticas en la gestión de contraseñas. La organización debe comunicar con claridad cómo administra sus accesos, a fin de concienciar a los usuarios y orientarlos ante posibles situaciones de fraude. Los entornos integrados pueden permitir que las intrusiones ocurran a través del compromiso de infraestructuras de terceros.
  • Revisar las políticas y los procedimientos de respuesta a incidentes que involucren la pérdida de acceso a servicios. La empresa debe mapear los sistemas que utiliza y garantizar que cuenta con mecanismos ágiles de recuperación ante posibles ataques.
  • Habilitar, en la medida de lo posible, mecanismos de autenticación multifactor. Esta medida impide el acceso no autorizado incluso cuando los delincuentes disponen de las credenciales. Se recomienda utilizar una aplicación de autenticación (como Google Authenticator), ya que ofrece mayor seguridad que los códigos enviados por SMS o correo electrónico, ambos susceptibles de ser interceptados.
    • Tenga en cuenta que existen ataques capaces de eludir también la autenticación multifactor. Por ello, se refuerza la necesidad de capacitar a los usuarios para que resistan intentos de obtención de códigos de autenticación y verifiquen que están introduciéndolos en las plataformas correctas.
  • Utilizar siempre credenciales únicas para cada servicio. La reutilización de contraseñas representa un riesgo elevado: si uno de los servicios sufre una filtración, el usuario queda expuesto en todos los demás servicios en los que usó la misma contraseña.
  • Utilizar siempre un gestor de contraseñas para almacenar las credenciales de forma segura. Existen varios servicios confiables que permiten una gestión adecuada. Esto facilita el uso de contraseñas únicas para cada servicio, almacenadas en un entorno seguro, en lugar de anotarlas en archivos de texto o hojas de cálculo.
  • Por último, existen servicios seguros que permiten verificar si una dirección de correo electrónico aparece en alguna filtración conocida. El más reconocido es Have I Been Pwned, que incluso ofrece una API para la integración con otros sistemas.