Breaking

Post Top Ad

Your Ad Spot

jueves, 30 de julio de 2020

Cuidado: el 99.9 por ciento de las cuentas pirateadas de Microsoft no usan 2FA

El letrero de Microsoft frente a la sede de la compañía.
Fotos VDB / Shutterstock
La autenticación de dos factores (2FA) es el método más efectivo para prevenir el acceso no autorizado a una cuenta en línea. ¿Todavía necesitas convencer? Eche un vistazo a estos números asombrosos de Microsoft.

Los números duros

En febrero de 2020, Microsoft hizo una presentación en la  Conferencia de RSA titulada "Rompiendo dependencias de contraseña: desafíos en la milla final en Microsoft". Toda la presentación fue fascinante si está interesado en cómo proteger las cuentas de usuario. Incluso si ese pensamiento adormece su mente, las estadísticas y los números presentados fueron sorprendentes.
Microsoft rastrea más de mil millones de cuentas activas mensualmente, lo que representa casi 1/8 de la población mundial . Estos generan más de 30 mil millones de eventos de inicio de sesión mensuales. Cada inicio de sesión en una cuenta corporativa de O365 puede generar múltiples entradas de inicio de sesión en múltiples aplicaciones, así como eventos adicionales para otras aplicaciones que usan O365 para el inicio de sesión único.
Si ese número suena grande, tenga en cuenta que Microsoft detiene 300 millones de intentos de inicio de sesión fraudulentos todos los días . Nuevamente, eso no es por año o por mes, sino 300 millones por día .
En enero de 2020, 480,000 cuentas de Microsoft, el 0.048 por ciento de todas las cuentas de Microsoft, se vieron comprometidas por ataques de fumigación. Esto es cuando un atacante ejecuta una contraseña común (como "Spring2020!") En listas de miles de cuentas, con la esperanza de que algunos de ellos hayan usado esa contraseña común.
Los aerosoles son solo una forma de ataque; cientos y miles más fueron causados ​​por el relleno de credenciales. Para perpetuarlos, el atacante compra nombres de usuario y contraseñas en la web oscura y los prueba en otros sistemas.
Luego, está el  phishing , que es cuando un atacante lo convence de iniciar sesión en un sitio web falso para obtener su contraseña. Estos métodos son  cómo las cuentas en línea son típicamente "pirateadas", en el lenguaje común.
En total, más de 1 millón de cuentas de Microsoft fueron violadas en enero. Eso es un poco más de 32,000 cuentas comprometidas por día, lo que suena mal hasta que recuerdas los 300 millones de intentos de inicio de sesión fraudulentos detenidos por día.
Pero el número más importante de todos es que el 99.9 por ciento de todas las infracciones de la cuenta de Microsoft se habrían detenido si las cuentas tuvieran habilitada la autenticación de dos factores.
RELACIONADO: ¿Qué debe hacer si recibe un correo electrónico de phishing?

¿Qué es la autenticación de dos factores?

Como recordatorio rápido, la autenticación de dos factores  (2FA) requiere un método adicional para autenticar su cuenta en lugar de solo un nombre de usuario y contraseña. Ese método adicional suele ser un código de seis dígitos enviado a su teléfono por SMS o generado por una aplicación. Luego escribe ese código de seis dígitos como parte del procedimiento de inicio de sesión para su cuenta.
La autenticación de dos factores es un tipo de autenticación multifactor (MFA). También hay otros métodos de MFA, que incluyen tokens USB físicos que conectas a tu dispositivo o escaneos biométricos de tu huella digital u ojo. Sin embargo, un código enviado a su teléfono es, con mucho, el más común.
Sin embargo, la autenticación multifactorial es un término amplio: una cuenta muy segura puede requerir tres factores en lugar de dos, por ejemplo.
RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?

¿2FA habría detenido las infracciones?

En los ataques con spray y el relleno de credenciales, los atacantes ya tienen una contraseña, solo necesitan encontrar cuentas que la usen. Con el phishing, los atacantes tienen su contraseña y su nombre de cuenta, lo que es aún peor.
Si las cuentas de Microsoft que se violaron en enero hubieran habilitado la autenticación multifactor, simplemente tener la contraseña no hubiera sido suficiente. El pirata informático también habría necesitado acceso a los teléfonos de sus víctimas para obtener el código MFA antes de poder iniciar sesión en esas cuentas. Sin el teléfono, el atacante no habría podido acceder a esas cuentas, y no habría sido violado.
Si crees que tu contraseña es imposible de adivinar y nunca caerías en un ataque de phishing, profundicemos en los hechos. Según Alex Weinart, arquitecto principal de Microsoft, su contraseña en  realidad  no importa tanto cuando se trata de proteger su cuenta.
Esto tampoco solo se aplica a las cuentas de Microsoft: cada cuenta en línea es igual de vulnerable si no utiliza MFA. Según Google, MFA ha detenido el 100 por ciento de los ataques automatizados de bot (ataques de spray, relleno de credenciales y métodos automatizados similares).
Si observa la parte inferior izquierda del cuadro de investigación de Google, el método de "Clave de seguridad" fue 100 por ciento efectivo para detener los ataques automatizados de bot, phishing y dirigidos.
"Tasas de prevención de adquisición de cuenta por tipo de desafío".
Google
Entonces, ¿cuál es el método de "Clave de seguridad"? Utiliza una aplicación en su teléfono para generar un código MFA.
Si bien el método del "Código SMS" también fue muy efectivo, y es absolutamente mejor que no tener MFA, una aplicación es aún mejor. Recomendamos Authy , ya que es gratis, fácil de usar y potente.
RELACIONADO: La autenticación de dos factores de SMS no es perfecta, pero aún debe usarla

Cómo habilitar 2FA para todas sus cuentas

Puede habilitar 2FA u otro tipo de MFA para la mayoría de las cuentas en línea. Encontrará la configuración en diferentes ubicaciones para diferentes cuentas. En general, sin embargo, se encuentra en el menú de configuración de la cuenta en "Cuenta" o "Seguridad".
Afortunadamente, tenemos guías que cubren cómo activar MFA para algunos de los sitios web y aplicaciones más populares:
  • Amazonas
  • ID de apple
  • Facebook
  • Google / Gmail
  • Instagram
  • LinkedIn
  • Microsoft
  • Nido
  • Nintendo
  • Reddit
  • anillo
  • Flojo
  • Vapor
  • Gorjeo
MFA es la forma más efectiva de asegurar sus cuentas en línea. Si aún no lo ha hecho, tómese el tiempo para encenderlo lo antes posible, especialmente para cuentas críticas, como el correo electrónico y la banca.

No hay comentarios.:

Publicar un comentario

Post Top Ad

Your Ad Spot

Páginas