A pesar de contraseñas débiles o hackeadas, usuarios casi nunca las cambian

Un estudio hecho por la Universidad Carnegie Mellon muestra que a pesar del aumento de hackeos la mayoría de la gente no se toma en serio la ciberseguridad

Los hackeos masivos han ido en aumento en esta cuarentena debido a la implementación del home office. A pesar de estas constantes amenazas sólo un tercio de los usuarios cambia su contraseña después de que se anuncia una base de datos ha sido hackeada, según muestra un estudio reciente hecho por la Universidad Carnegie Mellon.

A principios de junio, el Instituto de Seguridad y Privacidad de la Universidad Carnegie Mellon presentó los resultados de un estudio donde se resalta que la mayoría de las personas no toma en serio la ciberseguridad pues rara vez cambian sus contraseñas después de un ataque.

Para obtener los resultados, los investigadores analizaron el tráfico web reunido a través del Observatorio de Comportamiento de Seguridad de la universidad, donde un grupo de usuarios compartió su historial de navegación con el fin de ayudar a las investigaciones.

De entre los participantes, 63 tenían cuentas de dominios que habían sido afectados por ataques de hackers durante el período de recolección de datos. A pesar de que todos estaban conscientes del robo de informaciónsólo 21 de ellos cambiaron su contraseña inmediatamente y otras 15 lo hicieron dentro de los siguientes tres meses.

También, los datos recopilados incluían información de contraseñas, de esta manera el equipo analizó la complejidad de las nuevas contraseñas. Como resultado, señalaron, de las 21 personas que cambiaron su contraseña, tan sólo un tercio la hizo por una más segura, mientras los demás simplemente la sustituyeron por una de fortaleza similar que la anterior e incluso más débil.

Irónicamente el uso de contraseñas más complejas se ha vuelto menos frecuente debido a la prevalencia y aumento de robo de datos. Los investigadores culparon en parte a las empresas hackeadas, porque: “casi nunca les avisan a la gente que deben restablecer contraseñas parecidas —o idénticas—que tengan en otras cuentas. Se debe alentar a la gente a tomar medidas como usar gestos de contraseñas para mantenerse al tanto de estas y evitar palabras comunes o combinaciones de caracteres“.

Asimismo, en su informe se desmintió una de las ideas sobre ciberseguridad más común: cambiar contraseñas continuamente es mejor. Los investigadores aseguran que esto no es así por varias razones: Si se obliga a las personas a hacerlo frecuentemente, estas, en su tendencia a simplificar las cosas, ponen poco empeño en idear contraseñas complejas. Por lo general utilizan números ascendentes, cambian letras por símbolos parecidos o añaden, eliminan, cambian el orden a los números o caracteres especiales.

Estos cambios apenas marcan la diferencia a la hora de proteger los bancos de datos contra hackers, ya que les facilita su tarea al lanzar ataques offline y supone un gran riesgo para las empresas. Ante esto, investigadores señalan que a nivel empresarial hay dos posibles soluciones: Por una parte, si se tiene una buena contraseña, se pueden hacer los cambios de estas entre seis meses y un año en lugar de mensuales; por otra, simplemente pueden utilizar administradores de contraseñas como LastPass1Password o DashLane.

Finalmente, ante la situación actual donde a causa del home office se han presentado hackeos masivos, los expertos recomiendan dejar de cambiar de contraseñas continúamente y aconsejan hacerlo cada vez que crean haber sido víctimas de robo de información. De igual manera se recomienda hacerlo si comparten cuentas con algún amigo, si creen haberla introducido en una web de phising o simplemente si creen que es débil.