"Casi es hora de comer", pensó Cameron, como hizo clic a través de su correo electrónico. "Revisión de documentos... revisión de documentos... deposición..." Le gustaba ser asistente jurídico, pero deseó que su empresa contratara a más personas para que le ayudaran con la carga de trabajo.
Se detuvo un momento para ver un correo electrónico de Tailwind Toys que había llegado el día anterior. Aparentemente, habían tenido algún tipo de infracción de seguridad pero no creen que los atacantes tengan información de pago. "Genial", pensó con una sonrisa: "Ahora saben cuáles son los juguetes favoritos de mi hijo".
Un poco más tarde conoció a su amigo Akihito para almorzar. Sacando su silla Akihito casualmente dejó caer su llavero sobre la mesa.
"¡Hola!" Cameron exclamó: "¿De dónde sacaste ese increíble cubo de rompecabezas en tu llavero?".
"Es bastante divertido", respondió Akihito. "Fue $5 en Tailwind Toys."
"Ooh", dijo Cameron, recordando repentinamente el correo electrónico que había visto antes. "¿Has oído que han sido pirateados y perdidos información de clientes?"
"¿De verdad? Wow."
"Sí, estoy seguro de que están emocionados de saber que a Ethan le gustan los bloques azules". Cameron respondió, riéndose.
"¿Es eso todo lo que tienen?"
"Oh, las habituales cosas de "Nombres de clientes, direcciones de correo electrónico, contraseñas". Pero aparentemente no hay tarjetas de crédito." Cameron respondió.
"Hmmm.. pero, ¿los correos electrónicos y las contraseñas?" Akihito parecía preocupado.
"Sí, tienen mi contraseña realmente increíble. ¡Es probable que todos lo usen por sí mismos ahora! Tiene 23 caracteres de longitud y parece que fue escrito en el Klingon. Uso esa cosa en todas partes".
"¿En todas partes? ¿Es tu dirección de correo electrónico y esa contraseña el inicio de sesión de tu banco o tus redes sociales?"
"Muy bien... Sí..." Cameron respondió: "Pero esos son sitios diferentes".
"No importa". Akihito dijo. "Hay un tipo de ataque llamado 'relleno de credenciales'. Cuando los ladrones obtienen nombres de usuario y contraseñas en un sitio, van a todos los otros sitios y probar el nombre de usuario y las combinaciones de contraseñas para ver cuántos de ellos funcionan. Si usas la misma contraseña en todas partes y saben que va con tu dirección de correo electrónico, pueden acceder a tus cuentas en cualquier sistema que use el mismo nombre de usuario y contraseña".
Ahora Cameron estaba preocupado. "Creo que mi dirección de correo electrónico es mi nombre de usuario en muchos lugares, incluso en el trabajo. ¿Qué debo hacer?"
"¿Tienes activada la verificación en dos pasos para esos sitios?" Akihito preguntó.
"Parece una molestia, así que no lo encactivé". Lo admitió.
"Oh. Bueno, entonces no perdería el tiempo y empezaría a cambiar esas contraseñas, empezando por tu contraseña de trabajo. Usa contraseñas únicas para todo y deberías activar la verificación en dos pasos en todos los lugares donde puedas. Realmente no te molesta para el segundo paso muy a menudo y vale la pena para evitar que los ladrones se dividan en su cuenta bancaria o su trabajo."
"Ugh, odio tener que recordar todas esas contraseñas. Solo sé que haré clic constantemente en "olvidé la contraseña". Se sentía un poco abrumado en la tarea que estaba por delante.
"Obtén un administrador de contraseñas. Pueden recordar tus contraseñas por ti e incluso sugerir nuevas contraseñas seguras". Akihito sugirió. "Para eso uso el explorador Microsoft Edge. Hace mi vida mucho más fácil e incluso se sincroniza con todos mis dispositivos". Dijo que sujetaba su smartphone.
"Bueno, supongo que podría hacer eso." Ella dijo.
"Tienes que ir a hacerlo ahora, voy a comer." Dijo que se acercaba a su cartera. "La señorita... puede tener su orden de ir?"
"Gracias amigo, conseguiré el siguiente." Dijo que se dirigió hacia el mostrador para recoger su comida.
Resumen
Reutilizar contraseñas es extremadamente peligroso. Los delincuentes pueden tener dificultades para entrar en los sistemas de su banco, pero solo se necesita un sitio con una seguridad débil para entrar en y podrían obtener su nombre de usuario y contraseña. En pocas horas, podrían probar esa combinación de nombre de usuario y contraseña en cientos o miles de sitios en la web. Lo más probable es que encuentren al menos un par de sitios en los que ese nombre de usuario y contraseña funcionen.
Si no tiene habilitada la protección adicional, como la verificación en dos pasos (a veces denominada autenticación multifactor), podrían estar en sus cuentas antes de que sepa que se ha infringido el primer sitio.
Eso es lo que es un ataque de relleno de credenciales.
¿Qué podría haber hecho Mejor Cameron?
Lo importante es no reutilizar su contraseña, independientemente de lo genial que fuera una contraseña.
También podría haber activado la verificación en dos pasos donde estuviera disponible. De esa forma, incluso si los chicos malos hubieran recibido su contraseña, sería mucho más difícil que entraran en sus cuentas.
¿Qué hizo Bien Cameron?
Una vez que se dio cuenta del peligro potencial, inmediatamente pasó y cambió sus contraseñas, habilitaba la administración de contraseñas en Microsoft Edge y empezaba a usar la verificación en dos pasos.
Para obtener más información, visita https://support.microsoft.com/security.
Si te ha gustado esto...
Si le gusta aprender sobre ciberseguridad en historias breves como esta, es posible que también quiera echar un vistazo a una historia de suplantación de identidad (phish).Es la historia de un ejecutivo de cuentas que tiene un encuentro desgarrador con un ataque de suplantación de identidad (phishing) en el trabajo.