"Casi es hora de comer", pensó Cameron al hacer clic en su correo electrónico. "Revisión del documento... revisión del documento... deposición..." Le gustaba ser asistente, pero deseaba que su empresa contratara a más personas para ayudar con la carga de trabajo.
Se detuvo un momento para ver un correo electrónico de Tailwind Toys que había llegado el día anterior. Al parecer, habían tenido algún tipo de infracción de seguridad, pero no creen que los atacantes tuvieran ninguna información de pago. "Genial", pensó con una carcajada "Ahora saben cuáles son los juguetes favoritos de mi hijo".
Un poco más tarde se encontró con su amigo Akihito para comer. Al salir de su silla, Akihito dejó caer casualmente su llavero en la mesa.
"¡Hola!" Cameron exclamó: "¿De dónde sacaste ese increíble cubo de rompecabezas en el llavero?".
"Es muy divertido", respondió Akihito. "Era 5 $ en Tailwind Toys".
"Ooh", dijo Cameron, recordando repentinamente el correo electrónico que había visto antes. "¿Has oído que se han pirateado y perdido una gran cantidad de información de clientes?"
"¿De verdad? Vaya".
"Sí, estoy seguro de que están encantados de saber que a Ethan le gustan los bloques azules". Cameron respondió riéndose.
"¿Es eso todo lo que tienen?"
"Oh, el habitual "Nombres de clientes, direcciones de correo electrónico, contraseñas" también. Pero aparentemente no hay tarjetas de crédito". Cameron respondió.
"Hmmm.. pero ¿correos electrónicos y contraseñas?" Akihito parecía preocupado.
"Sí, han conseguido mi contraseña realmente increíble. Es probable que todos lo utilicen por sí mismos ahora. Tiene 23 caracteres y parece que se escribió en Klingon. Uso esa cosa en todas partes".
"¿En todas partes? ¿Su dirección de correo electrónico y esa contraseña son el inicio de sesión de su banco o de sus redes sociales?"
"Bien... sí..." Cameron respondió: "Pero esos son sitios diferentes".
"No importa". Akihito dijo. "Hay un tipo de ataque llamado "relleno de credenciales". Cuando los delincuentes obtienen nombres de usuario y contraseñas en un sitio, van a todos los demás sitios y prueban esos combinados de nombre de usuario y contraseña para ver cuántos de ellos funcionan. Si usa la misma contraseña en todas partes y saben que va con su dirección de correo electrónico, pueden acceder a sus cuentas en cualquier sistema que use el mismo nombre de usuario y contraseña".
Ahora Cameron estaba preocupado. "Creo que mi dirección de correo electrónico es mi nombre de usuario en muchos lugares, incluido el trabajo. ¿Qué debo hacer?"
"¿Tiene activada la verificación en dos pasos para esos sitios?" Akihito preguntó.
"Parece ser una molestia, por lo que no lo he encender". Lo admitió.
"Oh. Bueno, entonces no perdería el tiempo y empezaría a cambiar esas contraseñas, empezando por su contraseña de trabajo. Use contraseñas únicas para todoy, en realidad, debería activar la verificación en dos pasos en cualquier lugar que pueda. Realmente no le molesta el segundo paso muy a menudo y vale la pena evitar que los delincuentes irrumpan en su cuenta bancaria o en su trabajo".
"Ugh, simplemente odio tener que recordar todas esas contraseñas. Solo sé que haré clic constantemente en "contraseña olvidada". Se sentía un poco abrumado por la tarea por delante.
"Obtener un administrador de contraseñas. Pueden recordar tus contraseñas por ti e incluso sugerir nuevas contraseñas seguras". Akihito sugerido. "Uso el Microsoft Edge explorador para eso. Hace que mi vida sea mucho más fácil e incluso se sincroniza con todos mis dispositivos". Dijo que sostenía su smartphone.
"Bien, creo que podría hacerlo". Ella dijo.
"Deberías ir a hacerlo ahora, voy a comer". Dijo que se estaba acercando a su cartera. "Miss... ¿Puede tener su orden de marchar?"
"Gracias amigo, recibiré el siguiente". Dijo que se dirigió hacia el contador para recoger su comida.
Resumen
Volver a la utilización de contraseñas es muy peligroso. Es posible que a los delincuentes les sea difícil entrar en los sistemas de su banco, pero solo se necesita un sitio con una seguridad deficiente para entrar en el sitio y podrían obtener su nombre de usuario y contraseña. En cuestión de horas podrían probar esa combinación de nombre de usuario y contraseña en cientos o miles de sitios en la web. Lo más probable es que se toparán con al menos un par de sitios en los que funcione ese nombre de usuario y contraseña.
Si no tiene habilitada la protección adicional, como la verificación en dos pasos (a veces conocida como autenticación multifactor),podrían estar en sus cuentas antes incluso de que sepa que se ha infringido el primer sitio.
Eso es lo que es un ataque de relleno de credenciales.
¿Qué podría haber hecho Mejor Cameron?
Lo importante no es volver a usar su contraseña, independientemente de lo excelente que fuera una contraseña.
También podría haber activado la verificación en dos pasos donde esté disponible. De esa forma, incluso si los malos obtienen su contraseña, les resultaría mucho más difícil acceder a sus cuentas.
¿Qué hizo correctamente Cameron?
Una vez que se dio cuenta del peligro potencial, inmediatamente cambió sus contraseñas, habilitó la administración de contraseñas en Microsoft Edge y comenzó a usar la verificación en dos pasos.
Para obtener más información, visite https://support.microsoft.com/security.
Si te ha gustado esto...
Si le gusta aprender sobre ciberseguridad en historias cortas como esta, es posible que también quiera consultar una historia de suplantación de identidad (phish).Es la historia de un ejecutivo de cuenta que tiene un encuentro desgarrador con un ataque de suplantación de identidad en el trabajo.
