Esta no es sólo una estadística alarmante, sino también una llamada de atención sobre el rápido aumento de los ataques que utilizan malware para robar información.

La alarmante realidad de las 19 mil millones de contraseñas filtradas

Una base de datos que contenía 19.030.305.929 contraseñas fue robada en aproximadamente 200 incidentes de seguridad en solo 12 meses (desde abril de 2024).

Esta base de datos es particularmente peligrosa porque sólo contiene contraseñas asociadas a direcciones de correo electrónico específicas, listas para que los piratas informáticos las exploten.

Un nuevo análisis del grupo de investigación Cybernews revela una verdad aterradora: solo el 6% de estos 19 mil millones de contraseñas son únicas. Esto significa que el 94% de las contraseñas restantes se reutilizaron en múltiples cuentas y servicios, lo que allanó el camino para que los piratas informáticos obtuvieran acceso masivo fácilmente.

Además, el 42% de las contraseñas tienen solo entre 8 y 10 caracteres, y el 27% contiene solo letras minúsculas y números, sin caracteres especiales ni letras mayúsculas.

Estas contraseñas son extremadamente fáciles de descifrar utilizando fuerza bruta o técnicas de robo de credenciales.

Según el informe, las contraseñas predeterminadas como "admin" (apareció 53 millones de veces) y "password" (56 millones de veces) todavía se utilizan ampliamente, lo que las convierte en un objetivo principal para los ciberdelincuentes.

“El problema de las contraseñas predeterminadas sigue siendo uno de los patrones más persistentes y peligrosos en los conjuntos de datos de credenciales filtrados”, enfatizó Neringa Macijauskaitė, investigadora de seguridad en Cybernews.

La lucha contra el fraude por SMS

Paul Walsh, CEO de MetaCert y cofundador de la Iniciativa Web Móvil del W3C, ha criticado la ineficacia de la industria de la ciberseguridad a la hora de prevenir el phishing por SMS, uno de los principales métodos que conducen al robo de contraseñas.

Walsh afirma que la mayoría de los ataques cibernéticos tienen su origen en el phishing.

Un informe del grupo de investigación de seguridad Resecurity arroja más luz sobre la amenaza del smishing.

La investigación de Resecurity descubrió que el grupo cibercriminal responsable de esto, llamado Smishing Triad, ha estado activo desde al menos 2023 y es capaz de enviar hasta 2 millones de mensajes SMS fraudulentos por día, dirigidos a 720 millones de víctimas por año.

Otra organización, posiblemente una rama o sucesora de la Tríada Smishing, utiliza canales de Telegram y bots automatizados para brindar servicios de smishing.

Se distribuyen principalmente a través de la plataforma iMessage de Apple y RCS de Android, y también compran grandes cantidades de cuentas de Gmail y Apple comprometidas para impulsar campañas a gran escala.

Los kits de herramientas de smishing de estos grupos se pueden personalizar e implementar en cualquier servidor, lo que demuestra un nivel alarmante de sofisticación y escala de operación.

Consecuencias imprevistas

El smishing no sólo amenaza tus contraseñas. También alimenta el fraude con tarjetas de crédito, el fraude con pagos sin contacto (NFC) y complejas cadenas de lavado de dinero, causando millones de dólares en pérdidas cada año a instituciones financieras y usuarios individuales a nivel mundial.

Es evidente que la lucha contra el robo de contraseñas y el fraude en línea requiere una mayor vigilancia por parte de cada individuo y un compromiso más fuerte de toda la industria de la ciberseguridad para proteger a los usuarios contra amenazas cada vez más sofisticadas.

Si no se toman medidas drásticas, seguirán apareciendo informes de miles de millones de contraseñas comprometidas.

Los expertos advierten que los usuarios deben actuar de inmediato para protegerse mediante:

Nunca reutilices contraseñas: Esta es la recomendación más importante. Si reutiliza contraseñas, una violación de seguridad en un sistema puede llevar a comprometer docenas de sus otras cuentas, creando un peligroso "efecto dominó".

Cambiar las contraseñas predeterminadas inmediatamente: esta es una medida rápida y efectiva para reducir el riesgo de ser hackeado.

Utilice contraseñas fuertes y únicas: combine mayúsculas, minúsculas, números y caracteres especiales. Considere utilizar un administrador de contraseñas para generar y almacenar de forma segura contraseñas complejas.

Fuente: https://dantri.com.vn/cong-nghe/19-ty-mat-khau-bi-danh-cap-duoc-cong-khai-de-doa-nghiem-trong-nguoi-dung-20250506235452360.htm