Google ha emitido una advertencia significativa a los usuarios de Gmail con respecto a un aumento en los ataques destinados a robar credenciales de seguridad, confirmando que estas intrusiones ahora son responsables del “37% de las intrusiones exitosas”. El gigante tecnológico atribuye una parte sustancial de estas violaciones al robo de contraseña, a menudo facilitada por el malware del infostaler, que se utiliza cada vez más para obtener acceso no autorizado a las cuentas.
En respuesta a esta amenaza creciente, Google insta a los usuarios a mejorar inmediatamente la seguridad de su cuenta. Esto incluye una fuerte recomendación para adoptar PassKeys o la opción “Iniciar sesión con Google” como métodos de autenticación primarios, alejándose de las contraseñas tradicionales. Además, se aconseja a los usuarios que eviten iniciar sesión a través de Windows Linked o PopUp, para implementar contraseñas fuertes y únicas, y para habilitar las formas no SMS de autenticación de dos factores (2FA).
A pesar de los mayores riesgos de seguridad, la investigación interna de Google indica que la mayoría de los usuarios aún no han integrado las veras pasas en sus rutinas de autenticación. Passkeys se describe como “credenciales digitales únicas vinculadas al dispositivo de un usuario”, que ofrece una alternativa más robusta a las contraseñas, que son susceptibles de adivinar, robar o ser olvidados. La dependencia de métodos de inicio de sesión más antiguos y menos seguros, particularmente contraseñas, sigue siendo una preocupación significativa, lo que hace que sea crucial que los usuarios se aseguren de que estas contraseñas no sean fácilmente comprometidas.
Expertos de la industria como Hive Systems corroboran los hallazgos de Google, destacando que “la reutilización de contraseñas, la longitud de los personajes cortos y la complejidad débil siguen siendo algunas de las formas más fáciles en que los atacantes obtienen acceso a los sistemas”. Hive Systems proporciona “estimaciones de tiempo de riñonización detalladas para contraseñas de varias longitudes y conjuntos de caracteres”, lo que demuestra la seguridad superior ofrecida por las contraseñas que combinan letras, números y símbolos superiores y minúsculas, especialmente cuando son ocho caracteres o más. Sin embargo, estas estimaciones se basan en un enfoque de fuerza bruta independiente; En realidad, los atacantes a menudo aprovechan los datos existentes, reduciendo drásticamente el tiempo requerido para una violación exitosa.
El peligro se agrava cuando las contraseñas se reutilizan en múltiples cuentas. Si una contraseña se ha visto comprometida en una violación o robada, todas las cuentas que usan esa misma contraseña se vuelven vulnerables. La lista anual de Nordpass de las 200 contraseñas más comunes es un recordatorio de mala higiene de contraseña. Esta lista se compila de las contraseñas robadas por malware o expuesta en fugas de datos. Se recomienda encarecidamente a los usuarios cuyas contraseñas aparecen en esta lista, o son similares a las que figuran en la lista. Las ideas combinadas de Nordpass y Hive Systems ofrecen una guía completa para elaborar contraseñas seguras. Una mejor práctica es utilizar un administrador de contraseñas independiente, no uno basado en el navegador, para generar contraseñas fuertes y únicas para todas las cuentas en línea.
El consejo de seguridad más crítico de Google sigue siendo consistente: agregue una clave de passación a su cuenta de Google y priorice su uso para todos los firmantes. Deseche el uso de 2FA basado en SMS a favor de aplicaciones de autenticador más seguras. Y, como regla fundamental, nunca inicie sesión en ninguna cuenta de Google a través de un mensaje de inicio de sesión vinculado o emergente, ya que estos pueden ser intentos de phishing.
Más allá de Gmail, la importancia de asegurar la cuenta de Google se extiende a la totalidad de la vida digital de un usuario. Como la policía de Android señala con razón, una cuenta de Google funciona como “la clave del esqueleto para su vida digital”, desbloqueando el acceso a servicios críticos como Google Photos, Google Drive y las contraseñas guardadas. Proteger esta cuenta central es primordial.
Se alienta a los usuarios a realizar regularmente la auditoría interna de la cuenta de Google utilizando la herramienta de verificación de seguridad. Esta auditoría permite a los usuarios revisar quién tiene acceso a su “clave digital”. Un paso crucial implica examinar la configuración “Administrar todos los dispositivos”. La policía de Android aconseja a los usuarios que “revisen cuidadosamente esta lista” para cualquier dispositivo desconocido (computadoras, tabletas o teléfonos) que ya no posean ni reconocen. Dichos dispositivos deben inscribirse inmediatamente. Si bien múltiples listados de un solo teléfono podrían indicar simplemente el uso de diferentes navegadores web, la vigilancia es clave. Google enfatiza la importancia de estos chequeos regulares, señalando que un icono de punto de exclamación rojo, amarillo o azul en la herramienta de verificación de seguridad significa una recomendación para “acción inmediata para su cuenta de Google”.
La urgencia para la seguridad de la cuenta robusta se ha amplificado por la creciente integración de plataformas de IA con datos personales confidenciales. Las ganancias potenciales y de productividad potenciales ofrecidas por la IA acceder a tiendas de datos vienen con mayores riesgos de seguridad. Específicamente, los usuarios de Gmail deben ser particularmente conscientes de las próximas actualizaciones de Gemini, que introducirán la búsqueda de relevancia de AI, resúmenes y respuestas inteligentes directamente en sus bandejas de entrada. Una vez que una plataforma de IA comienza a procesar el contenido de un usuario, cualquier punto de entrada débil en seguridad representa una amenaza significativa. Esta preocupación se destacó recientemente con ChatGPT obteniendo acceso a Gmail de un usuario por primera vez.
Mashable planteó problemas de privacidad inmediatos después del anuncio de OpenAi, señalando que “algunos de nosotros hemos estado usando Gmail durante una década o más, lo que significa que se puede ocultar mucha información personal allí. Darle el acceso de eso a un chatbot que vacía los datos por diseño podría ser un puente demasiado lejos para algunos usuarios”. El futurismo fue aún más allá, advirtiendo que “es asombrosamente fácil para los piratas informáticos engañar a Chatgpt para filtrar sus datos más personales”, describiendo esto como “muy, muy malo”.
Si bien la advertencia del futurismo aborda principalmente ataques de inyección, donde las instrucciones ocultas dentro de los documentos pueden engañar a un asistente de IA para que revele información confidencial, el riesgo más amplio radica en los asistentes de IA que operan en nombre de un usuario. Dichos asistentes pueden retener la autenticación de seguridad para los sitios web que visitan en nombre del usuario, lo que puede exponer datos confidenciales. Si bien la seguridad de la cuenta reforzar es crucial, puede no evitar todos estos riesgos relacionados con la IA. Sin embargo, bloquear las cuentas para hacer cumplir un proceso de inicio de sesión más sólido puede ayudar a los usuarios a reconocer mejor cuándo sus datos pueden estar en riesgo, asegurando que conozcan y puedan controlar los puntos de acceso a sus vidas digitales.
Source: Google advierte a los usuarios de Gmail: use PassKeys en lugar de contraseñas
