El 99,9 por ciento de las cuentas de Microsoft pirateadas no utilizan 2FA

El cartel de Microsoft frente a la sede de la empresa.
Fotos de VDB / Shutterstock

La autenticación de dos factores (2FA) es el método más eficaz para prevenir el acceso no autorizado a una cuenta en línea. ¿Aún necesitas convencerte? Eche un vistazo a estos asombrosos números de Microsoft.

Los números duros

En febrero de 2020, Microsoft dio una presentación en el Conferencia RSA titulado «Romper las dependencias de las contraseñas: desafíos en la última milla en Microsoft». Toda la presentación fue fascinante si está interesado en cómo proteger las cuentas de usuario. Incluso si ese pensamiento adormece su mente, las estadísticas y los números presentados fueron asombrosos.

Microsoft rastrea más de mil millones de cuentas activas mensualmente, que es casi 1/8 de la población mundial. Estos generan más de 30 mil millones de eventos de inicio de sesión mensuales. Cada inicio de sesión en una cuenta corporativa de O365 puede generar múltiples entradas de inicio de sesión en múltiples aplicaciones, así como eventos adicionales para otras aplicaciones que usan O365 para el inicio de sesión único.

Si ese número suena grande, tenga en cuenta que Microsoft detiene 300 millones de intentos de inicio de sesión fraudulentos todos los días. Una vez más, eso no es por año o por mes, sino 300 millones por día.

En enero de 2020, 480.000 cuentas de Microsoft (el 0,048 por ciento de todas las cuentas de Microsoft) se vieron comprometidas por ataques de fumigación. Esto es cuando un atacante ejecuta una contraseña común (como “Spring2020!”) Contra listas de miles de cuentas, con la esperanza de que algunas de ellas hayan usado esa contraseña común.

Los aerosoles son solo una forma de ataque; cientos y miles más fueron causados ​​por el relleno de credenciales. Para perpetuarlos, el atacante compra nombres de usuario y contraseñas en la web oscura y los prueba en otros sistemas.

Luego, está el phishing, que es cuando un atacante lo convence de iniciar sesión en un sitio web falso para obtener su contraseña. Estos métodos son la forma en que las cuentas en línea suelen ser «pirateadas», en el lenguaje común.

En total, más de 1 millón de cuentas de Microsoft fueron violadas en enero. Eso es poco más de 32,000 cuentas comprometidas por día, lo que suena mal hasta que recuerde los 300 millones de intentos de inicio de sesión fraudulentos que se detuvieron por día.

Pero el número más importante de todos es que El 99,9 por ciento de todas las infracciones de cuentas de Microsoft se habrían detenido si las cuentas tenían habilitada la autenticación de dos factores.

RELACIONADO: ¿Qué debe hacer si recibe un correo electrónico de phishing?

¿Qué es la autenticación de dos factores?

Como recordatorio rápido, la autenticación de dos factores (2FA) requiere un método adicional para autenticar su cuenta en lugar de solo un nombre de usuario y contraseña. Ese método adicional suele ser un código de seis dígitos enviado a su teléfono por SMS o generado por una aplicación. Luego, escriba ese código de seis dígitos como parte del procedimiento de inicio de sesión para su cuenta.

La autenticación de dos factores es un tipo de autenticación multifactor (MFA). También existen otros métodos de MFA, incluidos los tokens USB físicos que conecta a su dispositivo o escaneos biométricos de su huella digital u ojo. Sin embargo, un código enviado a su teléfono es, con mucho, el más común.

Sin embargo, la autenticación multifactor es un término amplio: una cuenta muy segura puede requerir tres factores en lugar de dos, por ejemplo.

RELACIONADO: ¿Qué es la autenticación de dos factores y por qué la necesito?

¿Habría 2FA detenido las infracciones?

En los ataques de spray y el relleno de credenciales, los atacantes ya tienen una contraseña; solo necesitan encontrar cuentas que la utilicen. Con el phishing, los atacantes tienen tanto su contraseña como el nombre de su cuenta, lo que es aún peor.

Si las cuentas de Microsoft violadas en enero tuvieran habilitada la autenticación multifactor, tener la contraseña no habría sido suficiente. El hacker también habría necesitado acceso a los teléfonos de sus víctimas para obtener el código MFA antes de poder iniciar sesión en esas cuentas. Sin el teléfono, el atacante no habría podido acceder a esas cuentas y no habrían sido violadas.

Si cree que su contraseña es imposible de adivinar y nunca caerá en un ataque de phishing, profundicemos en los hechos. Según Alex Weinart, arquitecto principal de Microsoft, tu contraseña Realmente no importa mucho cuando se trata de proteger su cuenta.

Esto tampoco se aplica solo a las cuentas de Microsoft: todas las cuentas en línea son igualmente vulnerables si no utilizan MFA. Según Google, MFA se detuvo al 100 por ciento de ataques de bot automatizados (ataques de spray, relleno de credenciales y métodos automatizados similares).

Si observa la parte inferior izquierda del cuadro de investigación de Google, el método de «Llave de seguridad» fue 100 por ciento efectivo para detener bots automatizados, phishing y ataques dirigidos.

"Tasas de prevención de apropiación de cuentas por tipo de desafío".
Google

Entonces, ¿qué es el método de «Llave de seguridad»? Utiliza una aplicación en su teléfono para generar un código MFA.

Si bien el método de «código SMS» también fue muy eficaz, y es absolutamente mejor que no tener MFA en absoluto, una aplicación es aún mejor. Recomendamos Authy, ya que es gratuito, fácil de usar y potente.

RELACIONADO: La autenticación de dos factores por SMS no es perfecta, pero aún debe usarla

Cómo habilitar 2FA para todas sus cuentas

Puede habilitar 2FA u otro tipo de MFA para la mayoría de las cuentas en línea. Encontrará la configuración en diferentes ubicaciones para diferentes cuentas. Sin embargo, generalmente se encuentra en el menú de configuración de la cuenta en «Cuenta» o «Seguridad».

Afortunadamente, tenemos guías que cubren cómo activar MFA para algunos de los sitios web y aplicaciones más populares:

MFA es la forma más eficaz de proteger sus cuentas en línea. Si aún no lo ha hecho, tómese el tiempo para activarlo lo antes posible, especialmente para cuentas críticas, como correo electrónico y banca.

Deja un comentario

En esta web usamos cookies para personalizar tu experiencia de usuario.    Política de cookies
Privacidad