2 de cada 3 usuarios hackeados no cambian la contraseña

Cambiar cada cierto tiempo de contraseña o no usar siempre la misma en cuentas, servicios online y dispositivos es algo necesario. Pero modificarla tras sufrir un pirateo o robo de datos de un servicio tras una brecha de seguridad es, simplemente, esencial. Pero lo curioso es que mucha gente no lo hace, y tras hackeados vuelve a usar la misma contraseña.

Reutilizar la misma contraseña tras una brecha de seguridad

Un estudio del CyLab de la Universidad Carnegie Mellon sobre hábitos del comportamiento online presentado recientemente arroja un curioso resultado: sólo una de cada tres personas que tenían cuentas en dominios pirateados cambiaron sus contraseñas en los tres meses siguientes al anuncio del hackeo, lo que equivale a sólo un 13%. El resto reutilizaron el mismo password.

Para llegar a sus conclusiones, los autores del estudio observaron las prácticas de seguridad de 249 participantes voluntarios a través del Observatorio de Comportamiento de Seguridad (SBO), un grupo de participantes que consintieron en que se observaran sus comportamientos informáticos diarios. Los investigadores se centraron en nueve infracciones, y observaron los comportamientos de los usuarios que estaban en el SBO en el momento de esas infracciones.

Una de las infracciones en las que se centraron fue la brecha de seguridad en Yahoo sucedida en 2017, en la que cada cuenta Yahoo de los 3.000 millones que había fue hackeada.

Contraseñas nuevas pero más débiles

Si bien uno de cada tres usuarios afectados por la infracción cambió sus contraseñas, el problema es que los nuevos passwords fueron más débiles que los anteriores, aunque un pequeño número de nuevas contraseñas eran significativamente más fuertes que las originales. Para empeorar las cosas, las nuevas contraseñas de los usuarios eran, en general, más similares a los passwords que utilizaban en otras cuentas.

"Las notificaciones de infracción casi nunca le dicen a la gente que restablezca sus contraseñas similares - o idénticas - en otras cuentas", dice Lujo Bauer del CyLab, coautor del artículo y profesor del departamento de Ingeniería Eléctrica y Computacional y del Instituto de Investigación de Software. "Sin embargo, los participantes cuyos datos estudiamos tenían, en promedio, otras 30 contraseñas similares a la contraseña hackeada. En promedio, los que cambiaron una contraseña robada cambiaron menos de 3 de estas 30 contraseñas similares”.

¿Forzar a los usuarios?

Dados estos hallazgos, los investigadores recomiendan que las empresas adopten un enfoque más directo hacia sus clientes afectados por las infracciones.

"En el caso de las personas afectadas, deberían forzar el restablecimiento de la contraseña, por ejemplo, impidiendo que el cliente inicie la sesión hasta que haya cambiado su password”, señala Bhagavatula. "Las empresas deben dejar claro que, aunque los usuarios cambien la contraseña de su sitio, siguen siendo vulnerables en otros sitios si se utilizan palabras similares".