Un reciente informe de Cloudflare ha vuelto a poner sobre la mesa un problema que persiste a pesar de años de advertencias: la reutilización de contraseñas. Entre septiembre y noviembre de 2024, el 41 % de los inicios de sesión exitosos detectados en sitios web protegidos por esta plataforma se realizaron con credenciales previamente expuestas en filtraciones de datos.
Este dato revela no solo una falta de concienciación entre los usuarios, sino también la creciente sofisticación de los ataques automatizados que explotan estas malas prácticas.
La amenaza silenciosa: bots y ataques masivos
El estudio destaca que el 95 % de los intentos de acceso con contraseñas filtradas provienen de bots, que ejecutan ataques masivos conocidos como credential stuffing. Estos bots prueban credenciales robadas en múltiples servicios hasta encontrar combinaciones válidas. La automatización y la escala de estos ataques hacen que cualquier usuario que reutilice una contraseña esté expuesto en cuestión de minutos.
Plataformas como WordPress concentran buena parte de estos ataques, debido a su popularidad y facilidad de identificación. En los sitios basados en WordPress, el 76 % de los intentos con contraseñas filtradas resultaron en accesos exitosos, y casi la mitad fueron realizados por bots.
Claves que la gente sigue utilizando (y reutilizando)
El informe de Cloudflare no solo señala la magnitud del problema, sino que pone de relieve los patrones comunes de malas prácticas. Entre las contraseñas más reutilizadas y comprometidas figuran combinaciones previsibles y fáciles de adivinar:
- 123456
- password
- qwerty
- 123456789
- 111111
- abc123
- iloveyou
- admin
- 123123
- welcome
Estos ejemplos reflejan lo que los expertos llaman “contraseñas perezosas”, utilizadas por millones de personas en múltiples servicios y que son las primeras que prueban los atacantes.
¿Por qué sigue ocurriendo?
La comodidad y el olvido están detrás de la mayoría de estos errores. La gestión de contraseñas fuertes y únicas para cada servicio puede parecer un reto, pero las herramientas de gestión de contraseñas y las soluciones de autenticación sin contraseña (como las passkeys) facilitan enormemente esta tarea.
Además, aunque muchos usuarios son conscientes del riesgo, no toman acción hasta que son víctimas de un ataque. Esta inercia supone un riesgo tanto a nivel individual como empresarial.
La solución: educación, tecnología y prevención
Para protegerse, los usuarios deben:
- Crear contraseñas únicas y robustas para cada cuenta.
- Usar gestores de contraseñas para evitar tener que recordarlas.
- Activar siempre la autenticación multifactor (MFA).
- Cambiar contraseñas comprometidas en cuanto reciban alertas.
Por su parte, las empresas deben activar sistemas de detección de credenciales filtradas, bloquear intentos masivos mediante rate limiting y gestionar el tráfico sospechoso con herramientas anti-bot. Además, deben educar a sus usuarios y empleados sobre las buenas prácticas de ciberseguridad.
La ciberseguridad empieza por una contraseña
La conclusión es clara: la reutilización de contraseñas sigue siendo la puerta de entrada para ataques automatizados y tomas de control de cuentas. La tecnología puede poner barreras, pero la primera línea de defensa sigue siendo la conciencia del usuario y el cambio de hábitos.
Si el 41 % de los accesos todavía utiliza contraseñas comprometidas, es evidente que queda mucho camino por recorrer. La seguridad, en definitiva, empieza con un gesto tan sencillo como elegir una buena contraseña y no reutilizarla nunca.
Fuente: Noticias de seguridad
