Imagen abstracta de una mujer sentada en libros y estudiando en una computadora portátil

¿El fin de las contraseñas? La autenticación simple cada vez más amenazada

ESET Latinoamérica, profile picture
ESET Latinoamérica

El documento analiza la creciente vulnerabilidad de las contraseñas como método de autenticación, destacando casos de robo de credenciales y la naturaleza ineficaz de las contraseñas simples frente a ataques cibernéticos. Se propone la implementación de sistemas de doble autenticación como una solución más segura para proteger la información confidencial y se discuten los comportamientos inseguros de los usuarios que contribuyen al problema. La conclusión sugiere que, aunque la autenticación simple no es suficiente, la educación del usuario es clave para mejorar la seguridad en entornos informáticos.

Tecnología
1 de 10
Descargado 35 veces
1
2
3
4
5
6
7
8
9
10
¿El fin de las contraseñas? André Goujon Especialista de Awareness & Research 22/03/2013 – version 1.1
Contenido Introducción ................................................................................................................................................................................................................................................................................................................. 3 Robo de claves y malos hábitos .................................................................................................................................................................................................................................................................................... 3 Robo de contraseñas mediante ataques específicos: casos como Yahoo!, Twitter y LinkedIn ................................................................................................................................................................................ 4 Robo de contraseñas corporativas mediante códigos maliciosos ............................................................................................................................................................................................................................ 4 Robo de contraseñas mediante phishing .................................................................................................................................................................................................................................................................. 5 Las conductas inseguras del usuario ......................................................................................................................................................................................................................................................................... 6 Sistemas de autenticación ............................................................................................................................................................................................................................................................................................ 7 Factor de conocimiento (algo que sé)....................................................................................................................................................................................................................................................................... 7 Factor de posesión (algo que tengo) ........................................................................................................................................................................................................................................................................ 7 Factor de inherencia (algo que soy) .......................................................................................................................................................................................................................................................................... 7 Sistema de doble autenticación.................................................................................................................................................................................................................................................................................... 7 Activar doble autenticación en servicios ...................................................................................................................................................................................................................................................................... 8 Conclusión: ¿El fin de las contraseñas? ...................................................................................................................................................................................................................................................................... 10
solicita el ingreso de un segundo mecanismo, como un código de ¿El fin de las contraseñas? identificación. Generalmente, este código se envía a un dispositivo del usuario, como un teléfono celular, para que luego, pueda ingresarlo para La autenticación simple cada vez más poder validarse en el equipo. En este sentido, y considerando que la doble amenazada autenticación es significativamente más segura que la simple, ¿se tratará del fin de las contraseñas tal y como se conocen en la actualidad? Introducción Robo de claves y malos Para evitar que otros puedan acceder a recursos privados, la protección de los mismos se convirtió en una conducta esencial de las personas y la hábitos sociedad. En este sentido, resulta interesante destacar que hace Como se mencionó en la introducción, el uso de la autenticación simple aproximadamente 4.000 años se inventó el primer sistema de cerradura otorga un cierto nivel de protección, sin embargo, a raíz del avance construido a partir de madera y, en la actualidad, es impensado que un tecnológico y el aumento en el interés de los atacantes por obtener automóvil, casa, tienda, oficina, etc. no posean algún sistema de información confidencial, las credenciales de acceso simples son cada vez protección que evite que un tercero no autorizado pueda acceder a ellos. menos efectivas para brindar un nivel de seguridad adecuado. Con los sistemas informáticos sucede algo similar. Tanto las personas como En primer lugar, y junto con el avance tecnológico de las CPU y GPU las empresas almacenan información importante y confidencial que de (Unidad de Procesamiento de Gráficos), vulnerar una contraseña a través caer en las manos equivocadas, podría resultar problemático. Por ello, el de ataques de fuerza bruta, es decir, aquellos que buscan inferir la uso de credenciales de acceso, como nombre de usuario y contraseña, son contraseña a través de diccionarios de datos, resulta considerablemente una parte fundamental de servicios como el correo electrónico, las redes más rápido y sencillo que hace algunos años. En este sentido, un clúster de sociales, y los recursos compartidos de red, entre otros. 25 GPU es capaz de descifrar contraseñas de ocho caracteres en cinco Por otro lado, y considerando que las credenciales de acceso protegen horas y media. Asimismo, si se aumenta el número de GPU, el tiempo datos relevantes, existen personas interesadas en vulnerar los sistemas necesario para descifrar una clave será incluso menor. Aunque para acceder a los recursos. Aunque el uso de un nombre de usuario y implementar contraseñas de diez o más caracteres dificulta que un contraseña por sí solo (sistema conocido como autenticación simple) atacante pueda obtener acceso, esto no siempre soluciona el problema de otorga una capa de protección considerable, es sabido que los forma satisfactoria. ciberdelincuentes cuentan con una amplia gama de herramientas capaces Este inconveniente se agrava aún más si se considera que existen otros de vulnerar claves. Es por ello que cada vez resulta más imprescindible la ataques informáticos capaces de vulnerar contraseñas. Casos de phishing, implementación de un sistema de doble autenticación. una amplia gama de códigos maliciosos, y otros ataques dirigidos La doble autenticación se trata de un sistema que además de requerir una específicamente en contra de empresas puntuales han demostrado autenticación simple, como por ejemplo, nombre de usuario y contraseña; empíricamente que la autenticación simple es cada vez más vulnerable.
¿El fin de las contraseñas? Robo de contraseñas mediante ataques específicos: Por ejemplo, impediría que los atacantes puedan acceder a las cuentas casos como Yahoo!, Twitter y LinkedIn debido a que desconocerían el segundo factor (por ej. PIN) para poder Uno de los primeros ataques que involucró el robo masivo de contraseñas identificarse en el sistema. fue el ocurrido con la famosa red laboral LinkedIn. El incidente tuvo como consecuencia el robo de 6.5 millones de claves de usuarios de esta red Robo de contraseñas corporativas mediante códigos social y la publicación de dicha información en un foro ruso. Por su parte, maliciosos los responsables de LinkedIn decidieron implementar una segunda capa de Actualmente, casi la totalidad de los códigos maliciosos están diseñados seguridad al momento de almacenar las contraseñas en los servidores, para robar algún tipo información, por lo tanto, prácticamente cualquier conocida como granos de sal, una técnica que permite agregar información servicio o recurso protegido por credenciales de acceso, podría ser aleatoria a las claves. Esta medida busca reforzar el algoritmo criptográfico vulnerado si el usuario inicia sesión en un sistema infectado. En estos SHA implementado por esta red social. casos es importante destacar que el robo de la contraseña ocurre en la Otro ataque similar fue el ocurrido en contra de Yahoo!; en este caso, un computadora de la persona y no en el entorno informático de la empresa grupo de atacantes denominados D33Ds Company lograron vulnerar proveedora del servicio. algunos sistemas de la empresa mediante una inyección SQL, con lo que Podemos tomar como ejemplo el caso de Dorkbot, un gusano que se consiguieron robar 450.000 credenciales. Ese mismo 12 de julio de 2012, propagó intensamente en América Latina, que reclutó al menos 80.000 se daba a conocer otro caso parecido en contra de Formspring, red social computadoras zombis en la región y logró robar más de 1.500 cuentas de preguntas y respuestas. En esa ocasión, los atacantes robaron 420.000 corporativas de correo electrónico. En otras palabras, los cibercriminales credenciales de acceso. Como medida cautelar, la empresa afectada responsables de este ataque tuvieron acceso total a la información decidió restablecer las contraseñas de todos sus usuarios (28 millones en almacenada en mensajes y archivos adjuntos. Esto representa un serio aquel momento) y afirmó haber resuelto la vulnerabilidad que habría problema para el funcionamiento de la red corporativa, el consiguiente permitido el ingreso de los atacantes. deterioro de la imagen del negocio y el robo de datos confidenciales. Un ataque más reciente es el que sufrió Twitter, donde se vulneraron las Dorkbot es una amenaza que posee un campo amplio de acción, es decir, cuentas de 250,000 usuarios. Aunque la empresa afectada no concedió casi cualquier usuario que se infecte es de utilidad para el cibercriminal. más detalles sobre el incidente, les recomendó a los usuarios desactivar el Asimismo, mientras más personas resulten afectadas por este malware, plugin de Java como medida de precaución. Este incidente se suma a otro mejor será para el atacante. Por otro lado, existen algunos códigos en donde la misma red social, tuvo que realizar un restablecimiento maliciosos dirigidos y específicos. Se trata de amenazas desarrolladas para masivo de cuentas debido a una posible brecha de seguridad. atacar a un blanco mucho más reducido como una empresa en particular o A pesar de que adoptar las medidas necesarias para almacenar incluso un país determinado. Los atacantes buscan afectar solo al grupo contraseñas de forma segura, como el cifrado mediante bcrypt o SHA y objetivo y cualquier víctima adicional podría contribuir a que la amenaza granos de sal, son esenciales para prevenir estos ataques, la sea descubierta con mayor celeridad, por lo tanto, tienden a evitar tal implementación de un sistema de doble autenticación permite mitigarlos situación. El peligro de estos ataques radica en la dificultad para considerablemente. detectarlos y en la cantidad de información que pueden llegar a robar. Como se puede apreciar, los ciberdelincuentes harán todo lo posible para
¿El fin de las contraseñas? robar información, ya sea a través de códigos maliciosos destinados a múltiples objetivos, o mediante malware diseñado para atacar a blancos más específicos. En esta línea, un sistema de doble autenticación permitiría otorgar una capa de protección adicional al evitar que los ciberdelincuentes puedan acceder directamente al correo electrónico y otros servicios protegidos por usuario y contraseña. Robo de contraseñas mediante phishing El phishing es otro ataque informático que utilizan los cibercriminales para obtener credenciales de acceso de servicios bancarios, redes sociales, correo electrónico, entre otros. Se trata de una modalidad de fraude electrónico en la que el ciberdelincuente suplanta a una entidad para solicitarle a la víctima datos sensibles como nombres de usuarios, contraseñas, tarjetas de crédito, de coordenadas, etc. De acuerdo a una encuesta realizada por ESET Latinoamérica, los servicios más suplantados por los cibercriminales a través del phishing son el webmail (correo Tal como se puede apreciar, el sitio fraudulento luce idéntico al genuino de electrónico en línea) con 46%, redes sociales con 45%, y bancos 44%. Twitter. Además, se le informa falsamente a la potencial víctima que A continuación se muestra la captura de un ataque de phishing que logró ingrese sus credenciales de acceso debido a que la sesión habría expirado. robar 31.000 cuentas de Twitter: A diferencia de los códigos maliciosos, en el phishing es el propio usuario quien, una vez que ha sido engañado, facilita la información a los atacantes. En este caso un sistema de doble autenticación impediría que los cibercriminales accedan a la cuenta debido a que no conocerían el código numérico necesario para ingresar. De acuerdo a la misma encuesta llevada a cabo por ESET Latinoamérica, los datos más solicitados por los cibercriminales son los nombres de usuario y contraseñas con el 81% de las preferencias. Considerablemente más atrás quedan los token (dispositivos físicos que generan números de acuerdo a un patrón) con un 9%. Este porcentaje demuestra que los ciberdelincuentes no están interesados en obtener este tipo de información debido a que el código generado por un sistema de doble autenticación tiene una validez limitada y cambia constantemente. Este aspecto resulta fundamental para dificultar que un tercero pueda acceder a un servicio protegido por un sistema de estas características.
¿El fin de las contraseñas? Las conductas inseguras del usuario Problema Impacto En las secciones anteriores se mencionaron ataques capaces de vulnerar Uso de una contraseña única Facilita el acceso de un atacante a varios servicios sistemas de autenticación simple, sin embargo, existen otros aspectos más allá de las amenazas informáticas que pueden facilitar el acceso de un para varios servicios: y recursos con tan solo robar una única clave. tercero a información confidencial. Frente a determinados ataques, una Contraseñas idénticas para Facilita el acceso de un atacante tanto a las contraseña de una longitud de diez o más caracteres puede proporcionar un nivel de seguridad extra, no obstante, esta situación también provoca uso personal y laboral: cuentas personales de la víctima como a los comportamientos inadecuados por parte de los usuarios. Muchas personas recursos corporativos. suelen utilizar una contraseña única para todos los servicios, lo que facilita considerablemente que un atacante pueda acceder a todos los recursos Uso de contraseñas cortas: Cualquier contraseña que posea menos de diez protegidos con esa clave. A continuación, se expone una tabla con los cinco caracteres posibilita que un tercero pueda problemas más recurrentes con respecto a las contraseñas y los usuarios: vulnerarla a través de ataques de fuerza bruta. Utilización de contraseñas Para evitar el olvido de las claves, algunos fáciles de adivinar: usuarios implementan contraseñas fáciles de adivinar como palabras típicas, secuencias numéricas (12345, 54321, 0000, etc.), fechas, etc. Tal situación aumenta considerablemente la posibilidad que un tercero pueda descifrar la clave. Contraseñas anotadas en Para evitar el olvido de las claves, algunos papeles o documentos: usuarios escriben las credenciales de acceso en el teléfono, en un documento, en hojas, etc. Cualquier persona que tenga acceso al lugar en donde se encuentre escrita la contraseña podrá acceder a los recursos protegidos. Tabla 1 Comportamientos inseguros de los usuarios con las contraseñas. Si bien al evitar estas situaciones se puede lograr un nivel de seguridad superior, un sistema de doble autenticación permitiría aumentar incluso más el grado de protección disponible.
¿El fin de las contraseñas? Sistemas de autenticación Sistema de doble Los sistemas de autentificación son todos aquellos métodos diseñados para verificar la identidad de un usuario con el objetivo de otorgarle acceso autenticación a un recurso protegido según corresponda. Siempre requieren del uso de Los sistemas de doble autenticación, son aquellos que requiere del ingreso al menos un factor de autenticación para poder reconocer a la persona. de dos de los tres factores de autenticación para poder identificar y En este sentido, la autenticación simple a través de nombre de usuario y permitir el acceso de un usuario a un recurso o servicio. A diferencia de la contraseña es uno de los métodos de protección más utilizados en la autenticación simple busca evitar que un atacante pueda adulterar y actualidad, sin embargo, al requerir un solo factor de autenticación, se suplantar su identidad ingresando credenciales robadas. convierte en un procedimiento significativamente más vulnerable. A En los siguientes esquemas se puede apreciar la diferencia con mayor continuación, se explica en qué consiste cada factor: nitidez: Ilustración 1 Sistema de autenticación simple Factor de conocimiento (algo que sé) Se trata de algo que el usuario sabe y conoce. Por ejemplo: contraseñas, números PIN, patrones, secuencia, etc. Usuario ingresa credenciales de Sistema valida credenciales y permite Factor de posesión (algo que tengo) acceso. acceso. Es algo que el usuario posee como un teléfono inteligente, un token, (Factor conocimiento) tarjeta ATM, etc. Estos dispositivos suelen utilizarse para el envío de códigos que sirven para identificar al usuario en un sistema. Factor de inherencia (algo que soy) Se trata de rasgos conductuales y físicos intrínsecos al ser humano y que permiten identificarlo unívocamente a través de la biometría. Las huellas dactilares, el iris, el rostro y la retina son algunos ejemplos.
¿El fin de las contraseñas? Ilustración 2 Sistema de doble autenticación expuestas anteriormente permiten mitigar el riesgo de que un cibercriminal emplee malware para vulnerar un sistema de este tipo. Usuario ingresa credenciales de acceso. Sistema valida credenciales y envía Activar doble autenticación en código al usuario. (Factor conocimiento) servicios Ciertos servicios de correo electrónico, redes sociales y otros, implementan sistemas de doble autenticación para resguardar la seguridad de los usuarios, sin embargo, dicha opción por lo general, se encuentra El usuario recibe desactivada de forma predeterminada. En la siguiente tabla, se exponen Sistema valida código código en otro los servicios que implementan doble autenticación y se detallan las de autenticación y dispositivo y lo ingresa. instrucciones para poder activar esta característica: permite acceso. (Factor posesión) En la mayoría de los casos, los sistemas de doble autenticación utilizan códigos numéricos como segundo factor de comprobación. El objetivo es que el usuario reciba dichos dígitos en algún dispositivo que tenga en su poder como un teléfono inteligente o un token. Posteriormente, deberá ingresar ese número para poder iniciar la sesión. A continuación, se detallan las características más relevantes de estos códigos:  El código que recibe el usuario en su dispositivo podrá ser utilizado solo una vez (OTP – One-time password). Esto garantiza un mayor nivel de seguridad al evitar que dicho número pueda reutilizarse por parte de terceros.  El código expira transcurrido un tiempo determinado.  El código cambia aleatoriamente cada vez que el usuario necesita ingresar al servicio o recurso. Aunque existen algunos códigos maliciosos para teléfonos inteligentes que son capaces de robar el segundo factor de autenticación, las características
¿El fin de las contraseñas? Servicio Instrucciones Tabla 2 Instrucciones para activar doble autenticación en servicios.
¿El fin de las contraseñas? que la cantidad de combinaciones numéricas es ampliamente mayor y no Conclusión: ¿El fin de las pueden visualizarse de una sola vez. Independientemente de la implementación de estos mecanismos y otras contraseñas? formas de protección, el factor educativo resulta fundamental para poder A lo largo de este artículo se han expuesto y explicado las diversas razones prevenir ataques. Un entorno informático protegido adecuadamente no es que demuestran que la autenticación simple no es un método lo solo aquel que implementa la mejor tecnología disponible en el mercado, suficientemente robusto para proteger adecuadamente un recurso o sino el que también considera la educación de los usuarios como parte servicio. Entre los casos más relevantes que tienden a vulnerarlo fundamental en el proceso de protección. rápidamente se pueden encontrar: códigos maliciosos que roban credenciales de acceso, ataques específicos en contra de empresas, casos de phishing y las conductas inseguras que algunos usuarios adoptan con respecto al manejo de claves. En vista de todos los aspectos mencionados anteriormente, resulta imperioso implementar un sistema de doble autenticación, sin embargo, esto no implica que las credenciales de acceso como nombre de usuario y contraseña dejen de utilizarse. Por el contrario, formarán parte integral de un sistema de doble autenticación. Cabe destacar que, algunos sitios como Facebook, Google, Gmail, Dropbox, entre otros, ya cuentan con estos mecanismos. Por otro lado, algunas entidades bancarias también han implementado este tipo de sistemas en reemplazo de la tarjeta de coordenadas, ya que si bien otorga mayor seguridad, posee una cantidad limitada de combinaciones. En este sentido, en el Laboratorio de Investigación de ESET Latinoamérica se han observado ataques de phishing en donde los atacantes les solicitaron a las víctimas todos los números de las tarjetas de coordenadas como parte del fraude. Si la persona envía dicha información, la seguridad adicional que otorga este sistema se ve completamente comprometida. Casos como el phishing que afecto a un importante banco de Panamá y otro dirigido a usuarios brasileños demuestran fehacientemente que los cibercriminales solicitan estos datos para obtener rédito económico. Un sistema de doble autenticación es considerablemente más difícil de vulnerar debido, entre otros motivos, a

Más contenido relacionado

PDF
Fin de las contraseñas by eset
Luis Tarott
 
PDF
Seguridad en redes
Did Maldonado
 
PDF
S eguridad
Did Maldonado
 
PDF
Seguridad en la red
Jorge Gonzalez Sev
 
PDF
Contraseñas seguras en internet
Jose Ignacio Donet Donet
 
PDF
Revista
JoanlysVera
 
PDF
Cifrado de la Información - Guía Personal
ESET Latinoamérica
 
PDF
Actividad 6
Elisa Torres Esparza
 
Fin de las contraseñas by eset
Luis Tarott
 
Seguridad en redes
Did Maldonado
 
S eguridad
Did Maldonado
 
Seguridad en la red
Jorge Gonzalez Sev
 
Contraseñas seguras en internet
Jose Ignacio Donet Donet
 
Revista
JoanlysVera
 
Cifrado de la Información - Guía Personal
ESET Latinoamérica
 
Actividad 6
Elisa Torres Esparza
 

La actualidad más candente (17)

PPT
Presentacion 4 Seguridad En Redes Ip
Instituciones Educativas Evangelicas La Esperanza
 
PDF
Internet seguro
gabrielaM25
 
PDF
RamsonCloud O365: Paga por tus mensajes de correo en Office 365
Chema Alonso
 
PDF
Seguridad en redes
dpovedaups123
 
PDF
Tesis Ingenieria Social
evilbyteperu
 
PDF
Seguridad informática
Paulettemayte
 
PDF
Cifrado de la información - Guía corporativa
ESET Latinoamérica
 
PPTX
Seguridad informatica
Adixs Cabrejos
 
DOCX
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Víctor Acosta Santivañez
 
PPTX
cuestionario 5 ´´INTERNET´´
olivervargas8
 
PDF
Resci2014 certificate pinning con ppt
boligoma200
 
PDF
Seguridad de usuario en el acceso a internet 1
Cein
 
DOCX
Glosario de términos de seguridad informática
Deivi Duran
 
PPT
Mizar
smateura
 
DOCX
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Leonel Ibarra
 
PDF
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
elsiscarolinacaasest
 
DOC
Seguridad Informatica 001
vinicio31011998
 
Presentacion 4 Seguridad En Redes Ip
Instituciones Educativas Evangelicas La Esperanza
 
Internet seguro
gabrielaM25
 
RamsonCloud O365: Paga por tus mensajes de correo en Office 365
Chema Alonso
 
Seguridad en redes
dpovedaups123
 
Tesis Ingenieria Social
evilbyteperu
 
Seguridad informática
Paulettemayte
 
Cifrado de la información - Guía corporativa
ESET Latinoamérica
 
Seguridad informatica
Adixs Cabrejos
 
Herramientas de information gathering aplicadas al aseguramiento de informaci...
Víctor Acosta Santivañez
 
cuestionario 5 ´´INTERNET´´
olivervargas8
 
Resci2014 certificate pinning con ppt
boligoma200
 
Seguridad de usuario en el acceso a internet 1
Cein
 
Glosario de términos de seguridad informática
Deivi Duran
 
Mizar
smateura
 
Reactivo de tecnolo gu00 cda de seguridad de la informaciu00d3n segundo parcial
Leonel Ibarra
 
ELEMENTOS CLAVES PARA LA SEGURIDAD POR ACCESO REMOTO
elsiscarolinacaasest
 
Seguridad Informatica 001
vinicio31011998
 
Publicidad

Destacado (8)

PPTX
Presentacion Protocolos
astrologia
 
PDF
Capitulo 3 protocolo de red
ScoutES7
 
PPT
OSI - CISCO
Danny231259
 
PPSX
Cisco Ccna Capitulo 2
Nesto Hernandez
 
PPTX
Cisco CCNA Internetworking - Curso Online
Capacity Academy
 
PPTX
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
PPTX
Las etapas de un proyecto informático
lizbravo1981
 
PPT
Pasos Proyecto Informatico
Raul Diaz
 
Presentacion Protocolos
astrologia
 
Capitulo 3 protocolo de red
ScoutES7
 
OSI - CISCO
Danny231259
 
Cisco Ccna Capitulo 2
Nesto Hernandez
 
Cisco CCNA Internetworking - Curso Online
Capacity Academy
 
Mecanismos de autenticación-identificación. Vulneración y cracking de contras...
Alejandro Ramos
 
Las etapas de un proyecto informático
lizbravo1981
 
Pasos Proyecto Informatico
Raul Diaz
 
Publicidad

Similar a ¿El fin de las contraseñas? La autenticación simple cada vez más amenazada (20)

PDF
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
FIDOMULTRAXD
 
PPT
Seguridad En Internet
stephanieherreraj
 
PPTX
Identificación y autenticación de usuarios
Uriel Hernandez
 
PPTX
Problemas y soluciones en internet
Karla_Velazquez
 
DOCX
UNIDAD 4: COMERCIO ELECTRONICO
Ana Gomez
 
DOCX
La seguridad informática
Steed10
 
PPTX
Como mantener la seguridad en la red
AngelloPinVillon
 
PDF
infografia genesis chirinos riesgos.pdf
GnesisChirinos1
 
PPTX
Clave de acceso
Juan Gomez
 
PDF
Seguridad Informatica y Ethical Hacking
Jose Manuel Acosta
 
PDF
Revista de informatica
Gleydis1
 
PDF
Seguridad informatica
elverrueda1
 
PDF
HACKERS
edgarARAUJO10
 
PDF
Seguridad informática
AmandaRC13
 
PPTX
Subida de nota
lauralpez249
 
DOCX
Actividad 6
soniareyna11
 
PPTX
archivo_202267161541.pptx
KARINAVANESSARIOSFRA
 
PDF
Firma y antivirus
luisdragon45
 
DOCX
Aspectos generales de la seguridad en informática
fray medina
 
PPTX
Seguridadenredes jacr-100611122303-phpapp02
Nelson Araujo
 
RIESGO Y SEGURIDAD EN LAS COMPUTADORAS
FIDOMULTRAXD
 
Seguridad En Internet
stephanieherreraj
 
Identificación y autenticación de usuarios
Uriel Hernandez
 
Problemas y soluciones en internet
Karla_Velazquez
 
UNIDAD 4: COMERCIO ELECTRONICO
Ana Gomez
 
La seguridad informática
Steed10
 
Como mantener la seguridad en la red
AngelloPinVillon
 
infografia genesis chirinos riesgos.pdf
GnesisChirinos1
 
Clave de acceso
Juan Gomez
 
Seguridad Informatica y Ethical Hacking
Jose Manuel Acosta
 
Revista de informatica
Gleydis1
 
Seguridad informatica
elverrueda1
 
HACKERS
edgarARAUJO10
 
Seguridad informática
AmandaRC13
 
Subida de nota
lauralpez249
 
Actividad 6
soniareyna11
 
archivo_202267161541.pptx
KARINAVANESSARIOSFRA
 
Firma y antivirus
luisdragon45
 
Aspectos generales de la seguridad en informática
fray medina
 
Seguridadenredes jacr-100611122303-phpapp02
Nelson Araujo
 

Más de ESET Latinoamérica (20)

PDF
ESET-Dream-Team-2022-ES.pdf
ESET Latinoamérica
 
PDF
5 Amenazas que no son Ransomware
ESET Latinoamérica
 
PDF
Ransomware y Backup
ESET Latinoamérica
 
PDF
Eset infografia-ransomware-v3 b
ESET Latinoamérica
 
PDF
Eset infografia-evitarataque
ESET Latinoamérica
 
PDF
Eset infografia-comprasonline-v3
ESET Latinoamérica
 
PDF
Eset infografia-teletrabajocovid-v4
ESET Latinoamérica
 
PDF
Eset infografia-ciberataquesfichas-v4
ESET Latinoamérica
 
PDF
Eset infografia passwords
ESET Latinoamérica
 
PDF
Eset infografia-incidentescovid-v3
ESET Latinoamérica
 
PDF
Eset infografia-backup
ESET Latinoamérica
 
PDF
Eset infografia-backup
ESET Latinoamérica
 
PDF
Eset infografia-ransomware
ESET Latinoamérica
 
PDF
Eset infografia-teletrabajo-v2
ESET Latinoamérica
 
PDF
Eset infografia-dia del pirata
ESET Latinoamérica
 
PDF
Eset infografia-fintech-v3
ESET Latinoamérica
 
PDF
Eset infografia-incidentes 2020
ESET Latinoamérica
 
PDF
Eset infografia-ransomware-es
ESET Latinoamérica
 
PDF
Eset infografia-covid-final
ESET Latinoamérica
 
PDF
Eset infografia-educacion-ciberseguridad-es
ESET Latinoamérica
 
ESET-Dream-Team-2022-ES.pdf
ESET Latinoamérica
 
5 Amenazas que no son Ransomware
ESET Latinoamérica
 
Ransomware y Backup
ESET Latinoamérica
 
Eset infografia-ransomware-v3 b
ESET Latinoamérica
 
Eset infografia-evitarataque
ESET Latinoamérica
 
Eset infografia-comprasonline-v3
ESET Latinoamérica
 
Eset infografia-teletrabajocovid-v4
ESET Latinoamérica
 
Eset infografia-ciberataquesfichas-v4
ESET Latinoamérica
 
Eset infografia passwords
ESET Latinoamérica
 
Eset infografia-incidentescovid-v3
ESET Latinoamérica
 
Eset infografia-backup
ESET Latinoamérica
 
Eset infografia-backup
ESET Latinoamérica
 
Eset infografia-ransomware
ESET Latinoamérica
 
Eset infografia-teletrabajo-v2
ESET Latinoamérica
 
Eset infografia-dia del pirata
ESET Latinoamérica
 
Eset infografia-fintech-v3
ESET Latinoamérica
 
Eset infografia-incidentes 2020
ESET Latinoamérica
 
Eset infografia-ransomware-es
ESET Latinoamérica
 
Eset infografia-covid-final
ESET Latinoamérica
 
Eset infografia-educacion-ciberseguridad-es
ESET Latinoamérica
 

Último (20)

PPTX
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
PPTX
Presentación final ingenieria de metodos
joaquinlpri
 
PPTX
PRESENTACION El PODER DE LA MENTALIDAD.pptx
Albin Fumero
 
PPTX
libro proyecto con scratch jr pdf en la e
sajomadistrito
 
PPTX
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
PDF
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
DOCX
Informee_APA_Microbittrabajoogrupal.docx
gonzalezzapataalexan
 
PDF
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
PDF
Inteligencia_Artificial,_Informática_Básica,_22_06_2025_SO_2.pdf
samuel460768
 
DOCX
Guía 5. Test de orientación Vocacional 2 NICOL.docx
nicolportelajimenez
 
PPTX
Todas las señales relativas a la seguridad en el trabajo están normalizadas, ...
Justino Cat
 
PDF
Trabajo de recuperación _20250821_191354_0000.pdf
edepsantiagoalfonso
 
PPTX
CLASE PRACTICA-- SESION 6 -- FPW -- 04 11 23.pptx
AnthonyBE2
 
PPTX
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
PPTX
Sistema de Gestión Integral TCA Ingenieros.pptx
DiegoChamorro42
 
PPTX
TECNOLOGIAS DE INFORMACION Y COMUNICACION
251741169
 
PPTX
Reconocimiento-Automatico-de-Placas-Vehiculares-con-IA.pptx
BrianLadino1
 
PPTX
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
PPTX
Usuarios en la arquitectura de la información
dacytiia
 
DOCX
Guía 5. Test de orientación Vocacional 2[1] (Recuperado automáticamente).docx
jojhan232
 
Tema 1 Taller de tecnologia y proceso tecnologico.pptx
Justino Cat
 
Presentación final ingenieria de metodos
joaquinlpri
 
PRESENTACION El PODER DE LA MENTALIDAD.pptx
Albin Fumero
 
libro proyecto con scratch jr pdf en la e
sajomadistrito
 
Formato de texto, párrafo, documentos, columnas periodísticas, referencias.
victormontalvo19
 
Estrategia de apoyo valentina lopez/ 10-3
edepvalentinalopezca
 
Informee_APA_Microbittrabajoogrupal.docx
gonzalezzapataalexan
 
Distribucion de frecuencia exel (1).pdf
samuelcuaran
 
Inteligencia_Artificial,_Informática_Básica,_22_06_2025_SO_2.pdf
samuel460768
 
Guía 5. Test de orientación Vocacional 2 NICOL.docx
nicolportelajimenez
 
Todas las señales relativas a la seguridad en el trabajo están normalizadas, ...
Justino Cat
 
Trabajo de recuperación _20250821_191354_0000.pdf
edepsantiagoalfonso
 
CLASE PRACTICA-- SESION 6 -- FPW -- 04 11 23.pptx
AnthonyBE2
 
Diapositivas Borrador Rocha Jauregui David Paolo (3).pptx
DavidPaoloRochaJaure
 
Sistema de Gestión Integral TCA Ingenieros.pptx
DiegoChamorro42
 
TECNOLOGIAS DE INFORMACION Y COMUNICACION
251741169
 
Reconocimiento-Automatico-de-Placas-Vehiculares-con-IA.pptx
BrianLadino1
 
Uso responsable de la tecnología - EEST N°1
caromalacalza
 
Usuarios en la arquitectura de la información
dacytiia
 
Guía 5. Test de orientación Vocacional 2[1] (Recuperado automáticamente).docx
jojhan232
 

¿El fin de las contraseñas? La autenticación simple cada vez más amenazada

  • 1. ¿El fin de las contraseñas? André Goujon Especialista de Awareness & Research 22/03/2013 – version 1.1
  • 2. Contenido Introducción ................................................................................................................................................................................................................................................................................................................. 3 Robo de claves y malos hábitos .................................................................................................................................................................................................................................................................................... 3 Robo de contraseñas mediante ataques específicos: casos como Yahoo!, Twitter y LinkedIn ................................................................................................................................................................................ 4 Robo de contraseñas corporativas mediante códigos maliciosos ............................................................................................................................................................................................................................ 4 Robo de contraseñas mediante phishing .................................................................................................................................................................................................................................................................. 5 Las conductas inseguras del usuario ......................................................................................................................................................................................................................................................................... 6 Sistemas de autenticación ............................................................................................................................................................................................................................................................................................ 7 Factor de conocimiento (algo que sé)....................................................................................................................................................................................................................................................................... 7 Factor de posesión (algo que tengo) ........................................................................................................................................................................................................................................................................ 7 Factor de inherencia (algo que soy) .......................................................................................................................................................................................................................................................................... 7 Sistema de doble autenticación.................................................................................................................................................................................................................................................................................... 7 Activar doble autenticación en servicios ...................................................................................................................................................................................................................................................................... 8 Conclusión: ¿El fin de las contraseñas? ...................................................................................................................................................................................................................................................................... 10
  • 3. solicita el ingreso de un segundo mecanismo, como un código de ¿El fin de las contraseñas? identificación. Generalmente, este código se envía a un dispositivo del usuario, como un teléfono celular, para que luego, pueda ingresarlo para La autenticación simple cada vez más poder validarse en el equipo. En este sentido, y considerando que la doble amenazada autenticación es significativamente más segura que la simple, ¿se tratará del fin de las contraseñas tal y como se conocen en la actualidad? Introducción Robo de claves y malos Para evitar que otros puedan acceder a recursos privados, la protección de los mismos se convirtió en una conducta esencial de las personas y la hábitos sociedad. En este sentido, resulta interesante destacar que hace Como se mencionó en la introducción, el uso de la autenticación simple aproximadamente 4.000 años se inventó el primer sistema de cerradura otorga un cierto nivel de protección, sin embargo, a raíz del avance construido a partir de madera y, en la actualidad, es impensado que un tecnológico y el aumento en el interés de los atacantes por obtener automóvil, casa, tienda, oficina, etc. no posean algún sistema de información confidencial, las credenciales de acceso simples son cada vez protección que evite que un tercero no autorizado pueda acceder a ellos. menos efectivas para brindar un nivel de seguridad adecuado. Con los sistemas informáticos sucede algo similar. Tanto las personas como En primer lugar, y junto con el avance tecnológico de las CPU y GPU las empresas almacenan información importante y confidencial que de (Unidad de Procesamiento de Gráficos), vulnerar una contraseña a través caer en las manos equivocadas, podría resultar problemático. Por ello, el de ataques de fuerza bruta, es decir, aquellos que buscan inferir la uso de credenciales de acceso, como nombre de usuario y contraseña, son contraseña a través de diccionarios de datos, resulta considerablemente una parte fundamental de servicios como el correo electrónico, las redes más rápido y sencillo que hace algunos años. En este sentido, un clúster de sociales, y los recursos compartidos de red, entre otros. 25 GPU es capaz de descifrar contraseñas de ocho caracteres en cinco Por otro lado, y considerando que las credenciales de acceso protegen horas y media. Asimismo, si se aumenta el número de GPU, el tiempo datos relevantes, existen personas interesadas en vulnerar los sistemas necesario para descifrar una clave será incluso menor. Aunque para acceder a los recursos. Aunque el uso de un nombre de usuario y implementar contraseñas de diez o más caracteres dificulta que un contraseña por sí solo (sistema conocido como autenticación simple) atacante pueda obtener acceso, esto no siempre soluciona el problema de otorga una capa de protección considerable, es sabido que los forma satisfactoria. ciberdelincuentes cuentan con una amplia gama de herramientas capaces Este inconveniente se agrava aún más si se considera que existen otros de vulnerar claves. Es por ello que cada vez resulta más imprescindible la ataques informáticos capaces de vulnerar contraseñas. Casos de phishing, implementación de un sistema de doble autenticación. una amplia gama de códigos maliciosos, y otros ataques dirigidos La doble autenticación se trata de un sistema que además de requerir una específicamente en contra de empresas puntuales han demostrado autenticación simple, como por ejemplo, nombre de usuario y contraseña; empíricamente que la autenticación simple es cada vez más vulnerable.
  • 4. ¿El fin de las contraseñas? Robo de contraseñas mediante ataques específicos: Por ejemplo, impediría que los atacantes puedan acceder a las cuentas casos como Yahoo!, Twitter y LinkedIn debido a que desconocerían el segundo factor (por ej. PIN) para poder Uno de los primeros ataques que involucró el robo masivo de contraseñas identificarse en el sistema. fue el ocurrido con la famosa red laboral LinkedIn. El incidente tuvo como consecuencia el robo de 6.5 millones de claves de usuarios de esta red Robo de contraseñas corporativas mediante códigos social y la publicación de dicha información en un foro ruso. Por su parte, maliciosos los responsables de LinkedIn decidieron implementar una segunda capa de Actualmente, casi la totalidad de los códigos maliciosos están diseñados seguridad al momento de almacenar las contraseñas en los servidores, para robar algún tipo información, por lo tanto, prácticamente cualquier conocida como granos de sal, una técnica que permite agregar información servicio o recurso protegido por credenciales de acceso, podría ser aleatoria a las claves. Esta medida busca reforzar el algoritmo criptográfico vulnerado si el usuario inicia sesión en un sistema infectado. En estos SHA implementado por esta red social. casos es importante destacar que el robo de la contraseña ocurre en la Otro ataque similar fue el ocurrido en contra de Yahoo!; en este caso, un computadora de la persona y no en el entorno informático de la empresa grupo de atacantes denominados D33Ds Company lograron vulnerar proveedora del servicio. algunos sistemas de la empresa mediante una inyección SQL, con lo que Podemos tomar como ejemplo el caso de Dorkbot, un gusano que se consiguieron robar 450.000 credenciales. Ese mismo 12 de julio de 2012, propagó intensamente en América Latina, que reclutó al menos 80.000 se daba a conocer otro caso parecido en contra de Formspring, red social computadoras zombis en la región y logró robar más de 1.500 cuentas de preguntas y respuestas. En esa ocasión, los atacantes robaron 420.000 corporativas de correo electrónico. En otras palabras, los cibercriminales credenciales de acceso. Como medida cautelar, la empresa afectada responsables de este ataque tuvieron acceso total a la información decidió restablecer las contraseñas de todos sus usuarios (28 millones en almacenada en mensajes y archivos adjuntos. Esto representa un serio aquel momento) y afirmó haber resuelto la vulnerabilidad que habría problema para el funcionamiento de la red corporativa, el consiguiente permitido el ingreso de los atacantes. deterioro de la imagen del negocio y el robo de datos confidenciales. Un ataque más reciente es el que sufrió Twitter, donde se vulneraron las Dorkbot es una amenaza que posee un campo amplio de acción, es decir, cuentas de 250,000 usuarios. Aunque la empresa afectada no concedió casi cualquier usuario que se infecte es de utilidad para el cibercriminal. más detalles sobre el incidente, les recomendó a los usuarios desactivar el Asimismo, mientras más personas resulten afectadas por este malware, plugin de Java como medida de precaución. Este incidente se suma a otro mejor será para el atacante. Por otro lado, existen algunos códigos en donde la misma red social, tuvo que realizar un restablecimiento maliciosos dirigidos y específicos. Se trata de amenazas desarrolladas para masivo de cuentas debido a una posible brecha de seguridad. atacar a un blanco mucho más reducido como una empresa en particular o A pesar de que adoptar las medidas necesarias para almacenar incluso un país determinado. Los atacantes buscan afectar solo al grupo contraseñas de forma segura, como el cifrado mediante bcrypt o SHA y objetivo y cualquier víctima adicional podría contribuir a que la amenaza granos de sal, son esenciales para prevenir estos ataques, la sea descubierta con mayor celeridad, por lo tanto, tienden a evitar tal implementación de un sistema de doble autenticación permite mitigarlos situación. El peligro de estos ataques radica en la dificultad para considerablemente. detectarlos y en la cantidad de información que pueden llegar a robar. Como se puede apreciar, los ciberdelincuentes harán todo lo posible para
  • 5. ¿El fin de las contraseñas? robar información, ya sea a través de códigos maliciosos destinados a múltiples objetivos, o mediante malware diseñado para atacar a blancos más específicos. En esta línea, un sistema de doble autenticación permitiría otorgar una capa de protección adicional al evitar que los ciberdelincuentes puedan acceder directamente al correo electrónico y otros servicios protegidos por usuario y contraseña. Robo de contraseñas mediante phishing El phishing es otro ataque informático que utilizan los cibercriminales para obtener credenciales de acceso de servicios bancarios, redes sociales, correo electrónico, entre otros. Se trata de una modalidad de fraude electrónico en la que el ciberdelincuente suplanta a una entidad para solicitarle a la víctima datos sensibles como nombres de usuarios, contraseñas, tarjetas de crédito, de coordenadas, etc. De acuerdo a una encuesta realizada por ESET Latinoamérica, los servicios más suplantados por los cibercriminales a través del phishing son el webmail (correo Tal como se puede apreciar, el sitio fraudulento luce idéntico al genuino de electrónico en línea) con 46%, redes sociales con 45%, y bancos 44%. Twitter. Además, se le informa falsamente a la potencial víctima que A continuación se muestra la captura de un ataque de phishing que logró ingrese sus credenciales de acceso debido a que la sesión habría expirado. robar 31.000 cuentas de Twitter: A diferencia de los códigos maliciosos, en el phishing es el propio usuario quien, una vez que ha sido engañado, facilita la información a los atacantes. En este caso un sistema de doble autenticación impediría que los cibercriminales accedan a la cuenta debido a que no conocerían el código numérico necesario para ingresar. De acuerdo a la misma encuesta llevada a cabo por ESET Latinoamérica, los datos más solicitados por los cibercriminales son los nombres de usuario y contraseñas con el 81% de las preferencias. Considerablemente más atrás quedan los token (dispositivos físicos que generan números de acuerdo a un patrón) con un 9%. Este porcentaje demuestra que los ciberdelincuentes no están interesados en obtener este tipo de información debido a que el código generado por un sistema de doble autenticación tiene una validez limitada y cambia constantemente. Este aspecto resulta fundamental para dificultar que un tercero pueda acceder a un servicio protegido por un sistema de estas características.
  • 6. ¿El fin de las contraseñas? Las conductas inseguras del usuario Problema Impacto En las secciones anteriores se mencionaron ataques capaces de vulnerar Uso de una contraseña única Facilita el acceso de un atacante a varios servicios sistemas de autenticación simple, sin embargo, existen otros aspectos más allá de las amenazas informáticas que pueden facilitar el acceso de un para varios servicios: y recursos con tan solo robar una única clave. tercero a información confidencial. Frente a determinados ataques, una Contraseñas idénticas para Facilita el acceso de un atacante tanto a las contraseña de una longitud de diez o más caracteres puede proporcionar un nivel de seguridad extra, no obstante, esta situación también provoca uso personal y laboral: cuentas personales de la víctima como a los comportamientos inadecuados por parte de los usuarios. Muchas personas recursos corporativos. suelen utilizar una contraseña única para todos los servicios, lo que facilita considerablemente que un atacante pueda acceder a todos los recursos Uso de contraseñas cortas: Cualquier contraseña que posea menos de diez protegidos con esa clave. A continuación, se expone una tabla con los cinco caracteres posibilita que un tercero pueda problemas más recurrentes con respecto a las contraseñas y los usuarios: vulnerarla a través de ataques de fuerza bruta. Utilización de contraseñas Para evitar el olvido de las claves, algunos fáciles de adivinar: usuarios implementan contraseñas fáciles de adivinar como palabras típicas, secuencias numéricas (12345, 54321, 0000, etc.), fechas, etc. Tal situación aumenta considerablemente la posibilidad que un tercero pueda descifrar la clave. Contraseñas anotadas en Para evitar el olvido de las claves, algunos papeles o documentos: usuarios escriben las credenciales de acceso en el teléfono, en un documento, en hojas, etc. Cualquier persona que tenga acceso al lugar en donde se encuentre escrita la contraseña podrá acceder a los recursos protegidos. Tabla 1 Comportamientos inseguros de los usuarios con las contraseñas. Si bien al evitar estas situaciones se puede lograr un nivel de seguridad superior, un sistema de doble autenticación permitiría aumentar incluso más el grado de protección disponible.
  • 7. ¿El fin de las contraseñas? Sistemas de autenticación Sistema de doble Los sistemas de autentificación son todos aquellos métodos diseñados para verificar la identidad de un usuario con el objetivo de otorgarle acceso autenticación a un recurso protegido según corresponda. Siempre requieren del uso de Los sistemas de doble autenticación, son aquellos que requiere del ingreso al menos un factor de autenticación para poder reconocer a la persona. de dos de los tres factores de autenticación para poder identificar y En este sentido, la autenticación simple a través de nombre de usuario y permitir el acceso de un usuario a un recurso o servicio. A diferencia de la contraseña es uno de los métodos de protección más utilizados en la autenticación simple busca evitar que un atacante pueda adulterar y actualidad, sin embargo, al requerir un solo factor de autenticación, se suplantar su identidad ingresando credenciales robadas. convierte en un procedimiento significativamente más vulnerable. A En los siguientes esquemas se puede apreciar la diferencia con mayor continuación, se explica en qué consiste cada factor: nitidez: Ilustración 1 Sistema de autenticación simple Factor de conocimiento (algo que sé) Se trata de algo que el usuario sabe y conoce. Por ejemplo: contraseñas, números PIN, patrones, secuencia, etc. Usuario ingresa credenciales de Sistema valida credenciales y permite Factor de posesión (algo que tengo) acceso. acceso. Es algo que el usuario posee como un teléfono inteligente, un token, (Factor conocimiento) tarjeta ATM, etc. Estos dispositivos suelen utilizarse para el envío de códigos que sirven para identificar al usuario en un sistema. Factor de inherencia (algo que soy) Se trata de rasgos conductuales y físicos intrínsecos al ser humano y que permiten identificarlo unívocamente a través de la biometría. Las huellas dactilares, el iris, el rostro y la retina son algunos ejemplos.
  • 8. ¿El fin de las contraseñas? Ilustración 2 Sistema de doble autenticación expuestas anteriormente permiten mitigar el riesgo de que un cibercriminal emplee malware para vulnerar un sistema de este tipo. Usuario ingresa credenciales de acceso. Sistema valida credenciales y envía Activar doble autenticación en código al usuario. (Factor conocimiento) servicios Ciertos servicios de correo electrónico, redes sociales y otros, implementan sistemas de doble autenticación para resguardar la seguridad de los usuarios, sin embargo, dicha opción por lo general, se encuentra El usuario recibe desactivada de forma predeterminada. En la siguiente tabla, se exponen Sistema valida código código en otro los servicios que implementan doble autenticación y se detallan las de autenticación y dispositivo y lo ingresa. instrucciones para poder activar esta característica: permite acceso. (Factor posesión) En la mayoría de los casos, los sistemas de doble autenticación utilizan códigos numéricos como segundo factor de comprobación. El objetivo es que el usuario reciba dichos dígitos en algún dispositivo que tenga en su poder como un teléfono inteligente o un token. Posteriormente, deberá ingresar ese número para poder iniciar la sesión. A continuación, se detallan las características más relevantes de estos códigos:  El código que recibe el usuario en su dispositivo podrá ser utilizado solo una vez (OTP – One-time password). Esto garantiza un mayor nivel de seguridad al evitar que dicho número pueda reutilizarse por parte de terceros.  El código expira transcurrido un tiempo determinado.  El código cambia aleatoriamente cada vez que el usuario necesita ingresar al servicio o recurso. Aunque existen algunos códigos maliciosos para teléfonos inteligentes que son capaces de robar el segundo factor de autenticación, las características
  • 9. ¿El fin de las contraseñas? Servicio Instrucciones Tabla 2 Instrucciones para activar doble autenticación en servicios.
  • 10. ¿El fin de las contraseñas? que la cantidad de combinaciones numéricas es ampliamente mayor y no Conclusión: ¿El fin de las pueden visualizarse de una sola vez. Independientemente de la implementación de estos mecanismos y otras contraseñas? formas de protección, el factor educativo resulta fundamental para poder A lo largo de este artículo se han expuesto y explicado las diversas razones prevenir ataques. Un entorno informático protegido adecuadamente no es que demuestran que la autenticación simple no es un método lo solo aquel que implementa la mejor tecnología disponible en el mercado, suficientemente robusto para proteger adecuadamente un recurso o sino el que también considera la educación de los usuarios como parte servicio. Entre los casos más relevantes que tienden a vulnerarlo fundamental en el proceso de protección. rápidamente se pueden encontrar: códigos maliciosos que roban credenciales de acceso, ataques específicos en contra de empresas, casos de phishing y las conductas inseguras que algunos usuarios adoptan con respecto al manejo de claves. En vista de todos los aspectos mencionados anteriormente, resulta imperioso implementar un sistema de doble autenticación, sin embargo, esto no implica que las credenciales de acceso como nombre de usuario y contraseña dejen de utilizarse. Por el contrario, formarán parte integral de un sistema de doble autenticación. Cabe destacar que, algunos sitios como Facebook, Google, Gmail, Dropbox, entre otros, ya cuentan con estos mecanismos. Por otro lado, algunas entidades bancarias también han implementado este tipo de sistemas en reemplazo de la tarjeta de coordenadas, ya que si bien otorga mayor seguridad, posee una cantidad limitada de combinaciones. En este sentido, en el Laboratorio de Investigación de ESET Latinoamérica se han observado ataques de phishing en donde los atacantes les solicitaron a las víctimas todos los números de las tarjetas de coordenadas como parte del fraude. Si la persona envía dicha información, la seguridad adicional que otorga este sistema se ve completamente comprometida. Casos como el phishing que afecto a un importante banco de Panamá y otro dirigido a usuarios brasileños demuestran fehacientemente que los cibercriminales solicitan estos datos para obtener rédito económico. Un sistema de doble autenticación es considerablemente más difícil de vulnerar debido, entre otros motivos, a