¿Está su cuenta en riesgo?
Imágenes falsas
La contraseña utilizada para proteger su cuenta ahora es un riesgo importante, advierte Microsoft, ya sea por sí sola o incluso con autenticación de dos factores, como códigos SMS. Dejar de utilizar esta seguridad «heredada» «para que no se convierta en una puerta trasera para los ciberatacantes».
El Día Mundial de la Clave de Acceso de este año «es una oportunidad para reflexionar sobre el progreso hacia un objetivo compartido: reducir nuestra dependencia de las contraseñas y otros métodos de autenticación phishing mediante la aceleración de la adopción de claves de acceso».
Hace unos años, el principal mensaje de seguridad de Microsoft era que los usuarios adoptaran la autenticación de dos o múltiples factores, que, según decía, defendería contra el 99% de los ataques y robos de contraseñas. Pero desde entonces hemos tenido una amplia variedad de compromisos 2FA y MFA, especialmente cuando se utilizan códigos SMS tradicionales.
Ahora se trata de claves de acceso, que «utilizan una clave privada almacenada de forma segura en el dispositivo del usuario y sólo funcionan en el sitio web o la aplicación para la que el usuario la creó, y sólo si ese mismo usuario la desbloquea con sus datos biométricos o PIN».
Microsoft ha sido constante al advertir que la protección adicional de las claves de acceso no tiene sentido si las contraseñas y las formas débiles de 2FA/MFA permanecen en las cuentas. Eso significa eliminar contraseñas de más de mil millones de cuentas de usuarios.
Este consejo es ahora más acertado gracias a la IA. «Las campañas impulsadas por IA generan tasas de clics de hasta el 54%», dice Microsoft. Eso es aterrador. Uno de cada dos destinatarios de ataques de phishing elaborados por IA es engañado por el señuelo inicial.
Hay más de 5 mil millones de claves de acceso, dice FIDO, impulsadas por Microsoft, Google, Amazon y otros. «En todos los servicios al consumidor de Microsoft, incluidos OneDrive, Xbox y Copilot, cientos de millones de usuarios inician sesión con claves de acceso todos los días».
Más del 99% de los usuarios de Microsoft ahora tienen acceso a autenticación “resistente al phishing”, lo que básicamente significa claves de acceso y erradicación de opciones de respaldo que aún pueden ser objeto de phishing o comprometidas. «La recuperación de cuentas también desempeña un papel fundamental en el mantenimiento de la integridad de los sistemas de identidad».
Pero todavía hay muchas más contraseñas de las que se han eliminado. «Reforzar la autenticación es importante», afirma Microsoft, «pero reducir el riesgo significa eliminar por completo las credenciales susceptibles de phishing. Microsoft continúa eliminando los métodos heredados y haciendo que los usuarios adopten una autenticación resistente al phishing».
Erradicar las contraseñas «reduce la superficie de ataque», lo cual «es cada vez más urgente a medida que los agentes de IA actúan en nombre de los usuarios. Si una identidad se ve comprometida, los ciberatacantes pueden aprovechar esos agentes para acceder a los sistemas, ejecutar flujos de trabajo y operar dentro de los permisos existentes. Las organizaciones deben abordar este riesgo rápidamente».
