Todos los días, protegemos a las personas de cientos de miles de intentos de secuestro de cuenta.
La mayoría de los ataques provienen de bots automatizados con acceso a filtraciones de contraseñas por parte de terceros, pero también vemos ataques dirigidos y de phishing. A principios de este año, sugerimos cómo con
tan solo seguir cinco pasos simples, como agregar un número de teléfono de recuperación, puedes mantenerte seguro, pero queríamos demostrarlo en la práctica.
Nos asociamos con investigadores de la Universidad de Nueva York y la Universidad de California en San Diego para averiguar qué tan efectivo es el cuidado básico de la seguridad de la cuenta para prevenir el secuestro de cuenta. El estudio de un año de duración, sobre
ataques a gran escala y
ataques dirigidos, se presentará esta semana en una reunión de expertos, legisladores y usuarios llamada
The Web Conference.
Nuestra investigación mostró que el simple hecho de agregar un número de teléfono de recuperación a tu cuenta de Google puede bloquear hasta el 100% de los robots automatizados, el 99% de los ataques masivos de phishing y el 66% de los ataques dirigidos que ocurrieron durante nuestra investigación.
Protección automática y proactiva contra el secuestro de cuenta de GoogleProporcionamos una capa de seguridad automática y proactiva para proteger mejor a todos nuestros usuarios contra el secuestro de cuenta. Así es como funciona: si detectamos un intento de inicio de sesión sospechoso (por ejemplo, desde una nueva ubicación o dispositivo), te pediremos una prueba adicional para verificar que realmente eres tú. Esta prueba podría ser el acceso a un teléfono de confianza o información secreta que, idealmente, sólo tú conoces.
Si has configurado un número de teléfono de recuperación, podemos recrear la misma experiencia de la
verificación en dos pasos sin ninguna configuración previa a través de verificaciones desde un dispositivo. Descubrimos que un código SMS enviado a un número de teléfono de recuperación ayudó a bloquear el 100% de los bots automatizados, el 96% de los ataques de phishing y el 76% de los ataques dirigidos. Los
mensajes de verificación en el dispositivo ayudaron a prevenir el 100% de los bots automatizados, el 99% de los ataques de phishing y el 90% de los ataques dirigidos.
Si no tienes un número de teléfono de recuperación establecido, entonces tenemos que recurrir a las verificaciones más débiles basadas en información, como recordar tu última ubicación de inicio de sesión. Esta es una defensa efectiva contra los bots, pero las tasas de protección para el phishing pueden bajar hasta un 10%. La misma vulnerabilidad existe para los ataques dirigidos. Esto se debe a que las páginas de phishing y los atacantes dirigidos pueden engañarte para que reveles cualquier información adicional que podamos solicitar.
Debido a los beneficios de seguridad de las verificaciones, uno podría preguntarse por qué no las requerimos para todos los inicios de sesión. La respuesta es que las verificaciones introducen fricciones adicionales y aumentan el riesgo de bloqueo de cuenta. En un experimento, el 38% de los usuarios, no pudo acceder a su teléfono cuando se les solicitó verificar su identidad. Otro 14% de los usuarios no pudo recordar su dirección de correo electrónico secundaria.
Si pierdes el acceso a tu teléfono o no puedes realizar una verificación, siempre puedes regresar a un dispositivo de confianza en el que hayas iniciado sesión anteriormente para obtener acceso a tu cuenta.
Profundizando sobre los ataques de "hackeo a sueldo"Mientras que la mayoría de los bots y ataques de phishing son bloqueados por nuestras protecciones automáticas, los ataques dirigidos son más perjudiciales. Como parte de nuestros esfuerzos continuos para
monitorear las amenazas de secuestro de cuenta, hemos estado investigando los grupos criminales emergentes de "hackeo a sueldo" que pretenden ingresar a una cuenta en particular a cambio de un pago del orden de los $750 dólares. Estos atacantes a menudo se basan en correos electrónicos de phishing en los que se hacen pasar por miembros de la familia, colegas, funcionarios del gobierno o incluso Google. Si el objetivo no cae en el primer intento de phishing, los ataques de seguimiento persisten durante más de un mes.
Ejemplo de ataque de phishing de un "intermediario" que verifica la validez de la contraseña en tiempo real. Posteriormente, la página solicita a las víctimas que revelen los códigos de autenticación de SMS para acceder a la cuenta de la víctima.
Estimamos que sólo uno en un millón de usuarios enfrentan este nivel de riesgo. Sin embargo, los atacantes no se dirigen a individuos aleatorios. Si bien la investigación muestra que nuestras protecciones automáticas pueden ayudar a retrasar e incluso prevenir hasta el 66% de los ataques dirigidos que analizamos, aún así recomendamos que los usuarios de alto riesgo se inscriban en nuestro
Programa de Protección Avanzada. De hecho, ningún usuario con claves de seguridad fue víctima de phishing dirigido durante nuestra investigación.
Tómate un momento para ayudar a mantener tu cuenta segura Del mismo modo en que no olvidas colocarte el cinturón de seguridad en el auto, tómate un momento para
seguir nuestros cinco consejos para ayudar a mantener tu cuenta segura. Como muestra la investigación, una de las cosas más efectivas que puedes hacer para proteger tu cuenta de Google es configurar un número de teléfono de recuperación. Para usuarios de alto riesgo, como periodistas, activistas, líderes empresariales y equipos de campañas políticas, nuestro
Programa de Protección Avanzada proporciona el nivel de seguridad más alto. También puedes ayudar a proteger tus cuentas que no son de Google de filtraciones de contraseñas por parte de terceros instalando la
extensión Password Checkup para Chrome.
Publicado por Kurt Thomas and Angelika Moscicki
Follow