Los usuarios no cambian las contraseñas ni siquiera después de las fugas de datos.
Last Updated on junio 10, 2022 by Daniel Cepeda
Los investigadores de la Universidad Carnegie Mellon han calculado que sólo un tercio de los usuarios cambian sus contraseñas después de que los datos se ven comprometidos. Es interesante que este informe, presentado como parte del Taller de Tecnología y Protección al Consumidor del IEEE 2020, no se basa en datos de encuestas, sino en el tráfico real de los navegadores.
Los expertos estudiaron el tráfico real recogido a través del Observatorio del Comportamiento de Seguridad de la Universidad, un grupo de investigación en el que los usuarios se unen voluntariamente y comparten el historial completo del navegador para la investigación académica.
Por ejemplo, 249 participantes en el experimento reunieron datos para este análisis en sus computadoras personales entre enero de 2017 y diciembre de 2018.
La información incluía no sólo el tráfico de la web, sino también las contraseñas almacenadas en el navegador.
A los usuarios no les gusta cambiar sus contraseñas
De los 249 usuarios, resultó que sólo 63 tenían cuentas en los distintos dominios comprometidos (sólo se contabilizaron las empresas que anunciaron públicamente un pirateo y una violación de datos).
De esos 63 usuarios, sólo 21 (33%) habían visitado los sitios comprometidos para cambiar sus contraseñas, y de esos 21 usuarios, sólo 15 habían cambiado sus contraseñas en los tres meses siguientes al anuncio del compromiso.
Un total de 23 contraseñas fueron cambiadas en los dominios mencionados. Por ejemplo, sólo 18 usuarios de Yahoo! figuraban entre los que cambiaron sus contraseñas; otros 31 usuarios de Yahoo! (de un total de 49) no cambiaron sus contraseñas, aunque todos se vieron afectados por la fuga de datos.
Otros 2 usuarios cambiaron sus contraseñas de Yahoo! dos veces, una después de cada informe de compromiso. 2 usuarios cambiaron sus contraseñas en el dominio comprometido en el mes siguiente al compromiso reportado, 5 personas cambiaron sus contraseñas después de dos meses y 8 personas después de tres meses.
Dado que, entre otras cosas, los investigadores recogieron datos sobre las contraseñas de los participantes en el experimento, el equipo pudo analizar la complejidad de sus nuevas contraseñas.
Entre los usuarios que cambiaron sus contraseñas (21 personas en total), sólo un tercio (9 personas) cambió sus contraseñas por otras más seguras. El resto de los miembros del grupo de control se encontraron con contraseñas más débiles o de similar fuerza.
Por lo general, las nuevas contraseñas se creaban ya sea reutilizando las secuencias de caracteres de una contraseña anterior, o simplemente se cambiaba la contraseña por otra que ya se utilizaba para otras cuentas y que también se almacenaba en el navegador.
Cambiar sus contraseñas más a menudo y utilizar los administradores de contraseñas ayudará a mantener su seguridad en el nivel adecuado.
Los investigadores sostienen que gran parte de la culpa de lo sucedido recae en los propios servicios comprometidos, ya que éstos “casi nunca explican a la gente que todavía tienen que restablecer contraseñas similares e idénticas para otras cuentas”.
Anteriormente
