La semana pasada, un nuevo estudio de Google confirmó lo obvio: los usuarios de Internet no deberían usar la misma contraseña para todo a menos que estén interesados en que les roben sus datos, su identidad o, algo peor.



Al parecer, no pasa ni un día sin que alguna empresa importante sea hackeada o deje las direcciones de correo electrónico y las contraseñas de los usuarios expuestas al Internet público. Luego, los hackers utilizan estas credenciales de inicio de sesión para robarse tus cuentas, una amenaza que se mitiga en gran medida mediante el uso de un administrador de contraseñas y una contraseña única para cada sitio que visitas.



Sitios como ¿have I been pwned?” puede ayudar a los usuarios a rastrear si sus datos han sido expuestos y si necesitan preocuparse por sus datos circulando en la dark web. Pero sigue siendo un proceso confuso para muchos usuarios que no saben cuáles son las contraseñas que deben actualizar.

Con ese fin, en febrero del año pasado Google presentó una nueva extensión experimental de verificación de contraseña para Chrome. La extensión te advierte cada vez que inicias sesión en un sitio web utilizando uno de los más de 4 mil millones de nombres de usuario y contraseñas de acceso público que han sido expuestos previamente por un hacker o un incumplimiento, y solicita que cambies tu contraseña cuando sea necesario.



La extensión fue construida en colaboración con expertos en criptografía de la Universidad de Stanford para garantizar que Google nunca extraiga tus nombres de usuario o contraseñas, dice la compañía en una explicación.



Los datos de telemetría anónimos obtenidos de la extensión le han proporcionado a Google información interesante sobre qué tan frecuente es la práctica del secuestro de cuentas y contraseñas. El estudio completo de la compañía, disponible aquí, se presentó la semana pasada como parte del USENIX Security Symposium en Santa Clara, California.



“Desde nuestro lanzamiento, más de 650.000 personas han participado en nuestro primer experimento”, le dijo Google a Motherboard en un comunicado. “Solo en el primer mes, escaneamos 21 millones de nombres de usuario y contraseñas y marcamos a más de 316.000 como inseguros: 1,5% de los registros escaneados por la extensión”.

Los usuarios optaron por ignorar el 81.368, o el 25,7 por ciento, de las advertencias de incumplimiento presentadas a los usuarios, según el estudio. Los investigadores supusieron que esto podría deberse al hecho de que los usuarios se confunden con el proceso de advertencia y reinicio, creen que un reinicio no vale la pena o no están completamente a cargo de la cuenta afectada.



El estudio también encontró que, si bien los usuarios con frecuencia recuerdan cambiar las contraseñas de los sitios principales, tienen dos veces y media más probabilidades de reutilizar contraseñas vulnerables en cualquier otro lugar, dejándolas expuestas al secuestro de cuentas. Un estudio anterior de Google descubrió que al 15 por ciento de los usuarios de Internet le han hackeado sus cuentas de correo electrónico o redes sociales.

Este último estudio descubrió que el riesgo de ser hackeado era mayor para las páginas pornográficas, donde entre 3,6 y 6,3 por ciento de los inicios de sesión dependían de credenciales hackeadas. Ese número fue mucho menor para los sitios financieros y gubernamentales, donde solo el 0,2-0,3 por ciento de los inicios de sesión involucraron información de inicio de sesión en peligro, encontró Google.



Google dice que es esperanzador que el acceso seguro, centralizado y democratizado a las alertas de hackeo de contraseñas ayude a que los usuarios de Internet –que de otra forma estarían desprevenidos– actualicen sus contraseñas.

En conjunto con el estudio, Google dice que está lanzando dos features nuevos para la extensión Password Checkup, incluida la posibilidad de que los usuarios envíen comentarios si tienen algún problema con la herramienta, así como optar por no recibir datos de telemetría que la extensión recopila, incluido el número de alertas que recibe un usuario y si solicitó un cambio de contraseña.

Google también dice que está trabajando en formas de llevar la misma tecnología a los productos de Google.



“La gente escucha noticias sobre hackeos todo el tiempo (desafortunadamente) e imagino que se sienten un poco indefensos porque ni siquiera saben si a ellos también les podría afectar; ojalá sea una manera de tranquilizarlos”, le dijo un representante de la compañía a Motherboard.