GhostPairing: una estafa secuestra cuentas de #WhatsApp sin robar #contraseñas ni duplicar la SIM

https://unaaldia.hispasec.com/2026/01/ghostpairing-una-estafa-secuestra-cuentas-de-whatsapp-sin-robar-contrasenas-ni-duplicar-la-sim.html?utm_source=rss&amp

123456 sigue siendo la contraseña más usada en 2025

Utilizar una credencial predecible en el mundo digital, advierte ESET, es como cerrar la puerta de la casa con una traba de papel, o como tener una caja fuerte de última generación, pero que al lado tenga un post-it con la clave de acceso. Este mal hábito está presente ya desde hace varios años y vuelve a confirmarse en informes recientes: 123456 es ser la contraseña más usada en 2025, lo que pone en serio riesgo la integridad de los datos e información sensible de las personas, trasciende las generaciones y no pasa de moda (Fuente ESET Latam).

A continuación, desde ESET Latinoamérica comparten las contraseñas más usadas por los usuarios según su generación (Z, X, millennials y baby boomers), el detalle de diversos países de Latinoamérica, como también las contraseñas corporativas más comunes, y las consecuencias de este mal hábito digital.

Un informe reciente de NordPass y otro de Comparitech destacan que 123456 fue la contraseña más utilizada en 2025, y el 25% de las 1.000 contraseñas principales consisten únicamente en números. Lo que deja en evidencia que lass personas optan por credenciales simples y hasta obvias, en detrimento de la seguridad de su información personal y sensible.

“Una de las principales conclusiones que se desprenden de uno de los reportes es que la costumbre de usar contraseñas débiles y predecibles trasciende las generaciones. No importa el rango etario de las personas: en cada una de las categorías 123456 está en el top de las claves más elegidas para acceder a cuentas, servicios y plataformas online. Es decir, un nativo digital que la mayor parte de su vida trascurrió en el mundo online, adopta la misma práctica riesgosa y poco prudente que una persona de 70 años, con, tal vez, menos conocimientos o que usa el celular solo para hablar por teléfono o mensajear.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

A continuación, el detalle sobre la utilización de contraseñas según grupo etario:

Generación Z (1997-2007)

Millennials (1981-1996)

Generación X (1965-1980)

Baby boomers (1946-1964)

En lo que respecta a América Latina, el panorama es un poco más preocupante, ya que, a la falta de conciencia sobre la seguridad digital y el uso poco consciente de contraseñas, se le suma el auge de ciberamenazas en la región. “Usar contraseñas débiles compromete la seguridad individual, pero también contribuye a la vulnerabilidad general de la región frente a posibles ataques.”, agrega Gutiérrez Amaya de ESET.

En lo que respecta al ámbito corporativo, el panorama también preocupa. La criticidad de utilizar contraseñas débiles y/o predecibles en un ámbito empresarial es mucha, ya que no solo se puede poner en jaque información personal y sensible de cada usuario, sino también de la propia empresa, sus clientes y proveedores. Además, según ESET, puede significar la pérdida importante de dinero como de la reputación de la organización.

Pero más allá de todas estas alarmas, las contraseñas débiles siguen siendo una constante en las organizaciones. A continuación, se muestra el detalle de empresas de diferentes tamaños y de diversas industrias, como salud, finanzas, educación y tecnología:

“No es para generar alarmismo, pero sí para tomar conciencia: un cibercriminal, con las herramientas y conocimientos adecuados, tarda menos de un segundo en adivinar y vulnerar cualquiera de las claves que figuran en este top. Además, las tres contraseñas más utilizadas en corporaciones no solo que están compuestas simplemente por números, sino que suelen encabezar este tipo de listas año tras año. No llama la atención entonces el dato que aporta Verizon, que indica que el 70 % de las filtraciones de datos en las empresas se debe al uso de contraseñas débiles por parte de los colaboradores.”, agrega el investigador de ESET.

Un ejemplo reconocido del mundo, es el Louvre de París, lugar en el que se pensaría que tamaña riqueza cultural estaría protegida con las medidas más estrictas y potentes de seguridad. Pero, en octubre de este año, el sistema de seguridad del prestigioso museo fue vulnerado por una circunstancia tan grave como preocupante: la contraseña era Louvre. Como resultado se comprometió toda la red de seguridad y permitió el robo de joyas valuadas en más de 100 millones de dólares.

“Este caso de trascendencia internacional muestra que hasta el sistema más sofisticado de seguridad (cámaras, alarmas, puertas blindadas), puede ser vulnerado fácilmente gracias a una contraseña débil o muy obvia.”, destacan desde ESET.

Para evitar contraseñas débiles o previsibles, ll paso más simple es usar un Generador de Contraseñas, una solución práctica y gratuita que ayuda a crear contraseñas seguras y robustas, esenciales para proteger las cuentas y los datos personales.

Ahora bien, si se desea crear contraseñas propias personalizadas, desde ESET comparten un par de consejos:

• Longitud: las contraseñas más largas proporcionan una barrera que es más difícil de penetrar para los ataques de fuerza bruta. Lo recomendable es que tengan al menos 12 caracteres, pero mientras más larga es aún más segura.
• Complejidad: debe incluir variedad de caracteres (mayúsculas, minúsculas, números y símbolos especiales). Esto aumenta exponencialmente el número de combinaciones posibles, haciendo que la contraseña sea mucho más difícil de adivinar.
• Aleatoriedad: evita patrones predecibles o secuencias obvias, como palabras comunes, nombres de personas, fechas de nacimiento o cadenas como “123456”.
• Diversidad: no uses la misma contraseña para varias cuentas, porque si una contraseña se ve comprometida en una cuenta, todas las demás que comparten esa contraseña son vulnerables.

#ciberseguridad #claves #contraseñaMásUsada #contraseñas #eset #PORTADA

Unos investigadores recurrieron a la #ciencia para hallar la mejor forma de crear #contraseñas seguras. Estas fueron sus conclusiones

https://www.genbeta.com/seguridad/unos-investigadores-recurrieron-a-ciencia-para-hallar-mejor-forma-crear-contrasenas-seguras-estas-fueron-sus-conclusiones

El clásico que nadie suelta: 123456 es la contraseña más usada en 2025

El clásico que nadie suelta: 123456 es la contraseña más usada en 2025
San José, 11 dic (elmundo.cr) – Utilizar una credencial predecible en el mundo digital, advierte ESET, compañía líder en detección proactiva de amenazas, es como cerrar la puerta de la casa con una traba de papel, o como tener una caja fuerte de última generació [...]

#123456 #Ciberseguridad #CienciaYTecnología #Contraseñas #ESET

https://elmundo.cr/cienciaytecnologia/el-clasico-que-nadie-suelta-123456-es-la-contrasena-mas-usada-en-2025/

#Ciberseguridad – 6 problemas de seguridad de los gestores de contraseñas

Según un estudio de 2024, en promedio un usuario de internet tiene unas 168 contraseñas para sus cuentas personales, un aumento del 68% con respecto a cuatro años antes. Dados los riesgos de seguridad asociados a compartir credenciales entre cuentas y al uso de contraseñas fáciles de adivinar, la mayoría de los usuarios utilizan gestores de contraseñas que permiten almacenar y recordar contraseñas largas, seguras y únicas para cada una de las cuentas en línea. En este contexto, ESET, advierte que los mismos se han convertido en un objetivo popular para los ciberdelincuentes y comparte seis riesgos potenciales y algunas ideas para mitigarlos (Fuente ESET Latam).

Con acceso a las credenciales almacenadas en un gestor de contraseñas, los actores de amenazas podrían secuestrar sus cuentas para cometer fraude de identidad, o vender accesos/contraseñas a otros. Por eso siempre están buscando nuevas formas de atacar.

ESET comparte 6 problemas a los que prestar atención especialmente:

1. Compromiso de la contraseña maestra: Si los ciberdelincuentes consiguen hacerse de esa contraseña maestra, obtendrán un acceso total a la cuenta. Por ejemplo, pueden obtenerla mediante un ataque de “fuerza bruta” en el que utilizan herramientas automatizadas para probar diferentes contraseñas repetidamente, a través de la explotación de vulnerabilidades del software de gestión de contraseñas, o vía páginas de phishing con las que engañan a los usuarios para que entreguen su información.

2. Anuncios de phishing/estafa: Los actores de amenazas publican anuncios maliciosos en búsquedas de Google diseñados para atraer a las víctimas a sitios falsos que recopilan su dirección de correo electrónico, contraseña maestra y clave secreta. Estos anuncios parecen legítimos, y enlazan a páginas falsas con dominios que intentan falsificar a la auténtica Por ejemplo, un dominio puede ser “the1password[.]com” en lugar del original “1password.com, o “appbitwarden[.com” en lugar de “bitwarden.com”. Al hacer clic en una página de este tipo, se accede a una página de inicio de sesión de aspecto legítimo diseñada para robar todos los inicios de sesión importantes del gestor de contraseñas.

3. Malware para robar contraseñas: En el ingenio que aplican los ciberdelincuentes, algunos han desarrollado malware para robar credenciales de los gestores de contraseñas de las víctimas. Por ejemplo, el equipo de investigación de ESET descubrió recientemente un intento de este tipo por parte de una campaña patrocinada por el estado norcoreano apodada DeceptiveDevelopment, el malware InvisibleFerret que incluía un comando backdoor capaz de filtrar datos tanto de extensiones de navegador como de gestores de contraseñas a través de Telegram y FTP. Entre los gestores de contraseñas atacados se encontraban 1Password y Dashlane. En este caso, el malware estaba oculto en archivos descargados por la víctima como parte de un elaborado proceso de falsa entrevista de trabajo. Pero no hay razón por la que un código malicioso con propiedades similares no pueda propagarse de otras formas, como por correo electrónico, mensajes de texto o redes sociales.

4. La brecha de un proveedor de gestores de contraseñas: Los proveedores de gestores de contraseñas saben que son uno de los principales objetivos de las amenazas. Por eso dedican mucho tiempo y recursos a hacer que sus entornos informáticos sean lo más seguros posible. En 2022, ladrones digitales comprometieron el equipo de un ingeniero de LastPass para acceder al entorno de desarrollo de la empresa. Allí robaron código fuente y documentos técnicos que contenían credenciales, lo que les permitió acceder a las copias de seguridad de los datos de los clientes.

Esto incluía información personal y de cuentas de clientes, que podría utilizarse para ataques de phishing posteriores. Una lista de todas las URL de los sitios web de sus almacenes. Y los nombres de usuario y contraseñas de todos los clientes. Aunque estaban cifrados, el pirata informático pudo “forzarlos”. Se cree que esto dio lugar a un robo masivo de criptomonedas por valor de 150 millones de dólares.

5. Aplicaciones falsas de gestión de contraseñas: A veces, los ciberdelincuentes se aprovechan de la popularidad de los gestores de contraseñas para intentar robar contraseñas y propagar malware a través de aplicaciones falsas. Incluso la App Store de Apple, normalmente segura, permitió el año pasado que los usuarios descargaran una de estas aplicaciones maliciosas de gestión de contraseñas. Estas amenazas suelen estar diseñadas para robar la importantísima contraseña maestra o descargar malware que roba información en el dispositivo del usuario.

6. Explotación de vulnerabilidades: Los gestores de contraseñas no son más que software, y al estar escrito (en su mayoría) por humanos inevitablemente contiene vulnerabilidades. Si un ciberdelincuente se las arregla para encontrar y explotar uno de estos errores, puede ser capaz de obtener credenciales de su almacén de contraseñas. También podrían aprovecharse de las vulnerabilidades de los complementos de los gestores de contraseñas de los navegadores web para robar credenciales e incluso códigos de autenticación de dos factores (2FA). O podrían atacar los sistemas operativos de los dispositivos para hacer lo mismo. Cuantos más dispositivos tengan descargado el gestor de contraseñas, más oportunidades tendrán de hacerlo.

Para protegerse de las amenazas mencionadas, desde ESET recomiendan tener en cuenta los siguientes puntos:

• Piensa en una frase de contraseña maestra segura, larga y única. Piense en cuatro palabras memorables separadas por guiones. Así será más difícil que un atacante pueda “forzarla”.
• Aumenta siempre la seguridad de tus cuentas activando el 2FA. Esto significa que aunque los piratas informáticos se hagan con tus contraseñas, no podrán acceder a tus cuentas sin el segundo factor.
• Mantenga actualizados los navegadores, los gestores de contraseñas y los sistemas operativos para que tengan las versiones más seguras. Así se reducen las posibilidades de explotar vulnerabilidades.
• Descarga únicamente aplicaciones de una tienda de aplicaciones legítima (Google Play, App Store) y comprueba el desarrollador y la calificación de la aplicación antes de hacerlo, por si se tratara de aplicaciones falsas o maliciosas.
• Elige solo un gestor de contraseñas de un proveedor de confianza. Compara precios hasta que encuentres uno con el que te sientas cómodo.
• Asegúrate de instalar software de seguridad de un proveedor de confianza en todos los dispositivos, para mitigar la amenaza de ataques diseñados para robar contraseñas directamente de tu gestor de contraseñas.

“Los gestores de contraseñas siguen siendo una parte clave de las mejores prácticas de ciberseguridad. Pero solo si toma precauciones adicionales. Los riesgos de seguridad evolucionan constantemente, así que mantente al día de las tendencias actuales en materia de amenazas para asegurarte de que tus credenciales en línea permanecen bajo llave.”, comenta Camilo Gutiérrez Amaya,Jefe del Laboratorio de Investigación de ESET Latinoamérica.

#arielmcorg #claves #contrasenas #eset #gestorContrasenas #infosertec #portada

🧩 4️⃣ Contraseña de la DGT en informativos, demasiado fácil de adivinar.

Un investigador reveló que la contraseña utilizada por la DGT para acceder a ciertos recursos informativos era tan simple que cualquier persona con conocimientos básicos podría adivinarla.

Esto expone sistemas internos a accesos no autorizados y muestra la importancia de buenas prácticas de ciberseguridad incluso en organismos oficiales.

🔒 ¿Descuido administrativo o vulnerabilidad crítica para la seguridad pública?

#Privacidad #Ciberseguridad #Contraseñas #DGT

https://computerhoy.20minutos.es/tecnologia/desvelan-contrasena-dgt-informativos-telecinco-es-tan-facil-que-cualquiera-podria-adivinarla_6902392_0.html

Un fallo en un reportaje de Telecinco expone la contraseña de la DGT y pone en evidencia la falta de ciberseguridad institucional

Este tipo de errores demuestran que la DGT no tiene una estrategia real de ciberseguridad. Si siguen ocurriendo fallos tan básicos, la confianza en sus sistemas seguirá siendo mínima. Es necesario un control más riguroso y auditorías constantes para evitar futuros deslices.

[Ver comentario original]

Un fallo en un reportaje de Telecinco expone la contraseña de la DGT y pone en evidencia la falta de ciberseguridad institucional

Un reportaje emitido en Informativos Telecinco ha destapado un grave error de ciberseguridad en la Dirección General de Tráfico (DGT). Durante una grabación en sus dependencias, varios usuarios en redes sociales detectaron que en uno de los monitores aparecían, a simple vista, el nombre de usuario y... [Ver más]