Etnògraf digital

Quan la filtració parla de tu

26 de Juny de 2025
Josep Maria Ganyet | VIA Empresa

Com cada cert temps ens arriba el titular apocalíptic sobre seguretat. Aquesta vegada ha estat el de “16.000 milions de credencials exposades”. Uns quants fils virals, quatre titulars als mitjans, alguns canvis de contrasenya i tal dia farà un any. Fins a la pròxima filtració, que serà encara més gran.

 

La pregunta que toca fer-nos no és per què passa —mentre hi hagi portes d’entrada hi entraran malànimes— sinó per què seguim confiant-ho tot a un sistema tan vulnerable com la contrasenya, pràcticament inalterat des de fa seixanta anys. Sumeu-hi que reutilitzem la mateixa contrasenya a tots els serveis, l’apuntem en post-its enganxats a la pantalla o la compartim per correu amb un becari que ha vingut a fer pràctiques d’una setmana a l’empresa. Ho he vist a pimes, a multinacionals i fins i tot a Davos, al Fòrum Econòmic Mundial.

"La pregunta que toca fer-nos no és per què passa sinó per què seguim confiant-ho tot a un sistema tan vulnerable com la contrasenya, pràcticament inalterat des de fa seixanta anys"

El darrer titular l’ha donat la filtració descoberta recentment per Cybernews —16.000 milions de credencials que contenen dades de filtracions recents amb d’antigues—. Una part prové d’infostealers: programes maliciosos que roben directament les contrasenyes guardades al navegador o en fitxers interns del dispositiu. Els infostealers s’infiltren a l’ordinador a través de descàrregues sospitoses —per exemple, programes pirates, cracks o jocs modificats— o bé mitjançant correus de phishing amb arxius adjunts aparentment inofensius, com factures, confirmacions de compra o currículums falsos.

 

La xifra de 16.000 milions és enganyosa perquè les credencials robades provenen de 30 fonts diferents i moltes estan repetides en més d’una. Posat en perspectiva això seria dues credencials per cada persona de la terra i com que només la meitat de la població està connectada implicaria que en són quatre. Més enllà de si la xifra és inflada o no —en segueixen sent milers de milions— qualsevol d’aquestes contrasenyes pot servir per segrestar-nos un compte, buidar-nos un compte bancari, suplantar-nos la identitat o monitorar-nos l’activitat en línia.

"La xifra de 16.000 milions és enganyosa perquè les credencials robades provenen de 30 fonts diferents i moltes estan repetides en més d’una"

Titulars, por, resignació i oblit. Poca gent és conscient que amb una mica d’higiene digital estaríem més tranquils. La 2FA —la verificació en dos passos, sigui per SMS o per aplicació d’autenticació— continua infrautilitzada; els gestors de contrasenyes són desconeguts per la majoria de la població que no sap com funcionen i si ho sap prefereix no pagar-ne la subscripció; les empreses, fins i tot grans corporacions, no obliguen a renovar contrasenyes ni a establir criteris mínims de complexitat. I mentrestant, tothom confia que “a mi no em passarà”. No et passarà perquè ja t’ha passat. Aneu a haveibeenpwned.com i poseu-hi el vostre correu i veureu com sortiu a la foto, i més d’una vegada.

La bona notícia és que la tecnologia per enterrar la contrasenya existeix i funciona. La combinació de diversos factors d’autenticació (un codi temporal, un dispositiu físic, biometria) pot bloquejar el 99% dels atacs automatitzats. Les passkeys —claus criptogràfiques úniques que substitueixen la contrasenya clàssica— ja s’estan implantant a Apple, Google i Microsoft. Els gestors de contrasenyes moderns generen combinacions fortes i úniques per a cada servei, evitant-nos la temptació de repetir la mateixa clau a tot arreu. Si no en feu servir podeu canviar l'estratègia i fer servir frases clau enlloc de paraules clau: resumiu en tres paraules una història de quan éreu petits que només vosaltres coneixeu. Més fàcil de recordar i més segur que una sola paraula.

La mala notícia és que tornem a posar tota la responsabilitat en l’usuari i ho fiem tot al fet que tingui prou paciència, habilitat i ganes de realitzar processos que són feixucs fins i tot per a enginyers informàtics (i parlo per experiència). La baula més feble segueix sent l’usuari a qui li encolomem tota la responsabilitat.

"Ho fiem tot al fet que l'usuari tingui prou paciència, habilitat i ganes de realitzar processos que són feixucs fins i tot per a enginyers informàtics"

És moment que empreses i administracions —sobretot empreses, que són les qui fan la pasta— deixin de tractar la seguretat com un tràmit i la converteixin en cultura. Polítiques clares, verificació en dos passos per defecte, educació digital real i responsabilitat compartida. Sense carregar-ho tot als usuaris i sense post-its.

Les credencials filtrades no són un problema tècnic, són un reflex de com encara entenem —o no entenem— la nostra vida digital. El dia que canviem això, potser podrem guardar la contrasenya al calaix del fax, del discman i de l’ICQ (ai, quins records). Així, quan arribi el següent titular de “milions de contrasenyes filtrades”, potser, finalment, sabrem que no parlen de nosaltres.