Romina Campos

agosto 2, 2016

En la era de las fugas de información nuestras contraseñas están a la venta

Blog

Actualmente es bastante común encontrar en los titulares  de la prensa que un nuevo sitio web  ha sido hackeado, al punto que nos hemos vueltos insensibles a la novedad, ¿qué tan conscientes somos del impacto personal de las fugas masivas de contraseñas y datos personales?

Quizás el caso  que ha sonado más últimamente en el ámbito profesional es el  de LinkedIn, en el cual se comprometieron correos y contraseñas de 164 millones de usuarios. Seguramente hayan leído que las contraseñas estaban protegidas (hashed) por lo que el impacto fue menor,  sin embargo hay formas y formas de encriptar con pérdida de información (hashed vs salted hashed) este tipo de datos y hoy es un hecho que la mayor parte de las contraseñas afectadas en esta fuga fueron comprometidas.

Ok, digamos entonces que asumo que mi contraseña de LinkedIn está en poder de un hacker ruso. ¡No hay problema!. Ayer LinkedIn gentilmente me recordó esta situación  y me forzó a cambiar mi contraseña así que vuelvo a dormir tranquilo, ¿o no?. Ahora recuerdo con cierto grado de desazón que utilicé la misma contraseña en otro servicio hace muchos años pero no en la cuenta de mi Banco…ellos por suerte me obligan a usar contraseñas seguras con mayúsculas, números y un largo mayor ¿Ahora bien cuántos de nosotros simplemente agregamos una mayúscula al principio, 123 o un año (casualmente nuestro nacimiento) al final o cambiamos ciertas letras por números (ej 3 / E) para ayudarnos a recordar?. ¿Adivinan cuánto le lleva a nuestro amigo ruso llegar de la contraseña “estanolasabenadie” a “EstaNoLaSab3Nadie” o “estanolasabe1980″? Por cierto la pregunta era retórica, asuman que no demoran nada, dejen de dormir tranquilos y manos a la obra.

¡Pero yo no tuve nunca cuenta en LinkedIn! ¿Estoy a salvo no?

Ok, ¿que tal Adobe? ¿MySpace si están del lado incorrecto de los 30’s o tumblr/Snapchat si están del otro? ¿Sony? ¿Gmail, Yahoo? Si estaban en la fuga de Ashley Madison seguramente lo que menos les preocupe es este artículo pero el punto es que seguramente alguna de las contraseñas que usaron fueron robadas y vendidas al lado oscuro de la red.

Los invito a ingresar sus correos en el sitio: Have I been Pwned para verificar si sus datos están los volcados de datos robados que se han hecho públicos. Incluso el sitio ofrece el servicio de avisarles cuando aparezcan nuevos casos con su correo involucrado.

¿Qué debemos hacer entonces como usuarios para protegernos?

Vayamos ya a cambiar nuestras contraseñas, todas aquellas que protejan el acceso a algo que nos interese. Y pensemos en contraseñas seguras y únicas, cuanto menos relación con palabras reales mejor. Obviamente todo esto conspira contra la memoria y anotarlas en una hoja virtual o real es igualmente inseguro. Afortunadamente hay numerosos programas (gestores de contraseñas o password managers) que generan y almacenan en forma encriptada nuestras credenciales ya sea en forma local o en la nube.

Siempre que un sitio lo ofrezca opten por utilizar un segundo factor de autenticación (2FA), sean SMS’s, OTP, Tokens o certificados digitales. Cada vez es más común el uso de apps OTP (One Time Password) que se almacenan en nuestros celulares y dan una barrera adicional de protección evitando el ingreso no autorizado aún en el caso de robo de contraseñas.

 

 

 

  • romiii (1)La falsa seguridad de los teclados virtuales Como usuarios de Banca Digital en Latinoamérica nos hemos visto enfrentados al uso de teclados virtuales para el ingreso de nuestras claves y pines en forma opcional u obligatoria. Nadie […]
  • tank-museum-green-army-war-weapon-militarySeguridad y usabilidad, ¿enemigos íntimos? La seguridad no es una característica binaria, las frases “mi app es 100% segura” o “mi plataforma digital es inviolable” son siempre falsas. La seguridad es un proceso constante cuyo […]

Publicar comentario