Sí, seguramente a ti también te hayan robado la contraseña

IMAGE: Blogtrepreneur- Flickr (CC BY)El reciente anuncio de dos nuevas intrusiones, en los sistemas de la cadena hotelera Marriott y del sitio de preguntas y respuestas Quora evidencian, una vez más, que la seguridad sigue siendo una de los cuestiones más importantes de la economía digital, y que el desarrollo de buenas prácticas en los usuarios resulta fundamental para evitar problemas potencialmente graves.

En el caso de Marriott, hablamos de nada menos que información referente a quinientos millones de visitantes a cadenas de hoteles como W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute, Le Méridien, Four Points, Design Hotels o multipropiedades gestionadas por la compañía, que incluyen desde nombres y direcciones, hasta números de teléfono, direcciones de correo electrónico, números de pasaporte, identificadores del programa de lealtad, fecha de nacimiento, sexo, datos de estancia, preferencias de comunicación y, en algunos casos, tarjetas de crédito con su fecha de expiración, cifradas con AES128, pero sin posibilidad de excluir que las claves de cifrado hayan podido ser también robadas. Un auténtico desastre que podría permitir desde el acceso a otras cuentas en otros servicios, hasta operaciones de robo de identidad. 

La intrusión en Quora, por su parte, afecta a unos cien millones de usuarios muchos de los cuales ni recordaban tener una cuenta en Quora: hablamos de contraseñas cifradas, nombre, direcciones de correo, datos posiblemente importados de otras redes sociales vinculadas con la cuenta, y todos los datos de acciones públicas y privadas en Quora, que podrían ser utilizados para una amplia variedad de posibilidades de perfilado en los más diversos aspectos. 

Hace alrededor de dos meses, Facebook también anunció un robo de información que afectaba a treinta millones de usuarios, y anteriormente, hemos visto pasar muchos más. ¿Qué debemos hacer en estos casos? Nuestra sensibilidad potencial a este tipo de cuestiones depende, fundamentalmente, de nuestras prácticas de seguridad. Lo primero, lógicamente, es intentar averiguar qué información ha sido afectada por el robo, y supone que esa información estará al alcance de cualquiera que quiera utilizarla para cometer algún tipo de robo o fraude. La respuesta de la compañía en ese sentido es muy importante: en el caso de Marriott, hablamos de un desastre sin paliativos: la compañía notificó el problema a todos sus usuarios mediante correo electrónico, pero lo hizo desde una dirección distinta a la corporativa y completamente absurda, starwoodhotels@email-marriott.com, que podría perfectamente ser la utilizada por algún tipo de esquema de phishing y que, además, tenia un dominio registrado a nombre de otra compañía, cuya página no cargaba, y que no era seguro. La propia acción de la compañía pone a los usuarios en todavía más peligro, puesto que podrían ser atacados mediante esquemas que intentasen obtener más datos desde correos similares al utilizado para esa notificación, con pequeñas variaciones. Como puede apreciarse, el problema, en muchas ocasiones, no termina con unas malas prácticas de seguridad, sino que evidencia que toda la seguridad de compañías que gestionan la información de muchísimos usuarios está bajo la responsabilidad de los profesionales equivocados.

A partir de ahí, todo depende de nuestras prácticas de seguridad. Si somos de los que utilizamos una contraseña para múltiples sitios «porque no puedo acordarme de tantas», tenemos un problema: tendremos que hacer un esfuerzo por recordar en cuántos sitios hemos utilizado ese par de usuario y contraseña, y cambiarlas todas. Eso es, precisamente, lo primero que muchos delincuentes intentan: poder utilizar el par de usuario y contraseña que han robado de un servicio en otras páginas, idealmente en páginas en las que puedan llevar a cabo transacciones u obtener datos adicionales. Los esquemas pueden llegar a ser muy sofisticados si los delincuentes atacan un objetivo específico por alguna razón, sea por tener un perfil público visible o como respuesta a algo que la persona ha hecho, pero por lo general, suelen limitarse a buscar objetivos razonablemente fáciles en los que puedan obtener un beneficio rápido. El perfil típico del incauto que utiliza la misma contraseña o leves variaciones de ella en todas partes es, sin duda, el que más riesgo corre ante este tipo de problemas.

Considerando la fragilidad de muchos de los servicios en los que has abierto cuentas en los últimos años, lo más probable es que a ti también te hayan robado la contraseña en algún momento, en algún servicio, en alguna página que sufrió alguna intrusión. Puedes intentar comprobar si estás afectado introduciendo tu correo electrónico en una página como have i been pwned?, fiable y que recoge muchos de los archivos de los últimos fallos de seguridad publicados. Pero en realidad, hablamos en muchas ocasiones de intrusiones que se produjeron hace ya meses o años, y que las compañías tardan mucho tiempo en publicar, bien por no haberse enterado o por una gestión deficiente del problema, con lo que en muchas ocasiones, el riesgo ya se produjo hace tiempo. Sin duda, lo mejor es que utilices este tipo de avisos para concienciarte de la necesidad de cambiar esas malas prácticas, y empezar a utilizar un gestor de contraseñas. Los gestores de contraseñas buenos no representan, como algunos creen, un riesgo: si alguien consigue acceder a sus archivos, solo se lleva listados de contraseñas cifradas, imposibles de utilizar. Si utilizamos un buen gestor de contraseñas y somos mínimamente sistemáticos, la parte del problema relativa a la contraseña se soluciona simplemente pidiendo a ese gestor que asigne otra contraseña a esa página, contraseña que será tan aleatoria y tan imposible de recordar como la anterior, y que, además, será única para ese sitio, lo que minimiza el problema en caso de robo. Si no lo has hecho ya, hazlo. Si todavía eres de los que piensan una contraseña y la recuerdan o la apuntan, piensa que es una práctica que, por tu bien, tienes que cambiar. Las contraseñas, tal y como las conocemos en el esquema tradicional, tienen que morir.

 

 

 

This article was also published in English on Forbes, “No doubt about it: your password’s been stolen» 

 

17 comentarios

  • #001
    Carlos Quintero - 4 diciembre 2018 - 16:54

    La semana pasada fui objeto de un triple robo: abrieron el maletero del coche de mi mujer en un parking (sin rotura, al parecer con un lector de códigos de mando a distancia), con tal mala suerte de que tenía dentro mi iPad (del que no me separaba «ni para ir a mear», pero el otro día sí) y mi Surface Pro personal (que usaba para la oficina). Para más inri surrealista, dos días más tarde me robaron dos plantas del rellano de la puerta de mi casa (donde no tengo cámara).

    Aparte de la pérdida económica, todavía estoy dándole vueltas a los riesgos. Tenía el iPad y la Surface Pro protegidos por encima de la media (contraseña de acceso, firmware con contraseña y Bitlocker para la Surface Pro), sin datos que no tuvieran copia de seguridad, pero ambos tenían instalados certificados digitales personales (que en teoría tendría que revocar), gestor de contraseñas (que en teoría también tendría que cambiar todas), autenticador 2FA, navegadores de confianza durante 30 días (que también tendría que revocar), etc., etc. En fin…

    La gestión de tu seguridad informática (contraseñas, notas seguras, tarjetas, etc.) y de tus copias de respaldo de tus activos digitales, de los (inútiles) sistemas de seguimiento de tus dispositivos digitales (Find my iPhone, Prey Project, etc.) de la seguridad física tu casa y de tu coche, de tus coberturas de tus seguros de coche y hogar, de tu autenticador 2FA, de tus códigos de backup del autenticador 2FA, de tus certificados digitales FNMT, de la encriptación de tus discos (Bitlocker en Windows, FileVault en macOS), de tus contraseñas de acceso al firmware de tus ordenadores, etc. etc. en mi opinión supone una sobrecarga bastante abrumadora, incluso si tienes conocimientos y eres algo más que «mínimamente sistemático». Y no, no son para el usuario medio.

    • Víctor M. - 4 diciembre 2018 - 23:39

      Pues ya has tenido mala suerte… Coincido contigo en lo prácticamente inútil del seguimiento de dispositivos, al menos el de Google. Si pierdes o te roban el móvil, qué menos que proteger su apagado con la contraseña, patrón o el medio que sea.

      Por otro lado, si tienes 2FA (como vuelvo a tener después de seguir tu consejo en un post anterior) no puedes intentar buscarlo o borrarlo desde otro dispositivo a no ser que lleves los códigos encima en una nota. Puede hacerse, pero es un rollo y ya lo estás llevando en la cartera, con lo inseguro que resulta. A no ser que exista otro modo.

      Por cierto, ¿a qué te refieres con los navegadores de confianza durante 30 días?

      • Carlos Quintero - 5 diciembre 2018 - 08:06

        Los sistemas de seguimiento son inútiles en caso de robo porque a poco listos que sean los ladrones lo primero que hacen es apagar los dispositivos, extraer la SIM física (mi iPad tenía, no necesitaba Wifi para conectarse a internet e indicar su ubicación) y seguramente no volver a encenderlos y venderlos por piezas.

        Los dispositivos de Apple como el iPad no se pueden vender robados porque al siguiente comprador, cuando intente unirse a iCloud le va a a pedir la contraseña del anterior usuario de iCloud. Por eso si lo vendes tú mismo de segunda mano primero tienes que eliminarlo de tus dispositivos iCloud. Además Apple guarda los números de serie en iCloud cuando registra tus dispositivos. Yo también los tenía apuntados (otra sobrecarga que hay que gestionar) y constan en la denuncia policial.

        Respecto a los navegadores de confianza, como introducir el código o SMS de 2FA en un sitio web cada vez que te lo pide es un rollo, muchos sitios web (sitios de Microsoft, Google, LastPass, etc.) te ofrecen marcar una casilla para no volver a pedir el segundo factor durante unas semanas en ese navegador para la cuenta de ese sitio. Así que durante un tiempo es como si para ese sitio web, en ese navegador, solo tuvieras un factor, la contraseña. En otro navegador de ese ordenador o en otro ordenador sí te pide el 2FA para ese sitio, pero en ese navegador no, lo cual está bien…salvo que te lo roben físicamente.

        Como meter la contraseña cada vez también es un rollo, LastPass te ofrece autorellenado de usuario/contraseña para los sitios web que elijas. Si lo usas (y yo solo lo he usado en un sitio que no me importaba nada), entonces durante un tiempo en ese sitio web puede entrar cualquiera que pueda entrar al ordenador con la contraseña de inicio. Lo cual también te ocurre en sitios que te dejan «logado» durante días (como Google o Microsoft) hasta que haces «sign-out».

        Seguridad vs comodidad… el debate.

        En fin, que hay que plantearse no solo escenarios de robos de credenciales en remoto sino robos de dispositivos, y ver qué medidas tienes para cada caso. Pero ante cada desastre siempre se aprende algo (al menos yo). Ayer estuve encriptando mis discos externos…

        • Víctor M. - 7 diciembre 2018 - 11:19

          Gracias Carlos, entendido. Y como expones, el eterno debate entre seguridad y comodidad.

          Me ha hecho gracia tu última frase, es verdad. Yo nunca perdí o me robaron un móvil, cuando cambiaba de terminal lo hacía sin problemas con las copias de seguridad que generaba a la hora de cambiar.

          Cuando mi anterior teléfono petó sin más (según leí y corroboré en un servicio técnico, se estropeó la placa base) me puse muy nervioso, pues aunque hago copias periódicas, siempre pierdes algo en el intervalo entre la última copia y el momento de la rotura.

          Desde ese momento me he «emparanoidado» con las copias de seguridad y el cifrado aún más, hasta el punto de usar servicios en la nube que siempre rechacé para estas cuestiones :) Además, tengo señalados los tiempos de copia tanto para el ordenador como para el móvil así que lo llevo bastante al día.

          Apple no me gusta, pero hay que reconocer que el sistema de copia del iPhone funciona muy muy bien. Cambias de teléfono y al restaurar lo tienes todo como estaba. Y el sistema de registro es un plus de seguridad.

          Mientras no hackeen iCloud… :)

          Un saludo.

  • #005
    Jacobo - 4 diciembre 2018 - 18:53

    Lo que hay que ir es hacia sistemas y demás como Apple Pay y autenticación biometrica a través de huella digital o rostro. Yo trabajo en un entorno corporativo y tengo que cambiar la contrseña cada mes pero no puedo instalar programas porque no tengo acceso de administrador por lo que a pesar de trabajar en el ejercito del aire lo de el post it con la contraseña está a la orden del día .

    • Enrique Dans - 4 diciembre 2018 - 19:00

      Instala LastPass en el móvil y guarda las contraseñas ahí… no es tan cómodo, pero es mejor que el post-it!! :-)

    • Carlos Quintero - 4 diciembre 2018 - 20:19

      LastPass (y supongo que otros gestores de contraseñas) tiene una extensión para navegadores (Chrome, Firefox, etc.) que creo que no te debería exigir ser administrador para instalarla. No necesitas la aplicación nativa para el sistema operativo.

      • Enrique Dans - 4 diciembre 2018 - 20:21

        Depende de la administración de seguridad de la instalación. Yo en el IE no puedo instalar extensiones en el navegador, y seguramente sería una locura permitirlo. Sin embargo, puedo entrar en LastPass, acceder a mi caja fuerte sin revelar mi contraseña aunque esté proyectando la pantalla, validar el segundo factor en mi móvil, y entrar desde esa caja fuerte a cualquiera de mis servicios…

  • #009
    Nehemoth - 4 diciembre 2018 - 18:53

    Hasta el año pasado era uno de esos que utilizaba un password para la mayoría de sus cuentas, tenía la principal que la protegía un poco más. Luego de una brecha en una de mis tantas cuentas en linea, decidí utilizar un gestor de password y activar 2FA en todos los servicios que me lo permitan.

    Debo decir que el cambio no pudiera ser más drástico, de utilizar password de 13 caracteres (algunos números, algunas mayúsculas y un solo carácter especial) he pasado a utilizar contraseñas sumamente complejas de 32 caracteres, menos solo cuando el servicio no lo soporta. Ya ni tengo que aprenderme los passwords, la aplicación me dice cual es, y claro está esta aplicación está protegida por un password (lamentablemente no tan complejo) pero aparte por 2FA también.

    Así que me siento seguro, por cierto, temprano en el día cambié mi password de Quora.

  • #010
    Gorki - 4 diciembre 2018 - 22:04

    La verdad que el password que utilizo con Felix Maocho es el mismo en todos los lados,, de modo que calculo que alguna vez lo habrán captado. Por tanto, si alguien se moleta en suplantarme supongo que lo tiene fácil,

    Así que a algunas vez comienzo a decir cosas incongruentes con mi normal forma de pensar , puede ser por dos motivos:
    El mas probable, que definitivamente he entrado en la cuarta edad y estoy totalmente gagá.
    El mas raro alguien se ha molestado en suplantarme. ¿Con que fin? – Sinceramente, no se me ocurre uno solo razonable.

  • #011
    Peter - 5 diciembre 2018 - 17:26

    De que sirven todas las medidas de segurirdad si el robo se produce en el proveedor robando la base de datos de cliente? De nada sirve la seguridad en la parte del usuario si la seguridad en la parte del servicio no existe.

    • Víctor M. - 7 diciembre 2018 - 11:37

      Considero que aunque no podamos controlar la parte externa no implica dejadez por nuestra parte. Lo que apuntas ha ocurrido, seguirá ocurriendo y al final se trata de usar el servicio que más confianza nos ofrezca.

      No conozco Lastpass pero al parecer está todo cifrado. La parte que corresponde al usuario es poner buenas contraseñas. Ante un robo de credenciales siempre será más difícil descifrarlas mediante fuerza bruta que si pones 1234. Corríjanme si me equivoco.

      Si subes cualquier archivo a una nube y el servicio sufre una intrusión, estarás más seguro si subiste cifrados los ficheros y usas 2FA.

      Si hackean el sistema sanitario, por ejemplo, pues estamos jodidos :)

  • #013
    Pedro - 7 diciembre 2018 - 01:22

    Y la key de descifrado la tienen los desarrolladores de LastPass. Entonces ¿dónde está la seguridad entonces? Si quisieran, tendrían acceso a todo y poder comercializarlo. La idea no es mala como aplicación, eso sí, pero me da miedito.

  • #015
    Pedro - 7 diciembre 2018 - 01:24

    Está bien cambiar las contraseñas y obsesionarse con la seguridad muchas veces (no digo en exceso, pero sí tomar alguna medida). Aunque si yo uso una autenticación de doble factor, ¿para qué quiero LastPass?

    • Carlos Quintero - 8 diciembre 2018 - 08:48

      2FA es la mejor medida. Pero la seguridad se basa en múltiples medidas. Un gestor de contraseñas es otra medida porque te permite tener contraseñas 1) Únicas para cada sitio (sin memorizarlas) y 2) Tremendamente largas

      La cuestión es que cada medida aporte seguridad adicional sin excesiva incomodidad. Un gestor de contraseñas cumple con eso.

  • #017
    Santiago Álvarez - 18 diciembre 2018 - 07:57

    Hoy en día, y mientras no exista alternativa para las contraseñas que confío que sea pronto (aunque seguro que aún nos faltan unos añitos) es imprescindible usar un gestor de contraseñas.

    En el maletín de herramientas que toda persona debe llevar consigo, el gestor de contraseñas es una de las fundamentales y posiblemente sea la menos utilizada (siempre pensamos que no nos va a pasar a nosotros…).

Dejar un Comentario a Carlos Quintero

Los comentarios están cerrados