Seguridad, contraseñas… y mitos variados

IMAGE: HaveIbeenpwned

En la imagen, un fragmento del correo electrónico que recibí esta mañana del genial servicio creado por el experto en seguridad Troy Hunt, HaveIbeenpwnd, informándome de un problema de seguridad en un servicio que hace tiempo que no uso, 123RF: una intrusión que logró hacerse con direcciones de correo electrónico, nombres de usuario, direcciones IP, nombres, contraseñas (en principio cifradas), números de teléfono y direcciones físicas de más de ocho millones y medio de usuarios.

Primera cuestión: esto puede pasarle a cualquiera. Ni siquiera es evidencia de que en este sitio, 123RF, tuviesen unas malas prácticas de seguridad: prácticamente cualquier sitio es vulnerable si alguien invierte los recursos y el tiempo necesario. Esto pasa constantemente, y lo que hay que hacer es simplemente estar preparado para cuando pase.

El problema de este tipo de intrusiones es que, por lo general, la información capturada termina en diversos sitios accesibles, lo que permite a cualquiera descargarse ese archivo y tratar de acceder a cuentas en otros sitios de los todavía demasiados imprudentes que reciclan una misma contraseña en diferentes servicios, o que utilizan reglas mnemotécnicas fáciles de deducir para generarlas.

¿Problemas? Para mí, ninguno. La contraseña que utilizaba en 123RF estaba generada por mi gestor de contraseñas, LastPass, nunca llegué a sabérmela de memoria (ni a intentarlo), y por supuesto, no la utilizaba en ningún otro sitio. Por si acaso en algún otro momento me planteo volver a utilizar el servicio de 123RF, entré, cambié mi contraseña, y le puse otra igualmente imposible de recordar: veinticinco caracteres con números, letras y símbolos, que supuestamente llevarían a un ordenador actual algo así como cien octillones de años averiguar :-) Si un delincuente intentase probar a utilizar la contraseña anterior en otros sitios, se encontraría con que sus intentos no fructificarían en ningún caso. Mientras los ordenadores cuánticos no sean de uso habitual, creo que viviré tranquilo. Que todos mis problemas sean como ese.

¿Qué sabes de tus contraseñas? Lo primero que deberías saber es que todas esas reglas absurdas de sustitución de una «E» por un «3», una «A» por un «4», etc. no funcionan en absoluto. Los delincuentes modernos son mucho más sofisticados que todo eso. Si vas a ponerte a crear tus propias contraseñas, que no es lo que deberías hacer, echa al menos un ojo a la investigación reciente de este grupo de científicos de Carnegie Mellon que recomiendan cómo hacerlo. Si quieres saber cuánto llevaría a un delincuente con su ordenador averiguar la contraseña que utilizas, puedes mirar este cuadro, o bien introducirla en esta página, que afirma no guardarla ni compartirla con nadie.

Lo segundo que debes hacer es probar a meter la dirección de correo que utilizas habitualmente en HaveIbeenpwned, para que te informe de en cuántos data dumps aparece, y no solo cambiar las contraseñas de esos sitios si es que eran servicios que utilizabas regularmente, sino además, pensar si has reciclado esas contraseñas en otros servicios (y en caso afirmativo, cambiarlas también). Yo llevo tiempo utilizando el servicio de HaveIbeenpwned que te permite introducir tu correo y que te llegue un aviso cuando se hacen públicas nuevas violaciones de seguridad, y no me ha llegado más spam por ello. Las últimas versiones de algunos navegadores avisan también cuando introduces una contraseña en una página si esa contraseña ha sido ya revelada o cuando tratas de usar la misma contraseña en varios sitios, y te invitan a cambiarla. Si es así, hazles caso.

Lo siguiente es pensar si tu compañía está también obsoleta en este sentido: toda compañía que mantenga las clásicas reglas de cambio de contraseña cada cierto tiempo está recurriendo a una práctica desaconsejada, que no suele aportar nada significativo en términos de seguridad más que marear a sus usuarios y hacer que terminen apuntando su contraseña en un estúpido post-it pegado a la pantalla.

Finalmente, si decides tomarte en serio tu seguridad en internet, haz lo que realmente debes hacer: usa un gestor de contraseñas. Hay múltiples artículos que puedes leer para decidirte por uno de ellos, que puede ser gratuito o no, y que incluso en caso de que su seguridad fuese vulnerada, te asegura que los delincuentes solo se llevarían una lista inservible de contraseñas fuertemente cifradas. A partir de ahí, solo tendrás que recordar una contraseña, y esa sí te preocuparás de elegirla bien. Es recomendable que el gestor de contraseñas que elijas tenga versión móvil si quieres estar cómodo también en ese dispositivo y no tener que andar tecleando cadenas de caracteres imposibles, y que dediques en torno a una hora de tiempo cuando lo hayas instalado a recorrer todos los servicios que utilizas habitualmente y no tan habitualmente para ir dándolos de alta, y aprovechando para cambiar todas las contraseñas que tenías, por otras nuevas generadas por el gestor, y que te podrás permitir hacer muy largas e imposibles de recordar o de adivinar.

Si no quieres utilizar un gestor de contraseñas independiente, puedes utilizar el que te ofrecen ya la mayoría de navegadores. No es la mejor opción, ni la más cómoda si usas varios navegadores, ni tampoco la más segura, pero decididamente es mejor que no usar nada o que la mayoría de las prácticas que todavía tantos usuarios siguen utilizando.

En cualquier caso, usa las herramientas que he vinculado para, como mínimo, diagnosticar tu nivel de seguridad. Hacemos cada vez más cosas en la red, y no deberías arriesgarte a que tu seguridad dependa simplemente de que a algún delincuente le dé por probar si has reutilizado una contraseña ya revelada en algún otro sitio. Hacer las cosas bien cuesta muy poco. Plantéatelo.

Ah, y un consejo final: incluso si, como seguramente ocurre con la gran mayoría de los lectores de una página como esta, ya consideras que tus prácticas de seguridad son adecuadas, no dejes de interesarte por las que tienen otras personas, sobre todo aquellas con las que tienes relación, como por ejemplo, tus padres o tus familiares cercanos. La experiencia dice que en muchos casos, las personas mayores son las que más prácticas inseguras utilizan, como usar contraseñas débiles o tener una sola contraseña para todo. Mejor prevenir que lamentar.


This article was also published in English on Forbes, «Make life and security easier: use a password manager«


25 comentarios

  • #001
    Gorki - 15 noviembre 2020 - 20:06

    Un ultimo consejo no metas en el ordenador o teléfono que habitualmente tienes unido a Internet, nada da que no quieras que se conozca. Utiliza un pendriver extraible para guardar lo confidencial y no lo tengas habitualmente conectado..

    • sin censura - 15 noviembre 2020 - 21:20

      Exacto

      Y mucho menos subirle a la nube…
      Y no conectes el USB en PC ajeno…

    • Pedro - 16 noviembre 2020 - 11:32

      Un colega subio 1 petabyte de porno a Amazon y al poco anunciaron que el almacenamiento no sería ilimitado.

      Parece que somos Villarejos y no pasamos de pajeators.

      Hablamos de tesoros cuando lo que tenemos todos son trasteros, como los de los realities, llenos de basura que nos cuesta tirar hasta que se deja de pagar el alquiler del trastero. Moraleja, en los trasteros hay basura, lo mismo que en nuestros discos duros.

      • sin censura - 16 noviembre 2020 - 12:42

        El diógenes digital existe !!

        • Pedro - 16 noviembre 2020 - 15:35

          ¡Exacto!

          Por no hablar de los Tom Marvolo Riddle de este mundo que piensan que algo de sus almas se queda en sus posesiones.

          ¡Grande J. K. Rowling!

        • Gorki - 16 noviembre 2020 - 17:31

          Coincido que en los Discos Duros hay mucha mierda, (como en los trasteros y las segundas viviendas), que os voy a contar que no sepais.

          Pero:

          1), Al precio que está el Tb de ROM compensa cambiar el disco por uno que tenga el doble de capacidad y no molestarse en limpiar.

          2.) La basura ayuda a camuflar lo interesante, Lo de la aguja en un pajar.

          Si uno entra en tu Disco Duro y tiene que revisar un Tera de bytes, lo mas probable es que se corte las venas, antes de llegar a descubrir un password. ,

          • Lua65 - 16 noviembre 2020 - 18:31

            Tu guardas los passwd en texto en tu disco duro? XDDDD

            Como los que me encontraba yo, con la contraseña en un posit enganchada al monitor? XDD

            Valgame Diox

  • #008
    Fernando - 16 noviembre 2020 - 07:09

    Genial artículo, bien explicado y detallado.
    Este año, 2020. He la he pasado recuperando Webs hackeadas. ¿El problema ? …

    El mal uso de usuarios y password «admin/admin»

    ¿es posible que una administración pública utilice un nivel CERO en seguridad de sus webs ?

    De no creer… Una comunidad autónoma muy grande además !

  • #009
    Pedro - 16 noviembre 2020 - 11:26

    Todo lo que hice con LastPass lo sigo haciendo con Firefox Lockwise que viene integrado con el navegador.

    El 95 de mis registros usan la contraseña patata, por que prima mi comodidad sobre una privacidad inexistente.

    Algo bueno tiene que tener ser un anon random.

  • #010
    Alnair - 16 noviembre 2020 - 11:58

    Hasta que hackeen LastPass …

    • Enrique Dans - 16 noviembre 2020 - 12:12

      Repito por ENÉSIMA VEZ: eso es un mito estúpido y sin sentido propio de quien no solo no tiene ni maldita idea del tema, sino que además, no se ha leído el artículo. LastPass ha sido hackeado en varias ocasiones, y solo se han podido llevar una lista inútil de contraseñas completamente cifradas. Dejemos de divulgar estupideces, por favor.

  • #012
    sin censura - 16 noviembre 2020 - 13:04

    Cazando mitos. Mito 1, no se puede acceder a passwords en lastpass.

    Como lo hicieron:

    https://www.blackhat.com/eu-15/briefings.html#even-the-lastpass-will-be-stolen-deal-with-it

    Otro mito, aquí hay uno muy extendido entre la gente:

    «Usar passwords complejas en servicios on-line es muy útil»

    https://www.elladodelmal.com/2014/09/se-deben-usar-passwords-complejas-en-la.html

    • Enrique Dans - 16 noviembre 2020 - 13:09

      Ahí no cazas ningún mito. Esos dos investigadores se las arreglaron no para descifrar las contraseñas de LastPass, sino para capturar la master password de un usuario. Eso es un highly targeted attack, todos somos vulnerables a ellos. No demuestra nada, solo que si hay alguien dispuesto a tomarse muchísimo tiempo y esfuerzo en robarte a ti concretamente, te robará. No jodamos, por favor. Eso ya lo sabíamos hace mucho. Los gestores de contraseñas siguen siendo mucho más seguros, y esa idea de que centralizar todas tus contraseñas en un solo servicio las hace más vulnerables sigue siendo FALSA. Las hace más vulnerables si el gestor de contraseñas es una basura. Pero si es bueno, NO.

      En cuanto a la entrada de Chema, vuelves a hacer lo mismo: poner un paper pero afirmar algo diferente a lo que el paper dice, con ánimo de buscar como sea tres pies al gato para atacar el razonamiento que quieres atacar. No, Chema no dice que las passwords complejas no sirvan. Lo que dice es que si la seguridad en el servidor es una mierda, el que la password sea compleja te da exactamente lo mismo (obviamente, una vez que han entrado y todo está visible, da igual que tu password fuera larga o no). Pero si la seguridad en el servidor es razonable, una password larga es más difícil de descifrar, y aunque pudiese descifrarse, no pasaría nada, porque sería la única vez que has usado esa contraseña y por tanto la vulnerabilidad se limitaría a ese sitio y a un simple cambio, frente a lo que le pasa al típico descerebrado que usa una misma password para todo.

      Conclusión: cuando un lunes por la mañana te levantes con ganas de tocar los cojones, pásate por favor por otra página antes que por esta, por favor…

      • sin censura - 16 noviembre 2020 - 13:53

        Mi ánimo solo es de enriquecer tu blog con otras páginas. Con opiniones de expertos en el tema para informarme sobre las falsas creencias en gestores de contraseñas…

        Cambio el chip a Dansiano:

        Conclusión: Qué tío más campechano e ilustrado, con un blog que te sientes como en la barra del bar, que te tiene que decir que le tocas los cojones por mandarle un link de expertos. Pues claro, no te jode.! No cambies sé siempre tu mismo con tu rudeza, para que andarse con mariconadas… Ahí con un par. Sabes de Seguridad? Al que lo dude un par de hostias. Y ya está! XXXXDDD

        Perdona pero me lo has puesto a huevo ;-)

        • Enrique Dans - 16 noviembre 2020 - 14:05

          No, si a mí me parece muy bien que envíes otras páginas. Pero que las retuerzas para demostrar sea como sea que lo que yo digo es mentira, pues en fin, qué quieres que te diga. Cuando es demasiado obvio, lo afeo y punto. Cuando se convierte en compulsivo, como me ha ocurrido en algunos (afortunadamente pocos) casos anteriores, lo elimino.

          • sin censura - 16 noviembre 2020 - 16:01

            Gracias por tu comentario.

            Esas páginas no dicen que lo que dices sea mentira, matizan que hay ciertas circunstancias a conocer. !!!

            Lo que creo que todo es crackeable, puedo estar muy de acuerdo contigo que se lo ponen difícil , y si usan la doble autenticación «casi» imposible. Ya será la gente si prefiere la agendita, la regla mnemotécnica o el sw. Sabiendo como está el patio.

            Desde no ser ni mucho menos yo un experto, lo que nos cuenta Chema es que parece que por ahí también hay «gestores» que no son 100% profesionales en sus prácticas (ficheros en abierto accesibles en plano), y dejan cabos muy sueltos…

          • Lua65 - 16 noviembre 2020 - 19:05

            Estas utilidades no te van a dar mas seguridad, sino comodidad, de no tener que recordar y poder llevartelas a cualquier dispositivo. (No es lo mismo recordar «PepitoGrillo22» que «Ahf58XC3BHfjsd601W»)

            A un hacker, Lastpass le importa tres pepinos. Ira a buscar el archivo de hashes de servidor que quiera comprometer (y no voy a enumerar los cien metodos para hacerlo, a cual mas trabajado o mas absurdo).

            Cuando tu entras en una web a la que te vas a validar, la utilidad le envia el password generado, por complicado que sea, tal cual si tu escribieras «pepitogrillo». El servicio entonces generara los hashes, que es lo que en realidad se almacena en ese servidor. Dependera de lo «buenos» que sean, que esos hashes se almacenen en texto plano, en dB SQL o con doble encriptacion.

            Eso significa, que si se consigue dicho archivo, con un equipo medianamente decente y con un par de NVIDIAS, puedes resolver hashes via CUDA a razon de 100M por segundo. (bitcracker, cudabreak, hashcat, etc) Por simple fuerza bruta. El clasico de toda la vida.

            Yo soy usuario de HaveIbeenpwnd, practicamente desde que empezo. Cada vez que recibo una alerta de HaveIbeenpwnd, es porque han conseguido de alguna manera los hashes (de hecho, cada semana se publican cientos de archivos en «la web fea» y de ahi sacan la alerta). Mis contraseñas suelen ser seguras en tanto el alto numero y tipo de caracteres, y creeme, tengo entre las mias y las de mis clientes mas de 50 en la cabeza. Y si, las cambio cada cierto tiempo (normalmente al recibir la alerta).

  • #018
    Xaquín - 16 noviembre 2020 - 15:56

    Muy bien la entrada y alguna que otra respuesta. El derecho a opinar puede chocar a veces con el derecho a mantener el patio con cierto orden manifestante. Como bien enseñan en «Antidisturbios», los polis son seres humanos, y el ser humano tiene un límite para aguantar el mosconeo de los demás.

    Únicamente aprovecho lo del ordenata cuántico, para repetir el mantra de que el problema no está en la privacidad, el problema está en el ser humano que sobrevalora eso que llama privacidad.

    Como pasa en una manifestación, la seguridad nunca dependerá del material antidisturbios que pueda manejar un policía. El antagonista también evoluciona.

    Pero cada uno…

  • #019
    Alqvimista - 16 noviembre 2020 - 16:44

    Creo que necesitamos un alias DansEnfurecido para ciertas respuestas

    • sin censura - 16 noviembre 2020 - 17:10

      Joer que tropa

      Si tienes un hijo ya sabes donde enrolar al muchacho ahora que no hay mili, no todo va a ser Celaá o HIT descafeinados. Pero luego cuidado con lo que puedes tener en casita…

      Aqui mi pistola
      aqui mi fusil

      Que MEV nos bendiga ;-)

    • Gorki - 16 noviembre 2020 - 17:24

      ¡No me lo cabreéis, que es el dueño del Scattergories!

    • Enrique Dans - 16 noviembre 2020 - 19:02

      Naaaah, hoy estoy muy tranquilo :-)

      • Lua65 - 16 noviembre 2020 - 19:06

        Jolines… XDDD

  • #024
    David Castillo - 19 noviembre 2020 - 04:13

    Otra buena práctica, es el activar las autenticaciones en dos pasos, sitios como facebook, gmail, entre otros incluyen la opción que al momento de ingresar, con la contraseña, pasa a un formulario para ingresar un código que es enviado sea por correo electrónico o sms o inclusos apps tipo token.

  • #025
    tzinm - 21 noviembre 2020 - 18:55

    Aunque han pasado varios días desde la publicación del artículo, nunca es tarde para comentar.

    Supongo que más de uno por aquí es oyente de podcast, os recomiendo la escucha de un episodio del podcast «Sobre la Marcha» titulado «El incidente de seguridad de LastPass de 2015. Modelos de seguridad de cero conocimiento. 1Password» en el que explica el funcionamiento de LastPass, y en general de aplicaciones similares a esta.

    Por otro lado, recientemente twitteaba Javier Pastor un enlace a un artículo en el blog de Microsoft, » Your Pa$$word doesn’t matter «. Tal y como comentaba Javier en el mismo hilo, el titular es un poco clickbait, utilizar un gestor de contraseñas sí que importa, entre otras cosas porque permite al usuario generar contraseñas robustas y además no repetir contraseñas que se utilicen en otros servicios.

    Para los más escépticos con este tipo de aplicaciones, hay alternativas Open Source como Bitwarden que permiten alojar las contraseñas localmente y ser uno mismo quien administra el servicio.

Dejar un Comentario a Fernando

Los comentarios están cerrados