Artículos

Sí, seguramente a ti también te hayan robado la contraseña

El reciente anuncio de dos nuevas intrusiones, en los sistemas de la cadena hotelera Marriott y del sitio de preguntas y respuestas Quora evidencian, una vez más, que la seguridad sigue siendo una de los cuestiones más importantes de la economía digital, y que el desarrollo de buenas prácticas en los usuarios resulta fundamental para evitar problemas potencialmente graves.

En el caso de Marriott, hablamos de nada menos que información referente a quinientos millones de visitantes a cadenas de hoteles como W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute, Le Méridien, Four Points, Design Hotels o multipropiedades gestionadas por la compañía, que incluyen desde nombres y direcciones, hasta números de teléfono, direcciones de correo electrónico, números de pasaporte, identificadores del programa de lealtad, fecha de nacimiento, sexo, datos de estancia, preferencias de comunicación y, en algunos casos, tarjetas de crédito con su fecha de expiración, cifradas con AES128, pero sin posibilidad de excluir que las claves de cifrado hayan podido ser también robadas. Un auténtico desastre que podría permitir desde el acceso a otras cuentas en otros servicios, hasta operaciones de robo de identidad.

La intrusión en Quora, por su parte, afecta a unos cien millones de usuarios muchos de los cuales ni recordaban tener una cuenta en Quora: hablamos de contraseñas cifradas, nombre, direcciones de correo, datos posiblemente importados de otras redes sociales vinculadas con la cuenta, y todos los datos de acciones públicas y privadas en Quora, que podrían ser utilizados para una amplia variedad de posibilidades de perfilado en los más diversos aspectos.

Hace alrededor de dos meses, Facebook también anunció un robo de información que afectaba a treinta millones de usuarios, y anteriormente, hemos visto pasar muchos más. ¿Qué debemos hacer en estos casos? Nuestra sensibilidad potencial a este tipo de cuestiones depende, fundamentalmente, de nuestras prácticas de seguridad. Lo primero, lógicamente, es intentar averiguar qué información ha sido afectada por el robo, y supone que esa información estará al alcance de cualquiera que quiera utilizarla para cometer algún tipo de robo o fraude. La respuesta de la compañía en ese sentido es muy importante: en el caso de Marriott, hablamos de un desastre sin paliativos: la compañía notificó el problema a todos sus usuarios mediante correo electrónico, pero lo hizo desde una dirección distinta a la corporativa y completamente absurda, starwoodhotels@email-marriott.com, que podría perfectamente ser la utilizada por algún tipo de esquema de phishing y que, además, tenia un dominio registrado a nombre de otra compañía, cuya página no cargaba, y que no era seguro. La propia acción de la compañía pone a los usuarios en todavía más peligro, puesto que podrían ser atacados mediante esquemas que intentasen obtener más datos desde correos similares al utilizado para esa notificación, con pequeñas variaciones. Como puede apreciarse, el problema, en muchas ocasiones, no termina con unas malas prácticas de seguridad, sino que evidencia que toda la seguridad de compañías que gestionan la información de muchísimos usuarios está bajo la responsabilidad de los profesionales equivocados.

A partir de ahí, todo depende de nuestras prácticas de seguridad. Si somos de los que utilizamos una contraseña para múltiples sitios “porque no puedo acordarme de tantas”, tenemos un problema: tendremos que hacer un esfuerzo por recordar en cuántos sitios hemos utilizado ese par de usuario y contraseña, y cambiarlas todas. Eso es, precisamente, lo primero que muchos delincuentes intentan: poder utilizar el par de usuario y contraseña que han robado de un servicio en otras páginas, idealmente en páginas en las que puedan llevar a cabo transacciones u obtener datos adicionales. Los esquemas pueden llegar a ser muy sofisticados si los delincuentes atacan un objetivo específico por alguna razón, sea por tener un perfil público visible o como respuesta a algo que la persona ha hecho, pero por lo general, suelen limitarse a buscar objetivos razonablemente fáciles en los que puedan obtener un beneficio rápido. El perfil típico del incauto que utiliza la misma contraseña o leves variaciones de ella en todas partes es, sin duda, el que más riesgo corre ante este tipo de problemas.

Considerando la fragilidad de muchos de los servicios en los que has abierto cuentas en los últimos años, lo más probable es que a ti también te hayan robado la contraseña en algún momento, en algún servicio, en alguna página que sufrió alguna intrusión. Puedes intentar comprobar si estás afectado introduciendo tu correo electrónico en una página como have i been pwned?, fiable y que recoge muchos de los archivos de los últimos fallos de seguridad publicados. Pero en realidad, hablamos en muchas ocasiones de intrusiones que se produjeron hace ya meses o años, y que las compañías tardan mucho tiempo en publicar, bien por no haberse enterado o por una gestión deficiente del problema, con lo que en muchas ocasiones, el riesgo ya se produjo hace tiempo. Sin duda, lo mejor es que utilices este tipo de avisos para concienciarte de la necesidad de cambiar esas malas prácticas, y empezar a utilizar un gestor de contraseñas. Los gestores de contraseñas buenos no representan, como algunos creen, un riesgo: si alguien consigue acceder a sus archivos, solo se lleva listados de contraseñas cifradas, imposibles de utilizar. Si utilizamos un buen gestor de contraseñas y somos mínimamente sistemáticos, la parte del problema relativa a la contraseña se soluciona simplemente pidiendo a ese gestor que asigne otra contraseña a esa página, contraseña que será tan aleatoria y tan imposible de recordar como la anterior, y que, además, será única para ese sitio, lo que minimiza el problema en caso de robo. Si no lo has hecho ya, hazlo. Si todavía eres de los que piensan una contraseña y la recuerdan o la apuntan, piensa que es una práctica que, por tu bien, tienes que cambiar. Las contraseñas, tal y como las conocemos en el esquema tradicional, tienen que morir.

Fuente