El enésimo hackeo de contraseñas: ahora Snapchat

SnapchathackedSi hace pocos días nos planteábamos sobre quién debía recaer la responsabilidad en caso de fallos de seguridad, hoy tenemos un caso práctico del tema.

Para los fundadores de Snapchat, compañía revelación del pasado 2013 por el fortísimo crecimiento de su servicio de intercambio de imágenes garabateadas y efímeras, el 2014 no ha podido comenzar peor: tras varias advertencias de una empresa de seguridad sobre la debilidad de su API y las grandes posibilidades que ofrecía para su uso malintencionado, ayer día 31 se encontraron con que, efectivamente, tras ¡varios meses! ignorando el tema, alguna de esas vulnerabilidades había sido explotada, y una página web ofrecía la descarga gratuita de una base de datos de 4.6 millones de nombres de usuario y números de teléfono.

Por el aspecto, parece ser simplemente un ataque llevado a cabo para evidenciar las malas prácticas de seguridad de la compañía, pero dado que no es el primer caso ni va a ser el último, vale la pena plantearse varias cuestiones: la primera, qué debemos hacer ante noticias como esta.

Ataques de este tipo, sean como prueba de concepto o para su explotación, se han convertido en algo tristemente habitual que afecta tanto a compañías como Snapchat, en fase de fuerte crecimiento pero con problemas para priorizar los habitualmente escasos recursos de una startup, como a empresas tan consolidadas como AdobeGawkerSonyVodafone o Yahoo! Ante la noticia, lo primero que debemos hacer es ver si estamos afectados. Si existe una base de datos disponible para su descarga o consulta, es bueno ver si nuestros datos están incluidos en ella. Si no, si simplemente somos usuarios y no se ha publicado nada todavía, lo más correcto es asumir que sí lo estaremos. Generalmente, la empresa afectada pondrá en marcha un mecanismo que obligue a la regeneración de contraseñas, en cuyo caso deberemos hacer login en el servicio lo más rápidamente posible para evitar que nuestra cuenta sea accesible a cualquiera.

Pero además, debemos pensar si esos datos pueden de alguna manera comprometer otros servicios en los que hayamos podido utilizarlos. Aunque es bien sabido que utilizar la misma información de acceso en diferentes servicios es una mala práctica de seguridad, hay un muy elevado número de usuarios que lo hacen, o que reservan contraseñas fuertes para servicios que consideran críticos y utilizan otras de manera indistinta para servicios menos importantes. Sea como sea, una noticia de este tipo debe llevarnos a un replanteamiento de nuestras prácticas de seguridad y a tratar de tapar lo antes posible los posibles servicios que hayan sido expuestos. Ante una noticia como esta, muchos usuarios pueden reaccionar simplemente con un «bah, total es Snapchat, no es un servicio crítico, simplemente lo estaba probando, tampoco pasa gran cosa». No caigamos en el simplismo: las posibilidades de que alguien con interés en perjudicarnos encuentre el nombre de usuario que utilizamos en otro servicio en esa base de datos y lo use para enviar mensajes aparentemente en nuestro nombre, o trate de entrar en otros servicios más críticos en los que usemos la misma información de acceso puede generar situaciones bastante incómodas o peligrosas.

Con servicios vulnerables como WhatsApp pasa lo mismo: he perdido ya la cuenta del número de personas que me han dicho eso de «total, para lo que hago con WhatsApp, no necesito mucha seguridad». ¿Nos hemos parado a pensar en las posibles consecuencias de alguien suplantando nuestra identidad en un servicio como ese y generando malentendidos entre nuestra lista de contactos? ¿O tratando de utilizar esquemas de hacking social para ir extrayendo más información referente a nosotros, como ocurrió en el muy comentado caso de Mat Honan? Casos muy similares a ese los he visto repetidos entre mis alumnos en varias ocasiones: a partir de un servicio teóricamente poco sensible comprometido, el delincuente utiliza partes de la información obtenida para vulnerar otros, y se dirige a contactos con mensajes que pueden ir desde el muy burdo «estoy de viaje y me han robado la cartera, por favor mándame dinero» hasta esquemas bastante más sofisticados.

La segunda cuestión es hacer siempre consideraciones del peor caso posible: que el ataque haya sido simplemente demostrativo o que la base de datos se limite a exponer campos considerados poco críticos no debe hacernos pensar que estamos a salvo: una vez la información está ahí fuera, puede moverse y cambiar de manos con suma facilidad – de hecho, es habitual que lo haga – y que termine sirviendo un propósito diferente al inicialmente buscado.

No, la seguridad total no existe. Pero cada día más, creamos cuentas en servicios de todo tipo cada vez que los vemos surgir o alcanzar una cierta popularidad, en ocasiones sin saber muy bien por qué o simplemente por asegurarnos que si terminan siendo populares, tendremos disponible una cuenta con nuestro nick favorito. O como es el caso de alguno de mis grupos actuales de alumnos con Snapchat, un servicio aún no excesivamente popular en España: porque hablamos del servicio en clase y eso hace que se despierte cierto interés por él. Todas esas piezas sueltas de nuestras vidas digitales son, en un momento dado, explotables por un tercero con la suficiente malicia. Ante noticias como la de Snapchat de hoy, por tanto, estemos atentos, hagamos memoria y revisión de nuestras prácticas, y mejorémoslas en la medida de lo posible recurriendo a gestores de contraseñas y estrategias similares. No se trata de ser paranoico, sino de poner las cosas en su sitio y evitar posibles malas experiencias.

 

(This post is also available in English in my Medium page, “Snapchat joins the long list of password breaches«)

9 comentarios

  • #001
    CMT - 1 enero 2014 - 13:48

    Efectivamente, no se trata de ser paranóicos con los temas de seguridad pero sí estar siempre ojo avizor. Nadie es inmune a un problema de esta índole y por tanto el usuario final debe tomar sus propias medidas independientemente de las que el prestador del servicio tome.

    Hace ya tiempo vengo siguiendo un interesante proyecto en http://www.elladodelmal.com que ya ha empezado a ser realidad:

    https://latch.elevenpaths.com

    Por problemas de calendario no lo he probado aún aunque parece realmente útil, y disponible para las tres plataformas móviles mayoritarias.

    Un paso más entre la eterna lucha entre el cazador y la víctima…

    Un saludo.

  • #002
    VivaldiBonao - 1 enero 2014 - 16:06

    Gracias a Dios nunca me anime a usarlo, nisiquiera por probarlo.

  • #003
    albert porta - 1 enero 2014 - 18:40

    Un análisis interesante, está en línea con el reciente mensaje de Navidad de Edward Snowden!
    Con tu permiso me he animado a plantearlo como apoyo a un debate en un grupo LinkedIn (DIRECCIÓN ÉTICA) que estoy liderando (http://bit.ly/casoSnapchat).
    Gracias Enrique.

  • #004
    Gorki - 1 enero 2014 - 18:53

    Total para lo que hago yo en la red, que más me da que me los roben :-)

    Desde hace año que no pongo en la red ni un nombre verdadero, ni una dirección exacta, no i por supuesto una ni un numero de cuenta válido. si no es con un motivo que clareamente lo justifique, ¿que necesidad tenemos de ello fuera de esos contados casos?

    Crea un personaje ficticio, lo más solido y real posible, con nombre, email, DNI, direccon de correos, todo pero falso y razonablemente auténtico. Puedes tomar parte de los datos de una vieja guía de teléefonos, asumelos como tuyos y trabaja con ello en la red. En el 95% de los casos será suficiente.

    Y deja que tee los roben, ¿por qué no?

  • #005
    Antonio Castro - 1 enero 2014 - 19:51

    #001 Ignoraba que la paranoya en asuntos de seguridad informática pudiera tener alguna connotación negativa.

    Yo dudo mucho que en la mayoría de los casos se valore adecuadamente los riesgos de perdida de la confidencialidad o de la pérdida de datos valiosos por fallos del sistema o por una violación de la seguridad en comparación con el coste del mantenimiento la misma.

    Cuando hablamos del enésimo hackeo de contraseñas, hablamos de la enésima vez en que el nivel de pararanoya ha resultado insuficiente.

    Me encantaría que se hiciera un estudio sobre el coste que tuvo para esas compañías la violación de la seguridad y sobre el coste de los gastos que esas compañías dedicaron al mantenimiento de la misma.

    Sospecho que lo que suele ocurrir es que el valor de lo que está en riesgo va aumentando mucho más rapidamente que la inversión de su custodia y defensa. Creo que esto ocurre hasta que en algún momento alguien decide que el esfuerzo por romper la seguridad de un sitio que representa un tesoro es suficientemente importante como para dedicarle el esfuerzo y el dinero que ello requiere.

  • #006
    CMT - 1 enero 2014 - 21:35

    #003 Este mismo reproche puedes hacérselo a Enrique. Lo de la «connotación negativa» que supones que doy por sentado es algo que tu mismo te sacas de la manga y, sinceramente, no se de donde sacas tal conclusión.

    Ni se ni me importa las medidas de seguridad que adoptas. Yo solo se que toda precaución es poca porque NADA es seguro salvo que en cien años todos calvos… Aun así la mayoría estamos dispuestos a aceptar riesgos, solo los pusilánimes tienen reparo en hacerlo.

  • #007
    albert porta - 2 enero 2014 - 00:00

    #006 perdona pero creo que te has confundido al numerar mi post

  • #008
    CMT - 2 enero 2014 - 08:31

    #007 Tienes toda la razón Albert, perdona. No era a ti a quien dirigía mi respuesta, era a #005 Antonio Castro, que dicho sea de paso no espero su respuesta.

    Un saludo y discúlpame.

  • #009
    albert porta - 2 enero 2014 - 13:16

    #008 de nada, es un placer comunicarme con personas que tienen actitud de aportación. Feliz Año nuevo!

Dejar un Comentario

Los comentarios están cerrados