Miguel Ángel García Vega, de El País, me envió una pregunta acerca de eBay y de las garantías de seguridad que ofrece su uso tras el importantísimo incidente de seguridad que la compañía sufrió el pasado mayo, que posibilitó el acceso a información personal (nombre, correo electrónico, dirección física, número de teléfono, fecha de nacimiento y contraseña cifrada) de una cantidad desconocida de su base de datos de más de 145 millones de clientes en todo el mundo.
Tras el incidente, eBay solicitó a todos sus clientes que cambiasen su contraseña. La medida no elimina totalmente el riesgo, dado que los datos comprometidos pueden seguir siendo utilizados para tratar de obtener acceso a otros sitios, y además afecta únicamente a los usuarios activos, calculados en torno a los 128 millones, que son los que reciben el aviso. La medida, además, fue activada con cierto retraso con respecto a lo que es conveniente en estos casos.
En este tipo de incidentes de seguridad, lo que realmente debemos tratar de averiguar como clientes es lo que se desprende con respecto a las prácticas de seguridad y comunicación de las compañías. En el caso de eBay, el problema fundamental derivó del hecho de mantener una base de datos de clientes en la que el único dato cifrado era la contraseña, un error grave que revela una concepción de la seguridad claramente anticuada. Cualquier dato personal de un cliente ofrece a un hipotético atacante la posibilidad de utilizarlo para tratar de obtener acceso a otros, y debe ser almacenado con las garantías de seguridad apropiadas.
Ninguna compañía está a salvo de un ataque, pero su comportamiento tras el mismo debe permitirnos comprobar si su respeto a las prácticas mínimas de seguridad era aceptable, si se toman las medidas pertinentes de manera responsable, y si la comunicación que se hace del incidente es transparente y adecuada. Es difícil suponer que una compañía cuyas prácticas de seguridad eran un completo desastre se convierta tras un ataque en un modelo de pulcritud, y en cualquier caso, eso debería comenzar con una comunicación transparente y responsable a los posibles afectados. Las compañías que tratan de ocultar el hecho de haber sido objeto de un ataque comprometen mucho más aún al hacerlo la seguridad de sus clientes, un comportamiento claramente irresponsable. Como cliente, no tienes que plantearte dejar de usar los servicios de toda compañía que sufra un ataque, pero sí utilizar esos incidentes para tratar de diagnosticar su actitud al respecto lo mejor que puedas.
Ante la noticia de un ataque de este tipo que afecta a una empresa de la que somos o hemos sido clientes, el comportamiento responsable es tratar de saber si estamos directamente afectados mediante el uso de recursos que listan los nombres de usuario y correos electrónicos en forma de base de datos, y seguir las recomendaciones de la compañía afectada. Si se trata de una compañía en la que ya no tenemos actividad, puede se recomendable volver a acceder para cambiar nuestros datos, para evitar que alguien acceda con nuestras credenciales y actúe en ella haciéndose pasar por nosotros. Una simple búsqueda en una página como «Have I been pwned?» permite comprobar si alguna de nuestras cuentas, usuarios o correos electrónicos están incluidos en las bases de datos de los incidentes de seguridad más importantes y recientes. Si es así, se trata de una contraseña que deberías cambiar y no deberías estar utilizando en ningún otro sitio – si es que todavía eres de los que usa la misma contraseña en todas partes, pauta que también deberías evitar. Si vas a cambiar tus contraseñas, recuerda evaluar su seguridad en alguna herramienta que la diagnostique adecuadamente.
El reportaje de Miguel Ángel aparece en El País de hoy, en el suplemento de Negocios, bajo el título «¿Compramos seguros en eBay?» (pdf). A continuación, el correo electrónico que nos cruzamos:
P. Después de el mes pasado comprometieran los hackers 128 millones de registros (todos) de sus clientes y tuvieran que cambiar las contraseñas. ¿Crees que la plataforma es segura? ¿Crees que PayPal es seguro?
R. El ataque que eBay reveló el pasado mayo afectó a 145 millones de usuarios activos de su página y comprometió datos referentes a sus nombres, direcciones, correos electrónicos, fechas de nacimiento, números de teléfono y contraseñas, pero estas últimas estaban, como es práctica habitual, cifradas de manera segura. La compañía solicitó además a todos sus usuarios que cambiasen sus contraseñas tras el anuncio de la vulnerabilidad.
Esto no quiere decir que el problema no fuese importante ni que las prácticas de la compañía en términos de seguridad fuesen adecuadas: el acceso a información aparentemente tan básica como nombre, dirección o fecha de nacimiento puede comprometer la seguridad de un usuario porque esos datos pueden ser utilizados para tratar de recuperar contraseñas de ese y de otros servicios mediante las funciones que las compañías ofrecen para recuperar una contraseña olvidada. La práctica recomendable es almacenar también estos datos de forma cifrada, algo que la compañía no hacía.
En cualquier caso, lo razonable es pensar que tras haber tomado las medidas y precauciones oportunas, el uso de eBay es actualmente seguro. Los datos robados podrán ser utilizados para intentar acceder a otros datos y a información de los usuarios en otros servicios no necesariamente relacionados con eBay, pero su utilización, generalmente, necesitará de algún tipo de descuido del usuario para ser efectiva: lo que debe preocupar a los usuarios es, por ejemplo, contestar con su contraseña a algún tipo de comunicación que, usando datos suyos que sí se han podido obtener como teléfono, correo electrónico, etc. les solicite un cambio de contraseña o que accedan al servicio mediante métodos relacionados con la ingeniería social.
El caso de PayPal no ha sufrido ningún cambio: la información financiera de los usuarios de eBay y los datos de PayPal se almacenaban en servidores diferentes y sometidos a un nivel de seguridad mayor, y según la compañía, no fueron afectados por el ataque.
Toda compañía es susceptible de ser atacada, es un riesgo inherente a la actividad en la red. Lo importante es que, cuando lo son, reaccionen de la manera adecuada para minimizar los posibles daños a sus usuarios y para evitar sucesivos ataques.
Hay que aceptarlo, lo que uno es capaz de cerrar, otro es capaz de abrir. Fiarlo solo a password y cifrados no garantiza la seguridad. Si se añade la precaución de distribuir la información entre muchos sitios, es además una medida de seguridad adicional.
Si cada dato hubiera estado en un fichero diferente y las relaciones entre ellos en diferentes lugares habrían estado más seguros, si además hubieran estado mezclados los datos válidos con datos aleatorios, posibles pero falsos, habría aumentado la seguridad.
Poner todos los datos sensibles juntos en un solo fichero es atraer la atención de quien pueda estar interesado en captarlos y solo interponer una unica barrera que saltar. Poner dificultades adicionales, no da una seguridad total, pero desmoraliza mucho al posible asaltante pues su esfuerzo se multiplica.
Las punto-com tienen tendencia a pedir más datos de los que realmente necesitan para hacer su función. Ante esto, si dar el dato es obligado para registrarse, lo mejor es mentir. Por ejemplo, ¿para qué necesita eBay tu fecha de nacimiento? Conque pongas cualquier fecha mayor de 18 años ya vale. Y si te llegan a pedir el DNI, hay un montón de programitas que generan números de DNI falsos. El número de teléfono es otra cosa que una punto-com no va a necesitar (no te van a llamar), salvo que usen autenticación mediante SMS, que es algo que la mayoría no hacen, y la dirección física solo va a ser necesaria si te van a hacer envíos, lo cual sí es el caso de eBay pero no de otras muchas punto-com.
En definitiva, la primera medida de seguridad con respecto a tus datos es que no los des salvo cuando sean necesarios.
#002 Krigan
Absolutamente de acuerdo. A mi cuando me piden un dato innecesario, se le doy sistemáticamente falso o de otra persona. Ejemplo el Código Postal cuando pagas al contado en M Leroy Merlin, ¿por que he de dárselo? No discuto le dioy uno al buen tuntun.
Si al menos sacar de estar Om-linea los datos que no son precisos para las operaciones en marcha, los daños serían menores. ¿Para que quieren tener On-line los datos de 140,000 clienntes a la vez?
Ok. De ahora en adelante usaré «Dos*Mil=2000» que me dice que es una superclave y que es fácil de recordar.
Ahora en serio, en mi humilde opinión, tener una idea de las estrategias que se usan para averiguar claves combinada con el sentido común es lo que ofrece la mayor garantía de éxito.
No ha contestado a la pregunta. Es eBay segura ¿Sí o no? Gracias. No me sea como los políticos. Un cordial saludo.
No hay forma de saber cuantas claves nuestras andan por ahí. Incluso con hash+salt están por ahi medio averiguables. Me uno a #002 en que siempre pongo fecha falsa (1 de Enero, porque es fácil de recordar y está arriba en los select
Ánimo ahi
Ebay es la cueva de alibaba y los cuarenta ladrones. En mi primera compra me mintio el vendedor y Ebay se lavo las manos.
#004 MaskMe+Mozilla Sync = BLISS!!!
#005 La seguridad es un tema de confianza. Lo único seguro en esta vida es la muerte. ¿Existe Papa Noel? ¡Dejate de cuentos y responde a la pregunta! ¡No me seas como los Padres! ;)