Un equipo de editores de Vice se dedicó a preguntar a asistentes a la última DEF CON, una de las mayores conferencias de ciberseguridad del mundo, por qué la gente seguía siendo objeto de robos y delitos en la red, y la respuesta más habitual es porque no toman ni siquiera las precauciones más obvias y sencillas.
En efecto, un estudio reciente de Google concluyó que cientos de miles de personas utilizan no solo la misma contraseña para muchas páginas y servicios, sino que incluso siguen utilizando contraseñas que están publicadas y asociadas a su nombre de usuario en documentos abiertos en la red, procedentes de filtraciones de seguridad de servicios que utilizaron en algún momento. El equivalente en el mundo físico sería que utilizases la misma llave para abrir todas tus puertas de casa, tu coche, tu despacho y el armario de tu gimnasio, y que además, esa llave estuviese disponible en un montón de sitios con simplemente ir a buscarla. La pregunta, obviamente, no sería si te han robado, sino cuándo te van a robar.
En efecto: cientos de miles de personas utilizan ya no solo contraseñas estúpidamente sencillas, sino que además, usan la misma en muchos sitios, y resulta que además, si las buscas, esas contraseñas, unidas a su nombre de usuario, ya están publicadas para que cualquiera pueda utilizarlas y hacer con ellas lo que le dé la real gana, en lo que se denomina credential stuffing: simplemente tomar esos pares de usuario y contraseña, y probarlos al azar de manera automatizada para ver si ese usuario los ha utilizado también en otros servicios.
¿Cómo saber si estamos en ese caso? Repetimos: el problema ya no es que tu contraseña sea absurdamente fácil ni que uses la misma en todas partes, cuestiones que ya harían de ti una persona notablemente torpe y una víctima fácil, sino que, además, esa contraseña ya esté publicada. Para saberlo, vete a Have I Been Pwned, un servicio creado por el experto en seguridad Troy Hunt recopilando muchos archivos de filtraciones por toda la web procedentes de problemas de seguridad de páginas de todo tipo, que permite que introduzcas tu correo electrónico – no, no lo van a utilizar para hacer spam – y te informa de si aparece en alguno o algunos de esos archivos y repositorios que circulan públicamente. Cuando te diga que lo ha encontrado, la conclusión es muy sencilla: la contraseña que utilizabas en el servicio afectado está públicamente expuesta, y por tanto, no deberías volverla a utilizar en ningún otro sitio unida a ese correo electrónico, porque cualquiera puede simplemente tomarla de ese documento públicamente accesible y probarla en cualquier servicio, a ver si te pilla.
De hecho, la propia Google ha creado una extensión de navegador, llamada Password Checkup Extension, que te avisará cuando utilices una contraseña en cualquier página si esa cuenta que estás utilizando aparece en algunos de esos repositorios de cuentas comprometidas en la red, y está por tanto simplemente a la espera de que algún delincuente sin otra cosa que hacer decida probarla. De nuevo: en ese caso, la pregunta ya no es si te han robado, sino cuándo te van a robar, como ocurriría si salieses de casa y dejases la llave puesta en la puerta, a la espera de que pase por delante un ladrón con ganas de trabajar. Es tan sencillo como eso.
Si además de hacer esta pequeña prueba y corregir los posibles problemas existentes quieres empezar a hacer las cosas bien, simplemente deja de utilizar la misma contraseña en distintos sitios. Si quieres hacerlo de verdad bien, olvídate de todas tus contraseñas menos de una, y empieza a utilizar un gestor de contraseñas. Hay muchos, los líderes de mercado son LastPass, 1Password, Dashlane o KeePass, con condiciones y precios diferentes que en algunos casos incluyen la posibilidad de utilizarlo gratis en régimen freemium o de donación, y que simplemente requieren un poco de orden y disciplina. No creas a los que afirman que los gestores de contraseñas no son seguros porque «si roban al gestor, me roban todas las contraseñas»: simplemente, están mal informados y no saben cómo funcionan este tipo de servicios, que utilizan cifrado fuerte en todos sus registros. Pero si no quieres usar un gestor de contraseñas, al menos echa un ojo para saber si las que usas han sido ya comprometidas: es un ratito, y la posible solución a algunos de los robos que podrías sufrir en el futuro. Al menos, no lo pongas tan fácil…
This post is also available in English on my Medium page, «Have you been pwned?«
Una cosa es que me roben el password y otra es que me roben un bien. ¿Quien tendría interés en suplantarme en Facebook?
Como siempre digo la seguridad tiene que ser proporcional a lo que se pretende proteger, porque la seguridad siempre es un incordio y a más seguridad más incordio.
Y siempre pongo el mismo ejemplo, todos tenemos en el portal de casa un buzón de correo que se abre con un clip y de donde las cartas se sacan sin dificultad con unas pinzas, ¿Por qué? – Porque en él, lo mas que recibimos son las facturas que nos paga el banco y nadie tiene idea, que eso valga para nada si no es para el cotilleo.
En cambio, los bancos que esperan que la gente introduzca sobres con la recaudación de la tienda, tiene lógicamente, buzones de dura chapa de acero con complicadas cerraduras en salas protegidas por cámaras de seguridad .
Ayer por consejo de NOBBOT, estuve viendo lo que sabía de mi Google, y ¡Oh alegría!, absolutamente nada, sabe y mucho de Felix Maocho y de Gorki y de otro par de seudónimos que uso, pero lo que sabe de mi no destaca dentro de lo que sabe de personas que se llaman igual que yo. Han hecho falta años de no utilizar mi nombre en la red para que Google se le «olvide» lo que sabe de mi.
¿Quiere decir que soy especialmente precavido?- No, simplemente que tomo unas precauciones mínimas, como es no utilizar mi nombre, salvo en casos imprescindibles, (algo que creo hacen el 90% de los comentaristas que aparecen por aquí) y crear unos seres ficticios que carguen con mi vida pública en Internet, (los mios tienen hasta sus propios correos electrónicos y cuentas en Facebook y en Twitter y WhatsApp)
Yo no creo que haya que tener password imposibles de recordar para estar seguro, sino que utilices unas normas de seguridad proporcionales a lo que quieres defender. Por ejemplo no tener tus password y tus números de cuenta corriente en tu ordenador, utilizar varios niveles de seguridad, uno ligero para lo habitual y uno mas complejo para lo poco importante y cosas así,
La información supuestamente inservible que llega a tu buzón puede ser utilizada como ingeniería social. Los estados de cuenta muestran números de operaciones interbancarias, números de cuenta eje, movimientos y dirección del destinatario. De ahí se extrae tu horario, lugares que visitas y patrones de actividad. En muchos casos es suficiente para hablar a otra de las compañías que te hace cargos y como lo decía, con un poco de ingeniería social, obtener datos cruzados para hackear cuentas. Que no te pase a ti no significa que no le pase a muchos. Todos los datos sirven. Lo ideal es pedir cambio de correspondencia por email y recibir lo del banco en estados de cuenta en pdf con contraseña.
No lo dudo , pero, ¿conoces alguien que tenga blindado el buzón?.
La solución en ese sentido es cancelar tu correspondencia física y pasarla a tu correo electrónico.
En un Gmail con la nueva app de Google, para que alguien entre desde otro dispositivo, se necesita a fuerzas tu aprobación y por ende tu huella digital.
Lo que son movimientos del banco, también puedes verlos desde la app del mismo.
Es algo más complicado y no dejas tu correspondencia con tanta facilidad en manos de la ingeniería social.
Puede que no sean infalibles pero le pones más candados a todo.
Los gestores de contraseña facilitan la usabilidad, al no tener que memorizar cientos de contraseñas, e incluso proponen contraseñas complejas cuando te registras en algún servicio. Eso sí, como alguien te robe la contraseña maestra sin que tú lo sepas, estás dejando todo al aire.
Muy Interesante.
Pues algunas empresas deberían tomar cartas. Si yo puedo encontrar mi contraseña de (por ejemplo) un banco «ahí fuera», ese banco también puede, y debería notificármelo.
Por mi parte, creo que tengo que hacer limpieza de alguna contraseña.
Lo que dices es muy sensato, Las grandes empresas deberían tener medidas de protección de las contraseñas de sus clientes, y si encuentran que su contraseña se puede sustraer, avisar a su cliente para que la cambie..
Avisar no. Mejor OBLIGAR a cambiar la contraseña en el siguiente login.
Es bueno recordarle a los que usan dispositivos Apple, que tienen un gestor integrado llamado llavero de iCloud
Me pregunto si el repositorio de cuentas comprometidas esta actualizado. Digamos que la cuenta estaba comprometida hace dos meses y entonces ya cambié la contraseña. ¿Seguiria apareciendo en esa web?
No, no se actualiza. Si aparece tu correo en un data dump determinado, tienes que saber que la contraseña que utilizabas en ese sitio en esa fecha está en abierto y disponible para cualquiera, pero si la cambiaste posteriormente ya no tienes problema.
Por un lado está la naturaleza humana, la ignorancia y la ley del mínimo esfuerzo.
Por otro lado muchas de las contraseñas tienen que ver con el trabajo o con relaciones económicas con empresas (bancos, empresas que te proveen Internet, luz, gas…etc) a las que hemos llegado mayoritariamente por obligación, sin recibir casi ventaja a cambio (mi factura de papel llegaba puntualmente, me puedo olvidar de ir a descargarla este mes y cada vez que la quiero ver gasto electricidad).
Hacemos lo que hacemos pensando que nuestra ventaja es mínima y, a cambio, quién nos obliga, gracias a estas obligaciones puede gastar menos dinero, tiene menos personal y NOS CONTROLA.
Hemos visto cosas mezquinas con la tecnología, obsolescencia programada, cajeros automáticos que ya no dejan meter libreta, empleados que te mandan (MANDAN) al cajero porque si le dan dos teclas al ordenador para devolverte tu dinero tienen que cobrarte comisión, hardware de radio FM inutilizado y presente en móviles, capacidad instalada y plena en PS4 para retrocompatibilidad con PS2 pero anulada para «alquilartela» con el deficiente servicio PSNow, intento de destrucción del P2P o de sus usuarios, intento de destrucción del bitcoin, intento de cobro de la mensajería instantánea en sus inicios, estafa masiva con el canon digital, el descuento que te aplicaron por recibir facturación digital te lo quitan cobrándote la identificación de llamada, algo así como pretender cobrar por usar el Teletexto en tu tele… etc etc
Yo soy el primero que aplico unas mínimas medidas de seguridad y me río de quién no lo hace, pero lo que es hoy día la tecnología y lo que realmente podría haber sido tiene unos CULPABLES y para señalarlos hay que mirar hacia arriba.
Cualquiera pensaqría al leerte que «con Franco vivíamos mejor» y no es verdad, ni con Franco, ni con De Gaulle, ni con Adenauer, ni con Kennedy, vivíamos mejor que ahora.
Había mas pobreza, mas opresión, mas enfermedades y menos cultura y en consecuencia la gente moría mas joven.
¿Y quien me dice a mí que la página esta donde puedes comprobar si te han capturado las contraseñas (y la dirección de correo), no te las está capturando al introducirlas en su sistema?. Ahí lo dejo.
La verdad es que hoy en día, hay que tener mucho cuidado con Internet. Sin ir más lejos, el otro día me encontré con una página que prometía hackear cuentas de redes sociales de forma gratuita. No introduje ningún detalle, pero vete tú a saber qué podría haber pasado.