El último robo de información anunciado por Facebook el pasado día 29, que afecta potencialmente a más de cincuenta millones de usuarios, es un aviso más – el enésimo – para que los usuarios establezcan buenas prácticas de seguridad. Sí, hablamos de Facebook, una red que muchos usuarios podrían estar tentados a considerar no especialmente crítica o importante, pero no es así. Incluso si no utilizas Facebook habitualmente, es posible que utilices sus credenciales de acceso como login en otras redes, o que, a partir de la información acumulada en tu cuenta de Facebook, incluso aunque puedas llevar tiempo sin usarla, se pueda planear un posible robo de identidad.
En la práctica, que la seguridad de Facebook haya sido vulnerada y que exista la posibilidad de que alguien pueda hacer login en tu cuenta sin tu consentimiento, aunque no tenga tu contraseña, debería servir como un recordatorio más de que pongas al día, si no lo has hecho ya, tus prácticas de seguridad. El problema de Facebook no ha hecho que los delincuentes hayan tenido acceso a tu contraseña, sino a los access token, los pequeños archivos que nuestros navegadores utilizan para mantenerlos logados en el sitio. Si desde el viernes 28 de septiembre pasado has recibido un aviso inusual de Facebook pidiéndote que te logues con tu usuario y contraseña, es posible que estés afectado.
¿Cómo deberíamos plantearnos la seguridad ya no en Facebook, sino en general, hoy en día? De entrada, no utilizando contraseñas como se han utilizado habitualmente. Olvida tus contraseñas, no te inventes ninguna más – ni mucho menos reutilices una en muchos sitios – y utiliza en su lugar un gestor de contraseñas como LastPass o 1Password, que asigna una contraseña imposible de recordar a cada servicio, y la cambia por otra igualmente imposible de recordar si tienes cualquier problema de seguridad o sospecha de que podrías tenerlo. Tanto si eres responsable de tu propia seguridad como si lo eres de una compañía, deberías plantearte que las prácticas tradicionales de seguridad, por mucho que incluyan cambios periódicos de contraseña, están desactualizadas y son peligrosas, y que lo adecuado es sustituirlas por gestores de contraseñas.
¿Qué hacer, por tanto, aprovechando el problema de Facebook? De entrada, si no lo tenías, decídete a utilizar un gestor de contraseñas, y cambia la contraseña que tenías en la red social y, si las tenías como login independiente, también las de servicios como Instagram o WhatsApp. Una vez que hayas cambiado esas tres, hazte una ronda por todos los sitios que utilizas habitualmente, y sustituye todas las contraseñas de tipo mnemotécnico por las que tu gestor de contraseñas te indique, y hazlo de manera ordenada, organizada, sitio por sitio, proporcionando al gestor no solo el nombre del servicio, sino también la página de login, para que te resulte fácil cambiar esas contraseñas por otras posteriormente. Además, activa la seguridad de doble factor: el engorro es relativamente pequeño, no va más allá de recibir un SMS en tu smartphone cada vez que haces login en un dispositivo no habitual, pero te proporcionará una buena dosis de tranquilidad mental. Si quieres un nivel de seguridad aún mayor, puedes optar por un dispositivo físico, como los que utilizan los empleados de Google – ahora disponibles para todo el mundo – o las populares YubiKey de Yubico.
Nuestras posesiones digitales, sean del tipo que sean, precisan de cerraduras y sistemas de seguridad acordes a los tiempos en que vivimos. Afortunadamente, además, la seguridad está haciéndose cada día más cómoda, más conveniente y menos propia de expertos: utilizar un gestor de contraseñas o una llave de hardware está absolutamente al alcance de cualquiera, y no debe ser visto como algo que nos complique la vida, sino como un procedimiento cada vez más sencillo que sirve, eso sí, para dificultar u obstaculizar intentos de vulnerar nuestra seguridad. Si no lo has hecho ya, deja que las alertas periódicas de seguridad de los servicios web que utilizas se conviertan en recordatorios de que debes hacerlo lo antes posible.
This post is also available in English in my Medium page, “Facebook’s latest account breach: see it as a reminder to update your security»
¿Y qué puede pasar si alguien entra en mi cuenta de Facebook?
……¿Que me indisponga con todos mis seguidores?
……¿Que suelte soflamas separatistas?
……¿Que muestre pornografía ?
Pues bueno Y QUE,…. cuando se aclare todo se aclaró.
Igual que si llaman por teléfono a tus amigos imitando tu voz, o escriben cartas con membrete a tu nombre o mandan burofax amenazantes haciéndose pasar por tí. ¿No se puede hacer?.
¿Por qué nos preocupa tanto la seguridad en Internet y no nos preocupa en la vida física?.
Cuando en el stand de una feria me piden mis datos, les largo la primera tarjeta que me encuentro en la cartera, de un restaurante, de un ortoperdista, la que tenga. Me hago pasar por otro. para que los vendedores no me den la lata después, — Y BIEN, que …….
BIEN pues lo que puede pasar es que te consideren un objetivo interesante y usen toda la información disponible en tu perfil para empezar los primeros pasitos de lo que, poco a poco y con esfuerzo y planificación por su parte, puede acabar siendo un ataque de suplantación de identidad (que Enrique menciona en su artículo)
No subestimes lo que un buen ladrón puede llegar a conseguir llamando a tu banco o a tu proveedor de teléfono y haciendo buen uso de la ingeniería social junto con toda la información que hayan podido sacar sobre ti. Más aún si manipulan tu perfil para que su versión de los hechos coincida con lo que aparece en las redes sociales, esto puede ser clave para lograr convencer a alguien importante en la cadena (quizá no en el banco pero sí en otros ámbitos).
Al final, el robo de cuentas online no es más que el primer paso de muchos que forman parte de robos y otros delitos. Con que roben 1000 cuentas y en ellas vean 10 objetivos interesantes, ya es suficiente. No sabes cuáles son sus criterios así que no sabes si TÚ puedes acabar siendo uno de esos objetivos.
¿Y toda esta preocupación por ahorrarte usar una contraseña decente? Yo diría que el esfuerzo merece la pena.
Y todo eso por qué no pasa en la vida real, es tan difícil suplantarme y llamar a mi banco o a mi proveedor de teléfono y haciendo buen uso de la ingeniería social junto con toda la información que hayan podido sacar sobre mi, hacer lo que sea.
Todo lo que hay mio en Facebook o en Twitter es publico, no tiene que ir a ningún lado a robarlo,.lo único que no es publico es mi clave en Facebook, pues inmenso avance, si señor. Eso les da derecho a escribir por mi en mi TL. .
Creemos que los hacker tiene poderes que un simple timador no tiene y es falso. Timadores ha habido siempre y no hemos vivido tan estresados con nuestras cartas, telegramas, llamadas de teléfono y cosas por el estilo.
Parece que los medios de comunicación se hayan inventado con Tim Berners. No hay nada tan sencillo como pinchar un teléfono, los cuadros de cables están en la escalera de las casas sin protección alguna y seria facilísimo poner una cinta magnetofónica, o deviación a otro teléfono, (aparte de pinchar en telefónica que es lo cómodo).
Las cartas, ni te cuento por que cantidad de manos pasa, en mi casa, las últimas son las del portero, aparte que mi buzón se abre con cualquier alambre y que con unas pinzas largas las sacas sinproblema por la boca del buzón.
Seria facilísimo enterarse del numero de cuenta, basta interceptar cualquier recibo del banco. Mi imagen la pueden obtener cualquier día mientras paseo por la calle o estoy tomandome un café en el Bar,
Me enteré que la mayoría de las cerraduras de «seguridad» de las puertas blindadas, las que tiene unos conitos tallados en las caras, se abren con una llave maestra y un martillo de madera (no se como pero se abren)
Los coches con llave se abren con un pelota de tenis agujereada (lo he visto en youtube) y los eléctricos con unos aparatos secuenciadores de todas las claves de cierre normales
¿Alguien tiene miedo que le saboteen el coche, o que le pongan un rastreador GPS para ver donde va? Si lo hacen no serña un hacker, lo mas probable es que lo haga una persona muy próxima a ti, tanto como para saber de memoria la clave de la VISA.
Entra en la tienda del espía, alucinas con lo que existe y que se utiliza, pues claro que se utiliza, mira a Villarejo y verás, pero no vivimos preocupados porque constantemente nos estén grabando lo que decimos, y menos lo que decimos en público en un bar o en otro sitio donde socializas con amigos.
¿Por qué no tenemos miedo en la vida real y si en la digital? Sinceramente no lo entiendo.
Pienso que este baño de realidad (sin aumento) nos viene bien de vez en cuando… somos humanos!
Para soflama independentista esta: https://www.youtube.com/watch?v=CKXli5imOkI
Espero que no me la adjudiquen yo no tengo tanto pelo.
Eso de hacerte pasar por otro….
Es muy de The A-Team, pero está tipificado en el artículo 402 del C. Penal. Conlleva penas de cárcel.
Yo no lo haría más Gorki….
Pues lo pienso seguir haciendo, ahora mismo me hago pasar por Máximo Gorki
¡Cuidado! ¡Estas metiendo el dedo en la llaga!
En economía del comportamiento uno de los grandes motivadores del ser humano es la aversión a la perdida. «El miedo de los ricos es a que les tomen por tontos». La obsesión con la seguridad es irracional.
PD Quizás te acuerdes de cuando usaba mi nombre real por aquí.
OFF TOPIC
Calló
https://wwwhatsnew.com/2018/09/30/elon-musk-se-ve-obligado-a-renunciar-a-su-cargo-de-presidente-de-tesla/
No se que tiene que ver la noticia de Elon Musk con el tema que nos ocupa.- Son noticias totalmente diferentes al articulo de Facebook.- Perdona que le contradiga pero aprovechar el block para dar a conocer su blog personal, no suele ser de buen gusto.-
Muchas veces estoy de acuerdo con usted en lo que expresa y explica, incluso con enlaces sabiamente puestos que dan mas alcance a la noticia que nos atañe.
Pero en este caso no a lugar.-
Querido JUAN CARLOS, el blog no es mio, es uno que leo y el tema, es de mucho interés en este foro, por eso lo anticipo con un OFF TOPIC
Por los bigotes de mi perro, juro que no tengo el menor interés en publicitar mi blog, es mas, he quitado de mi firma GORKI desde hace varios meses porque lo tengo medio abandonado. (lo puedes comprobar)
Me he confundido, «Cayó» de caer, pero pensandolo un poco también «Calló», de ex bocazas.
Sigue siendo el CEO.
Creo que su mayor error fue confiar en su país, que en Chinastan el Model 3 ya sería un éxito de producción y ventas.
Veo bien el recordatorio acerca de buenas prácticas pero en este caso una contraseña segura no te iba a salvar, y 2FA tampoco. La cagada de FB de hacer fuga de access tokens en su funcionalidad de “View as” ha sido grave y los usuarios no hubieran podido hacer nada para evitarla, salvo darse de baja del servicio, que dada su decadencia creciente tampoco es descabellado.
Me parece que las cosas hay que llamarlas por su nombre. Y por una vez y espero que no me sirva de precedente vamos a hablar en roman paladino. Podría emplear un «tócate los…» Pero voy a ser más políticamente correcto. Cuando depositas tu confianza en un tercero, éste es responsable de su seguridad, y no, no tiene nada que ver con que el usuario tenga una password sencilla, ni ninguna idea feliz parecida. Les han birlado las passwords por una mala praxis. Punto. Ahí se acaba el defenderlos, salvo que te preoocupe que bajen las acciones de FB… Ni aconsejar cosas ajenas al problema real. Tenían un agujero de seguridad como un charco de patos y no sigo con la metáfora.
Si además el consejo es pagar por un servicio que guarda las passwords, Adelante, pero igual tienen una boca de metro…. ¿Estamos seguros que no es así?
Si bien en este caso parece que una contraseña fuerte o un doble factor no habrían evitado el robo de identidad, los consejos dados en el post son igual de válidos: usar un gestor de contraseñas y, sobre todo, un segundo factor de autenticación. Ambos son gratuitos, incluso LastPass (que no viene con ningún sistema operativo o navegador) y recibir mensajes SMS o usar Google Authenticator / Microsoft Authenticator tampoco tiene coste.
No obstante, discrepo en la dificultad de configuración y el engorro para usuarios normales, no técnicos, y no muy concienciados con la seguridad:
– En primer lugar ni por parte de los fabricantes de sistemas operativos (Windows, macOS, Android, iOS, etc.) ni por parte de los servicios de Internet se informa ni empuja a los usuarios (ni mucho menos se obliga) a establecer un segundo factor de autenticación, ni se ofrecen gestores de contraseñas multi-plataforma. Así que todo queda en que el usuario lo descubra por sí mismo o alguien se lo cuente.
– En segundo lugar, lo más fácil es el doble factor por SMS, que ni siquiera requiere mecanismo de backup: si pierdes el móvil con su SIM, puedes pedir a tu operador una nueva SIM duplicada para usar en un nuevo móvil. Pero todos los demás mecanismos, como generadores de códigos requieren una app que hay que configurar, reconfigurar al cambiar de móvil, imprimir o guardar códigos de backup, etc.
– A veces, se actualiza un navegador, creo que ha pasado con Chrome hace unos días, y hay que volver a introducir el segundo factor y confiar de nuevo en el navegador. Nada grave, pero molesto e innecesario.
– Por último, las llaves físicas como YubiKey: aparte del engorro de llevarla siempre encima, el propio fabricante te recomienda ¡tener una segunda llave de backup! y aunque en algunos servicios como Google son muy fáciles de configurar (dos o tres clicks), configurarlas con Windows Hello no es trivial y con macOS menos aún, requieren instalar una app, configurar. etc. y después de todo eso, al menos en el caso de Windows, solo sirve para desbloquear, no para hacer login tras un arranque o reinicio:
Using Your YubiKey with the Windows Hello App
Getting Started with the YubiKey on macOS
Creo que habrá que esperar a que se implanten los estándares anunciados en navegadores y en sistemas operativos para que las llaves físicas se puedan configurar con un par de clicks sin necesidad de nada más. A nivel empresarial me parecen muy interesantes, pero a nivel particular las veo engorrosas.
En definitiva, en mi opinión todavía queda un largo trecho, por parte de la tecnología, para eliminar la fricción del segundo factor.
Usaba LastPass, pero es antinatural confiar mis datos mas privados a una empresa, pero en Mozilla si confío, y uso su software y su gestor de contraseñas.
En todo caso, hay que proteger lo que tiene valor, y el postureo no entra en ese saco.
Eso digo yo: …. ¿hasta qué punto es seguro un gestor de contraseñas?, si los atacan a ellos nos habrán dado a todos pero bien… :o(
Para el común de los usuarios, un gestor de contraseñas es mejor que los métodos que usan actualmente: reusar la misma contraseña en varios sitios, usar la fecha de cumpleaños o el nombre de la mascota o de los hijos, apuntar las contraseñas en un post-it o en una libreta o en un archivo en el escritorio de Windows, etc.
Para los usuarios más avanzados, la contraseña es la mitad de la autenticación (algo que sabes). La otra mitad es un segundo factor de autenticación (2FA), algo que posees (SIM para recibir SMS, app authenticator, llave física, etc.) o eres (huella dactilar, cara, voz). De manera que aunque las contraseñas del gestor se vean comprometidas, los atacantes siguen sin poder entrar. Por supuesto, el gestor de contraseñas también se protege mediante un segundo factor. Ya he puesto en algún comentario en el pasado la lista de servicios de internet que admiten 2FA, prácticamente son todos.
Me considero un «usuario avanzado», y tras haber usado generadores y gestores de contraseñas he preferido poner el mismo usuario y contraseña al 98% de registros que son irrelevante.
Incluso me he quejado a Discord por la doble autentificación, pues es una molestia innecesaria, que no lo uso para pagar en tiendas, ni para hacer la declaración de la renta o comunicarme con clientes.
P.D. Fui víctima de 3000 € de fraude por la pésima y estúpida gestión de mis datos que hizo el Banco Popular. Nuestros datos no solo los gestionamos nosotros, toda moneda tiene dos caras.
Segurísimo si usas uno bueno. Los buenos gestores de contraseñas se pueden atacar como se puede atacar cualquier cosa, pero los atacantes solo consiguen acceso a una lista de contraseñas completamente cifradas que no pueden ser utilizadas para nada.
Nuestro querido Eduardo siempre considera que la tecnología es la solución. Yo considero que es algo de lo que se debe desconfiar por principio, porque puede fallar, algo que Eduardo no parece tener en cuenta. Quizá ser administrador de backups tenga que ver con ello.
La autentificación de dos factores es un ejemplo. Mi tarjeta del banco usa 2FA por SMS. Fue muy gracioso aquella vez que se me estropeó el móvil y tuve que tirar de la tarjeta para comprarme otro. Evidentemente la tarjeta no la puede usar para pagar porque el SMS llegaba a un teléfono que no funcionaba…
Sí, hay que tener cuidado con la identidad on-line, pero la solución no puede ser algo que pueda fallarte.
Es curioso como no se aplica la racionalidad científica en este evento. Imaginemos que queremos «asegurar» nuestra cuenta en FB teniendo la password «secreta» guardada en un servicio de pago. ¿Estoy subiendo o bajando la seguridad? Juguemos a los dados:
Entonces asignamos una cara del dado a que «hackeen» FB. Entonces P(FB)=1/6=17%
Y la probabilidad de hackeo del servicio otra cara del dado P(servicio)=1/6=17%
Si no tengo contratado del servicio, mi seguridad de ser hackeado es del 17%. Si además tengo un servicio contratado: me pueden hackear por dos lados, en total 34%.
Luego queda demostrado que el uso de un servicio de passwords es más inseguro según esta aproximación.
¿Tenemos que rechazar este servicio? Si tus hábitos es poner como password «123456», como parecen sugerir que somos de encefalograma plano, entonces yo también recomiendo el servicio, ya que en este último caso, tenemos que tener en cuenta que estás sumando casi el resto de caras del dado a ser hackeado, por lo que tu probabilidad se acerca al 100%.
Pero por mucho servicio que contrates el responsable primero (FB) es el que tiene que tener un buen sistema de salvaguarda de claves. Y por mucho sistema paralelo que contrates siempre tu seguridad va a tener una brecha si te conectas a un sistema no seguro como se han encargado de demostrar: FB, Dropbox, Amazon y un largo etc donde hay dinero hay hackeo. Cuando te avisa tu banco que se está usando tu Visa en Orlando, y tu solo conoces de Orlando el tomate frito, es porque hay dinero y nunca la probabilidad de hackeo es cero.
Salvo que, como ya he dicho en lo menos diez o quince ocasiones, la posible vulneración de seguridad en el servicio de gestión de contraseñas no te lleve a correr riesgo alguno, porque incluso en ese caso, lo único que se puede conseguir es un inútil listado de contraseñas cifradas. Aporta seguridad porque te permite gestionar una contraseña verdaderamente sólida, pero no aporta riesgo alguno porque incluso una vulneración de su seguridad no permite obtenerla. No creo en dios, pero si existiese, como bien decía Einstein, tengo claro que no juega a los dados…
Es evidente que si una «caja» guarda dinero, demos por seguro que la abrirán…
https://www.xatakandroid.com/aplicaciones-android/lastpass-reconoce-que-han-hackeado-su-servicio-hora-de-cambiar-la-contrasena-maestra
Ánimo te faltan solo repetir la idea 990 ó 985 veces para convertirla en verdad ;-)
No seas pesado: LastPass ha sufrido tres o cuatro intrusiones, como corresponde a un servicio en el que es una auténtica delicia entrar para la reputación de cualquier estudioso de la seguridad, sea de los buenos o de los malos. Y ni una sola de esas veces los atacantes han conseguido acceder a ni una sola de las contraseñas almacenadas en el servicio, sencillamente, porque estaban cifradas. Tal vez te resulte difícil entenderlo, pero LAS CONTRASEÑAS NO SE ALMACENAN EN LASTPASS, SOLO SE ALMACENA SU CIFRADO. Por tanto, seguir poniéndote pesado con que las intrusiones en servicios de gestión de contraseñas solo hará que sepamos que no eres precisamente un experto en estos temas. Lo tuyo es el clásico simplismo de aquellos para los que «un ataque» es eso, «un ataque», y son incapaces de entender las diferencias entre unos y otros, lo que realmente se compromete en ellos, o sencillamente, el concepto de cifrado fuerte. Y con «hexpertos» como tú esparciendo mentiras y desinformación sobre este tipo de servicios en lugar de recomendándolos, así nos va en seguridad…
Tengo un problema con esta entrada y es básicamente que en este caso no se puede aprovechar que el Pisuerga pasa por Valladolid.
– Estamos de acuerdo en que LastPass almacena las contraseñas cifradas. Por lo que si alguien roba la base de datos sólo consigue contraseñas cifradas. Pero entiendo que Facebook no almacena las contraseñas en texto plano, por lo que si alguien roba la base de datos de contraseñas conseguirá lo mismo que con la de LastPass.
– Por otro lado, si lo que se ha robado es el «Access Token», entiendo que se hubiera robado exactamente igual utilizando LastPass, una contraseña mnemotécnica o el Post-it pegado en la pantalla.
Un saludo,
Enrique.
De acuerdo en que el robo del access token no se hubiera impedido con un gestor de contraseñas ni 2FA, pero cualquier noticia de robos de identidades se puede aprovechar para concienciar sobre malas prácticas, terriblemente extendidas, que conllevan al mismo resultado.
Efectivamente, ni Facebook ni ninguna empresa seria almacena contraseñas en texto plano, ni siquiera contraseñas cifradas (en el sentido de que si alguien sabe la clave de descifrado, se podría recuperar la contraseña en claro). Lo que se almacena es un hash encriptado de la contraseña. Un hash es el resultado (único para cada contraseña) de una función unidireccional que no permite saber la entrada (contraseña en claro) a partir del resultado de la función (el hash). El hash se calcula en el lado cliente, de manera que el lado servidor no conoce en ningún momento la contraseña en claro. Además en el cálculo del hash se usa algo distinto para cada usuario (salt), y se encripta de lo lindo en el servidor porque si el atacante se hace con el hash, ocurren dos cosas: lo puede enviar desde el cliente, y puede saber si dos usuarios tienen la misma contraseña (porque tienen el mismo hash).
Si das con un sitio en el que cuando pulsas en «He olvidado la contraseña» te la envía por correo en claro, ya sabes que tienes que darte de baja de ese sitio. Lo correcto es que no te la puedan decir porque no tienen forma de saberla y lo único que pueden hacer es enviarte un enlace para crear una nueva contraseña.
El mayor problema de Facebook y de otros sitios viene por dos lados:
1. Los usuarios reusan contraseñas en múltiple sitios. Los atacantes usan listas de emails/contraseñas robadas de algún sitio para atacar a otros sitios:
Facebook: Keeping Passwords Secure
La mejor solución para esto (salvo que tengas un algoritmo en la cabeza como explicó Gorki o tengas la memoria de un GM de ajedrez) es usar un gestor de contraseñas que genera contraseñas únicas para cada sitio, y te revisa las actuales si ve que estás reutilizando la misma en más de un sitio. La seguridad de estos gestores está documentada por ellos mismos, para el que lo quiera buscar. Baste decir que LastPass, etc. no conocen en ningún momento la contraseña maestra de cada usuario ni pueden desencriptar el almacén de contraseñas de cada usuario aunque quieran. Esto no es como en muchas empresas donde los DBAs o los administradores de sistemas, si quieren, sí pueden acceder a secretos, y hay que fiarse de ellos (otra mala práctica).
2. Los usuarios no usan un segundo factor de autenticación (también mencionado en el enlace del punto anterior). Lo más cómodo, un SMS a la SIM de tu móvil (y si te lo roban, como mecanismo de backup un móvil viejo en el armario para meter la SIM nueva que te da la operadora mientras te compras otro).
Abusar de la seguridad también es una «mala practica» por los costes que genera, totalmente improductivos.
Alguno guarda su colección de cromos en una caja de seguridad del banco… Yo los tengo en una caja de zapatos en el trastero.
Da gusto leerte. Un saludo