in ,

¿Te han robado… o te van a robar?

¿Te han robado… o te van a robar?

Un equipo de editores de Vice se dedicó a preguntar a asistentes a la última DEF CON, una de las mayores conferencias de ciberseguridad del mundo, por qué la gente seguía siendo objeto de robos y delitos en la red, y la respuesta más habitual es porque no toman ni siquiera las precauciones más obvias y sencillas.

En efecto, un estudio reciente de Google concluyó que cientos de miles de personas utilizan no sólo la misma contraseña para muchas páginas y servicios, sino que incluso siguen utilizando contraseñas que están publicadas y asociadas a su nombre de usuario en documentos abiertos en la red. El equivalente en el mundo físico sería que utilizases la misma llave para abrir todas tus puertas de casa, tu coche, tu despacho y el armario de tu gimnasio, y que, además, esa llave estuviese disponible en un montón de sitios con simplemente ir a buscarla. La pregunta, obviamente, no sería si te han robado, sino cuándo te van a robar.

¿Te han robado… o te van a robar?

Cientos de miles de personas utilizan ya no sólo contraseñas estúpidamente sencillas, sino que, además, usan la misma en muchos sitios, y resulta que, encima, si las buscas, esas contraseñas, unidas a su nombre de usuario, ya están publicadas para que cualquiera pueda utilizarlas y hacer con ellas lo que le dé la real gana, en lo que se denomina credential stuffing: simplemente tomar esos pares de usuario y contraseña, y probarlos al azar de manera automatizada para ver si ese usuario los ha utilizado también en otros servicios.

¿Cómo saber si estamos en ese caso? Repetimos: el problema ya no es que tu contraseña sea absurdamente fácil ni que uses la misma en todas partes, cuestiones que ya harían de ti una persona notablemente torpe y una víctima fácil, sino que, además, esa contraseña ya esté publicada. Para saberlo, vete a Have I Been Pwned, un servicio creado por el experto en seguridad Troy Hunt recopilando muchos archivos de filtraciones por toda la web procedentes de problemas de seguridad de páginas de todo tipo, que permite que introduzcas tu correo electrónico -no, no lo van a utilizar para hacer spam- y te informa de si aparece en alguno o algunos de esos archivos y repositorios que circulan públicamente. Cuando te diga que lo ha encontrado, la conclusión es muy sencilla: la contraseña que utilizabas en el servicio afectado está públicamente expuesta, y, por tanto, no deberías volverla a utilizar en ningún otro sitio unida a ese correo electrónico, porque cualquiera puede simplemente tomarla de ese documento públicamente accesible y probarla en cualquier servicio, a ver si te pilla.

¿Te han robado… o te van a robar?

La propia Google ha creado una extensión de navegador, llamada Password Checkup Extension, que te avisará cuando utilices una contraseña en cualquier página si esa cuenta que estás utilizando aparece en algunos de esos repositorios de cuentas comprometidas en la red, y está, por tanto, simplemente a la espera de que algún delincuente sin otra cosa que hacer decida probarla. De nuevo: en ese caso, la pregunta ya no es si te han robado, sino cuándo te van a robar, como ocurriría si salieses de casa y dejases la llave puesta en la puerta, a la espera de que pase por delante un ladrón con ganas de trabajar. Es tan sencillo como eso.

Si además de hacer esta pequeña prueba y corregir los posibles problemas existentes quieres empezar a hacer las cosas bien, simplemente deja de utilizar la misma contraseña en distintos sitios. Si quieres hacerlo de verdad bien, olvídate de todas tus contraseñas menos de una, y empieza a utilizar un gestor de contraseñas. Hay muchos, los líderes de mercado son LastPass, 1Password, Dashlane o KeePass, con condiciones y precios diferentes que en algunos casos incluyen la posibilidad de utilizarlo gratis en régimen freemium o de donación, y que simplemente requieren un poco de orden y disciplina. No creas a los que afirman que los gestores de contraseñas no son seguros porque “si roban al gestor, me roban todas las contraseñas”: simplemente, están mal informados y no saben cómo funcionan este tipo de servicios, que utilizan cifrado fuerte en todos sus registros. Pero si no quieres usar un gestor de contraseñas, al menos echa un ojo para saber si las que usas han sido ya comprometidas: es un ratito, y la posible solución a algunos de los robos que podrías sufrir en el futuro. Al menos, no lo pongas tan fácil…

Enrique Dans. Profesor de Innovación en IE Business School

Comentarios

Deja una respuesta

Moderación manual. Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Loading…

0