Cómo te afectan los robos masivos de contraseñas

Post redactat per Eric Mellado

En los últimos meses están saliendo a la luz casos de robos masivos de contraseñas de webs de uso global, muchas de ellas son grandes empresas con facturaciones desorbitadas, lo que hace el caso más sonado. Parece que nadie está a salvo. A primera vista puede parecer que es un problema que afectase solamente al servicio que preste la web en cuestión, pero la realidad es que existe un trasfondo que hace el asunto mucho más grave.

Pongamos un poco de perspectiva en el asunto. Estamos hablando que, por ejemplo, se han hecho públicas las contraseñas (y emails) de 68 millones de usuarios de Dropbox, 152 millones de usuarios de Adobe, 164 millones de usuarios de Linkedin, 359 millones de usuarios de MySpace o 500 millones de usuarios de Yahoo, por nombrar las más conocidas.

Uno podría pensar que estos robos son rápidamente detectados por las grandes empresas afectadas y se toman las medidas oportunas para minimizar los daños, pero la realidad es que, por ejemplo, en el caso de Yahoo el robo se produjo en 2014, y sin embargo, se ha conocido en agosto de este año. Si nos fijamos en el caso de Linkedin, el robo se produjo en 2012 y en mayo de este año se han hecho públicas las contraseñas. Evidentemente, durante ese tiempo no se han podido tomar medidas paliativas, y los responsables del robo han dispuesto de la información para sus fines con total impunidad.

También se podría pensar, bueno, si me roban la contraseña de, por ejemplo, Linkedin tampoco es tan grave… Y no lo sería si no fuese porque muchísima gente reutiliza las contraseñas.

Por ejemplo, si usas la misma contraseña para Linkedin que para tu email, alguien con la lista de contraseñas robadas intentará entrar a tu email y lo conseguirá. Una vez hecho esto, podrá entrar a todas las webs en la que hayas usado ese email para registrarte (porque solicitará a la web restablecer la contraseña, y la web enviará esta nueva contraseña a tu email, al que ahora el delincuente tiene acceso).

El robo de contraseñas de Dropbox fue así. Alguien con la lista de contraseñas de Linkedin fue verificando las cuentas de usuarios que decían trabajar en Dropbox, hasta que encontró a un trabajador de Dropbox que había usado la misma contraseña para acceder a Linkedin y a la red interna de la empresa. A partir de ahí, el delincuente lo tuvo fácil para hacerse con los datos de 68 millones de usuarios de Dropbox.

Lo siguiente seria pensar, quien se va a preocupar de hackearme a mí, si no soy nadie importante ni tengo acceso a nada de interés… Esto también es un error.

Esta información robada, es valiosa, en varios niveles.

En primer nivel, con la información recién obtenida por el delincuente o grupo, sirve al propósito que tuvieran para cometer el delito. Por ejemplo, obtener información confidencial de empresas o personas que sean un objetivo, ganar acceso a ciertos sistemas, robo de dinero a objetivos seleccionados, etc. Una vez satisfecho dicho objetivo, durante un tiempo, esa información se pone a la venta, y su precio es menor contra más gente tenga acceso a ella. En este punto, quien ha pagado por esa información la rentabiliza de diversas maneras. Al final, la información se acaba filtrando, y al hacerse pública y gratuita, centenares de personas en todo el mundo intenta ganar dinero también atacando indiscriminadamente a todas las cuentas de usuario filtradas.

Para ganar dinero, revisarán todas la información que tienen de cada usuario, cruzando los datos con otras filtraciones, con el objetivo de ganar acceso, por ejemplo, a la cuenta de Amazon y realizar compras a cargo de la víctima, o incluso, acceder al ordenador de la víctima, con el objetivo, por ejemplo, de instalar programas que graben la interacción del usuario con la pagina del banco y así poder vaciarles luego la cuenta corriente, o instalar un virus en su ordenador que les permita añadirlo a una botnet. ( Una botnet es un conjunto de ordenadores, normalmente decenas de miles, controlados maliciosamente por un delincuente que se usa para realizar ataques masivos a páginas web, incluso se alquila su uso).

Hay gente que reutilizó la contraseña de Linkedin para instalar el programa Teamviewer, que permite controlar tu ordenador desde otro distinto.

Algunas de estas personas, se dieron cuenta que en un momento en el que no estaban usando el ordenador, alguien se había conectado al PC a través de Teamviewer y estaba realizando compras en Amazon haciendose pasar por él, entrando a su correo, a las contraseñas guardadas en su navegador, etc.

Durante semanas esto se repitió sistemáticamente a miles de personas. Por tanto, es evidente que no importa quién seas, van a intentar ver si te pueden quitar algo.

Ahora que sabemos los riesgos, podemos tomar medidas para evitar que nos pase a nosotros.

Lo primero, sería ir a la página web https://haveibeenpwned.com , en esta web si introducimos nuestro email o nombre de usuario de las webs afectadas, nos dirá si nuestra información está entre los datos que se han hecho públicos.

Si estamos afectados, nos mostrará una página como esta:

¿qué deberíamos hacer? Cambiar la contraseña de la web afectada y en todas en las que hayamos reutilizado esa contraseña.

Por otra parte, es una buena costumbre no reutilizar la misma contraseña en sitios distintos, y tenemos que tener especial cuidado con usar una contraseña única para nuestro email.

De la misma forma, usar un patrón para las contraseñas fácilmente deducible tampoco nos sería de ayuda. Por ejemplo, usar 08MiContraseñaDrop para Dropbox y 08MiContraseñaLink para Linkedin , aunque parezca una buena idea para poder recordarlas fácilmente y que no sean la misma, es evidente que el patrón es fácil de adivinar si el delincuente tiene acceso a una o dos contraseñas tuyas.

¿Entonces, como vamos a recordar tantísimas contraseñas? Existen aplicaciones llamadas gestores de contraseñas, como KeePass (www.keepass.info ) o servicios en la nube (www.lastPass.com o www.dashlane.com) que nos facilitan mantener, recordar e introducir tantas contraseñas.

Otra opción de seguridad que está obteniendo bastante popularidad es la autentificación en dos pasos (también llamado 2FA por su sus siglas en inglés).

Consiste en que para poder iniciar sesión hace falta dos cosas, normalmente algo que sabes y algo que tienes. El ejemplo más claro es la tarjeta de debito: Para sacar dinero del cajero necesitas el PIN (algo que sabes) y la tarjeta físicamente (algo que tienes). En el ámbito tecnológico, esto se implementa mediante una contraseña (algo que sabes) y un código único que se envía a tu teléfono móvil (algo que tienes) cada vez que quieres iniciar sesión. De esta manera, solo con la contraseña nadie podría entrar a tu cuenta.

Este sistema está disponible cada vez en mayor número de webs, y los proveedores de servicios mas importantes como Google, Facebook, Apple, etc. lo proporcionan. Por tanto, si queremos estar seguros, es buena idea activar esta opción.