CONTRASEÑAS FRAGILES

Publicado en Tecnología

Screen Shot 2013-03-14 at 09.28.58

Publicado en fecha abril 16, 2013

 

¿Por qué una cadena de caracteres ya no puede protegernos?

Usted tiene un secreto que puede arruinar su vida y no es un secreto bien guardado. Así comienza el artículo escrito por Mat Honan en Wired.com donde habla del peligro de que alguien pueda tener acceso a sus contraseñas y como una simple cadena de caracteres, seis de ellos si usted es descuidado o 16 si es prudente, que puede revelar todo sobre su persona.
Con un tono bastante alarmante Honan nos muestra cómo los datos que subimos a la web pueden dar información muy valiosa y lo peor, peligrosa sobre nosotros. A través de nuestro correo electrónico alguien puede saber todo sobre su trabajo, su cuenta bancaria, su dirección, su número de tarjeta de crédito, pueden tener fotos de sus hijos o, peor aún, de sí mismo, desnudo. Todo, incluso el lugar exacto donde usted está sentado ahora mismo, mientras lees estas palabras, se puede saber gracias a la era de información.
“Hemos comprado la idea de que una contraseña, siempre y cuando sea lo suficientemente elaborada, es un medio adecuado para la protección de todos estos datos preciosos. Sin embargo, en 2012, éste ya es un argumento de venta anticuado. No importa lo complejo de sus contraseñas, estas ya no pueden protegerte”, afirma este experto en computadoras que recientemente sufrió en carne propia el robo de su identidad online.
Los famosos hackers rompen en los sistemas informáticos y elaboran listas de liberación de nombres de usuario y contraseñas. Esto significa que entran a su cuenta de correo y ponen sus datos a disposición del mundo para ser usados. Los resultados pueden ser devastadores y darse cuenta que se tiene un doble online puede tomar meses. Pero quiénes son los hackers? Existen varias definiciones para ellos, pero una de ellas indica que son “personas que  disfrutan de un conocimiento profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas”. El internet mismo es una creación de hacker, pero comúnmente en la actualidad se entiende hackers como un sinónimo de criminales informáticos. Sin embargo, se caracterizan por ser gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como Internet (“Black hats”). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas (“White hats”) y a los de moral ambigua como son los “Grey hats”.
El tema es que no hace falta ser un amante de las tecnologías ni un experto en redes para poder acceder a una cuenta ajena. Todo esto nunca ha sido tan fácil desde que existe una explosión de la información personal que se almacena en el mundo virtual. Una persona puede saber su nombre, dirección, empleo y otros datos sólo con buscarlo en Google o en páginas de perfiles laborales como Linkedin. De ahí en más, podemos seguir averiguando todo sobre usted. Su familia y amigos, sus viajes, su ubicación actual, dónde le gusta comer y sus pensamientos o reflexiones sobre la vida están en sus redes sociales como Facebook o Twitter.
Con toda esta información disponible, engañar a los agentes de servicio al cliente en restablecer contraseñas nunca ha sido tan fácil. Todo lo que un hacker tiene que hacer es utilizar la información personal que es a disposición del público en un servicio para poder entrar en otra.
“Este verano, los hackers han destruido mi vida digital todo en el lapso de una hora. Mi Apple, Twitter, Gmail y las contraseñas eran robustos 7, 10 y 19 caracteres, respectivamente, todos los caracteres alfanuméricos, algunas con símbolos lanzado adentro también, pero los tres relatos están vinculados, por lo que una vez que los hackers habían estado en una, tenían todas mis cuentas”, relata Honan.
Desde ese día este internauta se ha dedicado a investigar el mundo de la seguridad en línea. Y lo que ha encontrado, en sus palabras es absolutamente aterrador. En su relato él asegura que nuestras vidas digitales son simplemente demasiado fáciles de conocer y nos da este paso a paso para poder tener acceso a nuestras cuentas. “Imagínese que yo quiero entrar en tu correo electrónico. Digamos que usted está en AOL. Todo lo que tienes que hacer es ir a la página web y proporcionar su nombre, más tal vez la ciudad que nació, información que es fácil de encontrar en la era de Google. Con eso, AOL me da un restablecimiento de contraseña, y puedo entrar como si fuera usted. Lo primero que hago es buscar la palabra “banco” para averiguar dónde realizar sus operaciones bancarias en línea. Voy allí y hago clic en el olvidó su clave. Me sale el restablecimiento de contraseña e inicie sesión en su cuenta, que puedo controlar. Ahora soy dueño de su cuenta de cheques, así como su correo electrónico”.
Aunque suene increíble con dos minutos y $us 4 basta para ingresar a un sitio web ajeno y presentar un informe con su tarjeta de crédito, teléfono y número de seguro social y su domicilio. En cinco minutos más un experto podría estar dentro de todas sus cuentas como, por ejemplo, Amazon, Best Buy, Hulu, Microsoft y Netflix.
La debilidad común en estos hacks es la contraseña.. Hoy en día, no hay nada que hacer, no hay precaución que toma, ninguna cadena larga o aleatoria de caracteres puede detener a un individuo verdaderamente dedicado para entrar a su cuenta. La edad de la contraseña ha llegado a su fin, sólo que no se han dado cuenta todavía.

Las contraseñas son tan antiguos como la civilización.
Y durante el tiempo que han existido, la gente ha buscado y encontrado cómo quebrantarlas. Y hoy en día todos tenemos la receta al alcance de nuestras manos. Si usted ingresa en Google la búsqueda cómo hackear una cuenta ya sea de Facebook o un email en menos de 28 segundos tendrá acceso a la asombrosa suma de 3 millones 730 mil resultados, en los cuales aseguran que en menos de 5 minutos usted podrá tener acceso a la cuenta que desea. Incluso existen videos tutoriales con el paso a paso para hackear una cuenta de Facebook. Entonces quiénes hacen esto? No solo ladrones de banca virtual, sino sobre todo adolescentes con mucho tiempo libre, novias o novios molestos y celosos y gente común y corriente. Cualquiera puede ser un hacker con sólo hacer un par de clicks.
Esto es algo que viene de hace muchas generaciones, las primeras computadoras que usan contraseñas eran probablemente los de MIT Compatible Time-Sharing System, desarrolladas en 1961. Para limitar el tiempo que cualquier usuario podría pasar en el sistema, CTSS utilizaba un inicio de sesión de acceso de ración. Sólo hubo que esperar hasta 1962, cuando un estudiante de doctorado llamado Allan Scherr, queriendo más que su asignación de cuatro horas, derrotó el inicio de sesión con un truco sencillo: Se encuentra el archivo que contiene las contraseñas y se imprimen todas. Después de eso, él tiene tiempo tanto como quería.
Durante los años de formación de la web, ya que nos fuimos todos en línea, las contraseñas funcionaron bastante bien. Esto se debió en gran parte, a los pocos datos que realmente se necesitaba proteger. Nuestras contraseñas se limitaban a un puñado de aplicaciones: un proveedor de Internet para el correo electrónico y tal vez un sitio de comercio electrónico. Dado que la información personal casi no estaba en el mundo online, o en la nube (como suele ser llamado en el ambiente virtual), en ese momento-no había recompensa por irrumpir en las cuentas de un individuo, los hackers serios seguían persiguiendo a los grandes sistemas corporativos.
Pero las direcciones de correo electrónico se transformaron en una especie de inicio de sesión universal, sirviendo como nuestro nombre de usuario en todas partes. Correo Web fue la puerta de entrada a una nueva lista de aplicaciones de la nube. Empezamos el sistema bancario en la nube, el seguimiento de las finanzas en la nube, y hasta hacemos nuestros impuestos en la nube. Hemos escondido nuestras fotos, nuestros documentos, todos nuestros datos en la nube.
A pesar de que las compañías conocen las fallas del sistema de las contraseñas, han decidido que la contraseña segura es la cura. Que sea lo suficientemente larga, con algunos números,  más un signo de exclamación, y todo va a estar bien. Esto es pensando sin contar las nuevas técnicas de hacking que simplemente roban nuestras contraseñas sin importar su  longitud o complejidad.
El número de violaciones de datos en los EE.UU. aumentó en un 67 por ciento en 2011, y cada caso importante es enormemente costoso: Después de que la base de datos de Sony PlayStation fue hackeada en 2011, la empresa tuvo que pagar $us 171 millones para reconstruir su red y proteger a los usuarios de la identidad robada. Sume el costo total, incluyendo la pérdida de negocios, y un solo hack puede convertirse en una catástrofe de millones de dólares.
La falta de cuidado, resulta que es el riesgo más grande en la seguridad de todos. A pesar de las recomendaciones, la gente todavía utiliza contraseñas predecibles. Cuando el consultor de seguridad online Mark Burnett compiló una lista de las 10.000 contraseñas más comunes basado en fuentes fácilmente disponibles (como contraseñas objeto de dumping en línea por los hackers y simples búsquedas de Google), encontró que “password” era la más utilizada. El segundo lugar fue para el número 123456. Si utiliza una contraseña tonta como esa, entrar en su cuenta es trivial. Existen millones de listas de contraseñas comunes que, no por casualidad, se encuentran disponibles en línea, en la base de datos de Google. Si usted ingresa la búsqueda “las contraseñas más comunes” obtendrá 483 mil resultados en 25 segundos, donde verá páginas que muestran las contraseñas que usted  no debe utilizar por ser demasiado predecibles.
Otro tema para tomar en cuenta si quiere tener algo extra de seguridad es que “la reutilización de contraseñas es lo que realmente te mata”, según Diana Smetters, una ingeniera de software de Google que trabaja en sistemas de autenticación. Así que hay que poner a trabajar la memoria para recordar varias contraseñas en vez de utilizar una para todas las cuentas.
Pero los hackers también pueden obtener nuestras contraseñas mediante engaños. La técnica más conocida es el phishing, que consiste en imitar un sitio familiar y pidiendo a los usuarios a introducir su información de acceso. El hacker envía un correo electrónico que une digamos  a una falsa página de AOL, que pidió su contraseña. Usted entra ingresa sus datos y listo. Otra persona ya es dueña de sus datos.
Eso fue lo que le sucedió a Steven Downey, director de tecnología de Shipley Energy en Pennsylvania. Al principio el hacker no hizo nada, sólo acechaba, leyendo todos sus mensajes hasta llegar a conocerlo. Se enteró de que tenía un contador que maneja sus finanzas. Aprendió sus gestos electrónicos, las frases que usaba y temas de conversación. Sólo entonces se hizo pasar por él y envió un correo electrónico al contador, ordenando tres transferencias bancarias separadas por un total de alrededor de $us 120.000 a un banco en Australia. Su banco en casa envió 89.000 dólares antes de que el fraude fuera detectado.
CONSEJOS PARA QUE SUS CUENTAS ONLINE SEAN MÁS SEGURAS:

 Habilitar autenticación de dos factores cuando se le ofrece. Cuando se conecta desde un lugar extraño, el sistema le enviará un mensaje de texto al celular con un código para confirmar.

 Dar respuestas falsas a las preguntas de seguridad. Piense en ellos como una contraseña secundaria. En vez de decir cuál fue su amigo de infancia diga algo al azar como “nomeimporta”.

 Utilice una única dirección de correo electrónico segura para la recuperación de contraseñas. Si un hacker sabe dónde va su restablecimiento de contraseña ya tiene una línea de ataque. Así que cree una cuenta especial que nunca usa para las comunicaciones. Y asegúrese de elegir un nombre de usuario que no está ligado a su nombre como m **** n@hotmail.com

 

Comparte este articulo

No Comments

Comments for CONTRASEÑAS FRAGILES are now closed.