Contenidos | |
 |
|
Desde el momento en que la gente comenzó a utilizar contraseñas, no tardaron en darse cuenta que varias personas utilizaban la misma contraseña una y otra vez, incluso la forma en que las personas escriben erróneamente las palabras es coherente; Normalmente las personas son tan previsibles que la mayoría de los hackers hacen uso de listas de contraseñas comunes como las publicadas en este articulo.
A mediados de 2012, en Twitter la IEEE ha dejado expuestos mas de 100GB de logs en los que se encontraban gran cantidad credenciales de usuarios inscritos en los sitios IEEE.org y spectrum.ieee.org, dejando en evidencia que los ingenieros también utilizamos claves incluidas en las Peores 500 Contraseñas de Todos los Tiempos.
Cada vez es más importante generar contraseñas seguras para todos nuestros servicios on-line, correo personal, dropbox, evernote, finanzas, etc. y no solo es importante la generación de las mismas, también es importante como utilizarlas y no reciclarlas o utilizar la misma para diferentes servicios.
Resulta fastidioso tener que generar y acordarse de todas las contraseñas que utilizamos, existen varias prácticas, la más extendida y errónea: utilizar la misma contraseña para todos nuestras cuentas.
Otra es utilizar la Mnemotecnia o nemotecnia asociar mentalmente ideas, esquemas, ejercicios sistemáticos, repeticiones, etc. para facilitar el recuerdo de algo.
Es muy importante no utilizar siempre la misma contraseña para todo. Ejemplo: has utilizado la misma contraseña para registrarte en un foro o en una aplicación online como spotify, imagina que a Spotify le hackean y quedan todas las contraseñas junto con sus e-mails al descubierto, estate seguro que los que han conseguido esos datos lo primero que harán será probar esas contraseñas que tengan asociado emails de servicios de correo conocidos como son hotmail, yahoo o gmail e intentarán entrar en tus cuentas.
Al igual que el año pasado, ‘password’ (contraseña), ‘123456’ y 12345678’ son las contraseñas más utilizadas en todo el mundo. Al menos, según el ranking que elabora SplashData, aunque son claves que se pueden encontrar de forma masiva cada vez que un cracker filtra contraseñas obtenidas por algún fallo de seguridad.
Según explica Morgan Slain, CEO de esta compañía, en una nota de prensa, en esta época del año “la gente disfruta con disfraces, películas y decoraciones aterradoras, pero quienes han pasado por ello pueden decir cómo de aterrador es que te roben la identidad por una contraseña hackeada”.
Por este motivo crean cada año su lista con las peores contraseñas posibles, pues creen que es importante concienciar a los usuarios para que utilicen claves seguras. Para elaborarla utilizan la información que publican en Internet hackers y crackers.
“Aunque las herramientas de hackeo se vuelven más sofisticadas cada año, los ladrones todavía prefieren los blancos fáciles”, asegura Slain. “Poner un poco más de esfuerzo a la hora de elegir la contraseña supondrá un gran paso para estar más seguro en línea”.
Las tres primeras posiciones de la lista de SplashData se mantienen iguales respecto al año anterior, pero ha habido varios cambios. Así, ‘abc123’ ha subido un puesto y ocupa ahora el cuarto lugar que anteriormente poseía ‘qwerty’. ‘Monkey’ (mono), ‘letmein’ (déjame entrar), ‘dragon’, ‘111111‘ (que sube tres puestos) y ‘baseball’ (que, curiosamente, está 10 posiciones por encima de ‘football’) completan el top 10.
Además, cinco claves hacen su aparición por primera vez: ‘welcome’ (bienvenida, en el puesto 17), ‘jesus’ (21), ‘ninja’ (23), ‘mustang’ (24) y ‘password1’ (25).
Desde SplashData recomiendan seguir una serie de pasos a la hora de crear una contraseña para hacerla más segura, como que tengan al menos 8 caracteres de distintos tipos (letras, números y alfanúmericos). Asimismo, no consideran una buena idea utilizar la misma combinación de nombre de usuario y contraseña en diferentes páginas.
A mediados de 2012, en Twitter la IEEE ha dejado expuestos mas de 100GB de logs en los que se encontraban gran cantidad credenciales de usuarios inscritos en los sitios IEEE.org y spectrum.ieee.org, dejando en evidencia que los ingenieros también utilizamos claves incluidas en las Peores 500 Contraseñas de Todos los Tiempos.
Cada vez es más importante generar contraseñas seguras para todos nuestros servicios on-line, correo personal, dropbox, evernote, finanzas, etc. y no solo es importante la generación de las mismas, también es importante como utilizarlas y no reciclarlas o utilizar la misma para diferentes servicios.
Resulta fastidioso tener que generar y acordarse de todas las contraseñas que utilizamos, existen varias prácticas, la más extendida y errónea: utilizar la misma contraseña para todos nuestras cuentas.
Otra es utilizar la Mnemotecnia o nemotecnia asociar mentalmente ideas, esquemas, ejercicios sistemáticos, repeticiones, etc. para facilitar el recuerdo de algo.
Es muy importante no utilizar siempre la misma contraseña para todo. Ejemplo: has utilizado la misma contraseña para registrarte en un foro o en una aplicación online como spotify, imagina que a Spotify le hackean y quedan todas las contraseñas junto con sus e-mails al descubierto, estate seguro que los que han conseguido esos datos lo primero que harán será probar esas contraseñas que tengan asociado emails de servicios de correo conocidos como son hotmail, yahoo o gmail e intentarán entrar en tus cuentas.
Al igual que el año pasado, ‘password’ (contraseña), ‘123456’ y 12345678’ son las contraseñas más utilizadas en todo el mundo. Al menos, según el ranking que elabora SplashData, aunque son claves que se pueden encontrar de forma masiva cada vez que un cracker filtra contraseñas obtenidas por algún fallo de seguridad.
Según explica Morgan Slain, CEO de esta compañía, en una nota de prensa, en esta época del año “la gente disfruta con disfraces, películas y decoraciones aterradoras, pero quienes han pasado por ello pueden decir cómo de aterrador es que te roben la identidad por una contraseña hackeada”.
Por este motivo crean cada año su lista con las peores contraseñas posibles, pues creen que es importante concienciar a los usuarios para que utilicen claves seguras. Para elaborarla utilizan la información que publican en Internet hackers y crackers.
“Aunque las herramientas de hackeo se vuelven más sofisticadas cada año, los ladrones todavía prefieren los blancos fáciles”, asegura Slain. “Poner un poco más de esfuerzo a la hora de elegir la contraseña supondrá un gran paso para estar más seguro en línea”.
Las tres primeras posiciones de la lista de SplashData se mantienen iguales respecto al año anterior, pero ha habido varios cambios. Así, ‘abc123’ ha subido un puesto y ocupa ahora el cuarto lugar que anteriormente poseía ‘qwerty’. ‘Monkey’ (mono), ‘letmein’ (déjame entrar), ‘dragon’, ‘111111‘ (que sube tres puestos) y ‘baseball’ (que, curiosamente, está 10 posiciones por encima de ‘football’) completan el top 10.
Además, cinco claves hacen su aparición por primera vez: ‘welcome’ (bienvenida, en el puesto 17), ‘jesus’ (21), ‘ninja’ (23), ‘mustang’ (24) y ‘password1’ (25).
Desde SplashData recomiendan seguir una serie de pasos a la hora de crear una contraseña para hacerla más segura, como que tengan al menos 8 caracteres de distintos tipos (letras, números y alfanúmericos). Asimismo, no consideran una buena idea utilizar la misma combinación de nombre de usuario y contraseña en diferentes páginas.
Recomendaciones para generar una contraseña segura
Cuando se cree una contraseña segura, es una buena idea seguir las siguientes pautas:
• Las contraseñas deben estar formadas por una mezcla de números, letras, mayúsculas y minúsculas, símbolos o caracteres especiales ($, @, &, #, +, etc.).
• Se deben cambiar las contraseñas regularmente. (Dependiendo de la criticidad de los datos puede ser cada X meses).
• La longitud no debe ser inferior a siete caracteres. A mayor longitud más difícil de adivinar o de reproducir y mayor seguridad ofrecerá.
• No debe formarse con números y/o letras que estén adyacentes en el teclado. Ejemplos de malas contraseñas son: 123456, 1q2w3e o 123QWEasd.
• La contraseña no debe contener información que sea fácil de averiguar, por ejemplo, nombre de usuario de la cuenta, información personal (cumpleaños, nombres de hijos, etc.)
• No debe contener palabras existentes en algún idioma. Los ataques de diccionario prueban cada una de las palabras que figuran en el diccionario y/o palabras de uso común.
En general No haga lo siguiente:
No utilice solamente palabras o números — Nunca debería utilizar únicamente letras o sólo números en una contraseña.
No utilice solamente palabras o números — Nunca debería utilizar únicamente letras o sólo números en una contraseña.
Algunos ejemplos inseguros incluyen:
8675309
juan
atrapame
No utilice palabras reconocibles — Palabras tales como nombres propios, palabras del diccionario o hasta términos de shows de televisión o novelas deberían ser evitados, aún si estos son terminados con números.
Algunos ejemplos inseguros incluyen:
john1
DS-9
mentat123
No utilice palabras en idiomas extranjeros — Los programas de descifrado de contraseñas a menudo verifican contra listas de palabras que abarcan diccionarios de muchos idiomas. No es seguro confiarse en un idioma extranjero para asegurar una contraseña.
Algunos ejemplos inseguros incluyen:
cheguevara
bienvenue1
1dumbKopf
No utilice terminología de hackers — Si piensa que usted pertenece a una élite porque utiliza terminología hacker — también llamado hablar l337 (LEET) — en su contraseña, piense otra vez. Muchas listas de palabras incluyen lenguaje LEET.
No utilice información personal — Mantengase alejado de la información personal. Si un atacante conoce quién es usted, la tarea de deducir su contraseña será aún más fácil. La lista siguiente muestra los tipos de información que debería evitar cuando esté creando una contraseña:
Algunos ejemplos inseguros incluyen:
Su nombre
El nombre de sus mascotas
El nombre de los miembros de su familia
Fechas de cumpleaños
Su número telefónico o código postal
No invierta palabras reconocibles — Los buenos verificadores de contraseñas siempre invierten las palabras comunes, por tanto invertir una mala contraseña no la hace para nada más segura.
No escriba su contraseña — Nunca guarde su contraseña en un papel. Es mucho más seguro memorizarla.
No utilice la misma contraseña para todas las máquinas — Es importante que tenga contraseñas separadas para cada máquina. De esta forma, si un sistema es comprometido, no todas sus máquinas estarán en peligro inmediato.
En general Haga lo siguiente:
Cree contraseñas de al menos ocho caracteres — Mientras más larga sea la contraseña, mejor. Si está usando contraseñas MD5, debería ser de 15 caracteres de largo o más. Con las contraseñas DES, use el largo máximo (ocho caracteres).
Cree contraseñas de al menos ocho caracteres — Mientras más larga sea la contraseña, mejor. Si está usando contraseñas MD5, debería ser de 15 caracteres de largo o más. Con las contraseñas DES, use el largo máximo (ocho caracteres).
Mezcle letras mayúsculas y minúsculas — Red Hat Enterprise Linux es sensitivo a las mayúsculas y minúsculas, por la tanto mezcle las letras para reenforzar su contraseña.
Mezcle letras y números — Agregando números a las contraseñas, especialmente cuando se añaden en el medio (no solamente al comienzo o al final), puede mejorar la fortaleza de su contraseña.
Incluya caracteres no alfanuméricos — Los caracteres especiales tales como &, $, y > pueden mejorar considerablemente su contraseña (esto no es posible si esta usando contraseñas DES).
Seleccione una contraseña que pueda recordar — La mejor contraseña en el mundo será de poca utilidad si usted no puede recordarla. Por lo tanto utilice acrónimos u otros dispositivos nemónicos que lo ayuden a memorizar las contraseñas.
Con todas estas reglas, puede parecer dificil crear una contraseña que reúna todos estos requisitos para las buenas contraseñas a la vez que se evitan los rasgos de las malas. Afortunadamente, hay algunos pasos que uno puede tomar para generar una contraseña segura y fácil de recordar.
Buenas prácticas
• Usar una frase fácil de memorizar. Una vez hecho esto, podemos hacer combinaciones con las distintas palabras que componen la frase: utilizar la primera letra de cada palabra, utilizar la última letra de cada palabra, etc.
• No uses la misma contraseña para diferentes cuentas. Sobre todo si son de alto riesgo, como las de los servicios bancarios o comerciales. Si alguna de ellas queda expuesta, todas las demás cuentas protegidas por esa misma contraseña también deberán considerarse en peligro.
• La contraseña es algo privado, no la dejes escrita en ningún sitio, y mucho menos al lado del ordenador.
• Cambia las contraseñas que traen por defecto los dispositivos y servicios en línea. Un ejemplo es el de los router WiFi, que traen por defecto contraseñas públicamente conocidas, que un atacante podría utilizar.
• Limita el uso de las contraseñas almacenadas en el navegador para los servicios críticos. Si es posible el mejor sitio es la memoria de uno mismo.
• Se pueden utilizar diferentes sitios online para generar contraseñas
• La contraseña no debe contener el identificador o nombre de usuario de la cuenta, o cualquier otra información personal que sea fácil de averiguar (cumpleaños, nombres de hijos, conyuges, ...). Tampoco una serie de letras dispuestas adyacentemente en el teclado (123456, qwerty...)
• Se deben evitar contraseñas que contengan palabras existentes en algún idioma (por ejemplo Aguilanegra), uno de los ataques más conocidos para romper contraseñas es probar cada una de las palabras que figuran en el diccionario y/o palabras de uso común.
• No se deben almacenar las contraseñas en un lugar público y al alcance de los demás.
• No compartir las contraseñas en Internet, por correo electrónico ni por teléfono. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que te soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se trata de un fraude.Ejemplo: Utilizar la primera letra de cada palabra.
Frase: El 4 de Noviembre es mi cumpleaños.
Contraseña: E4dNemc
• Usar una «semilla» y aplicarle un «algoritmo»: En cada lugar donde debamos crear una contraseña, pensamos en una «semilla», que no es más que una palabra que ayude a recordar ese lugar. A la semilla se le aplica un «algoritmo» que es una combinación de pasos que utilizaremos para crear las contraseñas de cualquier sitio. La ventaja de utilizar este método es que sólo será necesario recordar el algoritmo.Ejemplo: Recordar contraseña de Hotmail.
Semilla: Hotmail
Algoritmo: Quitarle las tres primeras letras, poner en mayúsculas la primera letra, añadir al principio el número 82, añadir el final los símbolos *#.
Contraseña: 82Mail*#Ejemplo: seleccionar la primera letra de cada palabra y convirtiendo algunas de las letras en números que sean similares. Por ejemplo, "La seguridad es como una cadena, es tan fuerte como el eslabón más débil" podría convertirse en "Lsec1cetfceemd".
Es posible crear contraseñas más seguras dificultando la regla a aplicar sobre la frase. Por ejemplo intercalando mayúsculas y minúsculas y sustituyendo la primera de las letras "e" por el símbolo "¬", quedando Ls¬c1cEtFcEeMd.
Metodología para la creación de contraseñas seguras
Hay muchos métodos que la gente utiliza para crear contraseñas seguras. Uno de los métodos más populares incluyen acrónimos. Por ejemplo:
Metodología para la creación de contraseñas seguras
Hay muchos métodos que la gente utiliza para crear contraseñas seguras. Uno de los métodos más populares incluyen acrónimos. Por ejemplo:
Piense en una frase memorable, tal como: "Es más fácil creer que pensar con espíritu crítico."
Luego, cámbielo a un acrónimo (incluyendo la puntuación): emfcqpcec.
Añada un poco de complejidad sustituyendo números y símbolos por letras en el acrónimo. Por ejemplo, sustituya7 por e y el símbolo arroba (@) por c: 7mf@qp@7@.
Añada un poco más de complejidad colocando mayúscula al menos una letra, tal como M: 7Mf@qp@7@.
Luego, cámbielo a un acrónimo (incluyendo la puntuación): emfcqpcec.
Añada un poco de complejidad sustituyendo números y símbolos por letras en el acrónimo. Por ejemplo, sustituya7 por e y el símbolo arroba (@) por c: 7mf@qp@7@.
Añada un poco más de complejidad colocando mayúscula al menos una letra, tal como M: 7Mf@qp@7@.
Por último, no utilice esta contraseña de ejemplo en ninguno de sus sistemas.
Estrategias que deben evitarse con respecto a las contraseñas
- La contraseña no debe contener el identificador o nombre de usuario de la cuenta, o cualquier otra información personal que sea fácil de averiguar (cumpleaños, nombres de hijos, conyuges, ...). Tampoco una serie de letras dispuestas adyacentemente en el teclado (123456, qwerty...)
- No se recomienda emplear la misma contraseña para todas las cuentas creadas para acceder a servicios en línea. Si alguna de ellas queda expuesta, todas las demás cuentas protegidas por esa misma contraseña también deberán considerarse en peligro.
- Se deben evitar contraseñas que contengan palabras existentes en algún idioma (por ejemplo Aguilanegra), uno de los ataques más conocidos para romper contraseñas es probar cada una de las palabras que figuran en el diccionario y/o palabras de uso común.
- No se deben almacenar las contraseñas en un lugar público y al alcance de los demás.
- No compartir las contraseñas en Internet, por correo electrónico ni por teléfono. En especial se debe desconfiar de cualquier mensaje de correo electrónico en el que te soliciten la contraseña o indiquen que se ha de visitar un sitio Web para comprobarla. Casi con total seguridad se trata de un fraude.
Creación de cuentas de usuario dentro de la organización
Mientras que la creación de contraseñas seguras es imperativo, manejarlas adecuadamente es también importante, especialmente para los administradores de sistemas dentro de grandes organizaciones. La próxima sección detalla buenos hábitos en la creación y manejo de contraseñas de usuarios dentro de una organización.
Si hay un número significativo de usuarios dentro de una organización, los administradores de sistemas tienen dos opciones básicas disponibles para forzar el uso de buenas contraseñas. Ellos pueden crear contraseñas para el usuario o dejar que los usuarios crean sus propias contraseñas, a la vez que verifican que las contraseñas sean de calidad aceptable.
Mientras que la creación de contraseñas seguras es imperativo, manejarlas adecuadamente es también importante, especialmente para los administradores de sistemas dentro de grandes organizaciones. La próxima sección detalla buenos hábitos en la creación y manejo de contraseñas de usuarios dentro de una organización.
Si hay un número significativo de usuarios dentro de una organización, los administradores de sistemas tienen dos opciones básicas disponibles para forzar el uso de buenas contraseñas. Ellos pueden crear contraseñas para el usuario o dejar que los usuarios crean sus propias contraseñas, a la vez que verifican que las contraseñas sean de calidad aceptable.
Al crear las contraseñas para los usuarios asegura que las contraseñas sean buenas, pero se vuelve una tarea agotadora a medida que la organización crece. También incrementa el riesgo de que los usuarios escriban sus contraseñas en papel.
Por estas razones, la mayoría de los administradores de sistemas prefieren dejar que los usuarios creen sus propias contraseñas, pero activamente verifican que las contraseñas sean buenas y, en algunos casos, obligan a los usuarios a cambiarlas periódicamente haciéndolas caducar.
Forzar la creación de contraseñas robustas en Linux
Para proteger la red contra intrusos, es una buena idea para los administradores de sistemas verificar que las contraseñas usadas dentro de la organización sean robustas.
Cuando se les pide a los usuarios crear o modificar sus contraseñas, ellos pueden utilizar la aplicación de línea de comandos passwd, la cual es de tipo Pluggable Authentication Manager (PAM) y por lo tanto verificará para ver si la contraseña es fácil de descifrar o si es demasiado corta, a través del módulo PAM pam_cracklib.so.
Puesto que PAM es personalizable, es posible añadir más verificaciones para la integridad de la contraseña, tales como pam_passwdqc (disponible desde http://www.openwall.com/passwdqc/) o escribir un nuevo módulo. Para una lista de los módulos PAM disponibles, consulte http://www.kernel.org/pub/linux/libs/pam/modules.html.
Forzar la creación de contraseñas robustas en Linux
Para proteger la red contra intrusos, es una buena idea para los administradores de sistemas verificar que las contraseñas usadas dentro de la organización sean robustas.
Cuando se les pide a los usuarios crear o modificar sus contraseñas, ellos pueden utilizar la aplicación de línea de comandos passwd, la cual es de tipo Pluggable Authentication Manager (PAM) y por lo tanto verificará para ver si la contraseña es fácil de descifrar o si es demasiado corta, a través del módulo PAM pam_cracklib.so.
Puesto que PAM es personalizable, es posible añadir más verificaciones para la integridad de la contraseña, tales como pam_passwdqc (disponible desde http://www.openwall.com/passwdqc/) o escribir un nuevo módulo. Para una lista de los módulos PAM disponibles, consulte http://www.kernel.org/pub/linux/libs/pam/modules.html.
Sin embargo, es importante resaltar que la verificación realizada en las contraseñas al momento de su creación, no descubren las malas contraseñas de forma tan efectiva como lo haría un programa específico para descifrado ejecutado sobre las contraseñas dentro de la organización.
Hay muchos programas de descifrado de contraseñas que corren bajo Red Hat Enterprise Linux aunque ninguno es suministrado con el sistema operativo. Abajo se muestra una breve lista de algunos de los programas de descifrado de contraseñas más populares:
Nota: Ninguna de estas herramientas son suministradas con Red Hat Enterprise Linux y, por lo tanto, no son soportadas por Red Hat, Inc. de ninguna manera.
John The Ripper — Un programa rápido y flexible de descifrado de contraseñas. Permite el uso de múltiples listas de palabras y es capaz de usar descifrado de contraseñas con fuerza bruta. Está disponible en http://www.openwall.com/john/.
Crack — Quizás el software más conocido sobre descifrado de contraseñas, muy rápido, pero no tan fácil de usar como John The Ripper. Se puede encontrar en línea desde http://www.crypticide.com/users/alecm/.
Slurpie — Slurpie es similar a John The Ripper y a Crack excepto que está diseñado para ejecutarse en varias máquina simultáneamente, creando un ataque de contraseñas distribuido. Se puede encontrar junto a otros grupos de herramientas de evaluación de ataques distribuidos a la seguridad en http://www.ussrback.com/distributed.htm.
Aviso: Siempre obtenga autorización por escrito antes de intentar descifrar las contraseñas dentro de la organización.
Creación de contraseñas más seguras con caracteres ASCII
También puede crear contraseñas que usen caracteres ASCII extendidos. El uso de caracteres ASCII extendidos ayuda a que la contraseña sea más segura, al aumentar la cantidad de caracteres posibles para crear una contraseña segura.
Antes de usar caracteres ASCII extendidos en la contraseña, asegúrese de que las contraseñas que los contienen sean compatibles con los programas utilizados por usted o la organización. Tenga especial cuidado con el uso de caracteres ASCII extendidos en las contraseñas si la organización utiliza varios sistemas operativos o versiones de Windows diferentes.
Encontrará los caracteres ASCII extendidos en el Mapa de caracteres. Algunos de los caracteres ASCII extendidos no deben utilizarse en las contraseñas. No utilice un carácter que no tenga definida una pulsación de tecla en la esquina inferior derecha del cuadro de diálogo Mapa de caracteres. Algunos sistemas admiten caracteres especiales, pero no todos, por lo que será necesario asegurar la compatibilidad por parte de los administradores del sistema o mediante otros sistemas de verificación software.
Las contraseñas de Windows pueden ser mucho más largas que los ocho caracteres que se recomiendan anteriormente. De hecho, pueden incluir hasta 127 caracteres. No obstante, si está en una red que también contiene equipos con Windows 95 o Windows 98, es preferible usar contraseñas que no tengan más de 14 caracteres. Si la contraseña tiene más de 14 caracteres, tal vez no pueda iniciar una sesión en la red desde equipos que ejecutan esos sistemas operativos.
Envejecimiento de las contraseñas
El envejecimiento de contraseñas es una técnica utilizada por los administradores de sistemas para defenderse de las malas contraseñas dentro de la organización. El envejecimiento de contraseñas significa que luego de un tiempo determinado (usualmente 90 días) se le pide al usuario que creee una nueva contraseña. La teoría detrás de esto es que si un usuario es forzado a cambiar su contraseña periódicamente, una contraseña que ha sido descifrada por un cracker sólo le es útil por un tiempo determinado. La desventaja del envejecimiento de contraseñas, es que los usuarios tienden a escribir sus contraseñas.
También puede crear contraseñas que usen caracteres ASCII extendidos. El uso de caracteres ASCII extendidos ayuda a que la contraseña sea más segura, al aumentar la cantidad de caracteres posibles para crear una contraseña segura.
Antes de usar caracteres ASCII extendidos en la contraseña, asegúrese de que las contraseñas que los contienen sean compatibles con los programas utilizados por usted o la organización. Tenga especial cuidado con el uso de caracteres ASCII extendidos en las contraseñas si la organización utiliza varios sistemas operativos o versiones de Windows diferentes.
Encontrará los caracteres ASCII extendidos en el Mapa de caracteres. Algunos de los caracteres ASCII extendidos no deben utilizarse en las contraseñas. No utilice un carácter que no tenga definida una pulsación de tecla en la esquina inferior derecha del cuadro de diálogo Mapa de caracteres. Algunos sistemas admiten caracteres especiales, pero no todos, por lo que será necesario asegurar la compatibilidad por parte de los administradores del sistema o mediante otros sistemas de verificación software.
Las contraseñas de Windows pueden ser mucho más largas que los ocho caracteres que se recomiendan anteriormente. De hecho, pueden incluir hasta 127 caracteres. No obstante, si está en una red que también contiene equipos con Windows 95 o Windows 98, es preferible usar contraseñas que no tengan más de 14 caracteres. Si la contraseña tiene más de 14 caracteres, tal vez no pueda iniciar una sesión en la red desde equipos que ejecutan esos sistemas operativos.
Envejecimiento de las contraseñas
El envejecimiento de contraseñas es una técnica utilizada por los administradores de sistemas para defenderse de las malas contraseñas dentro de la organización. El envejecimiento de contraseñas significa que luego de un tiempo determinado (usualmente 90 días) se le pide al usuario que creee una nueva contraseña. La teoría detrás de esto es que si un usuario es forzado a cambiar su contraseña periódicamente, una contraseña que ha sido descifrada por un cracker sólo le es útil por un tiempo determinado. La desventaja del envejecimiento de contraseñas, es que los usuarios tienden a escribir sus contraseñas.
Comprobador de contraseñas / Password
Cuando no estés seguro de si la contraseña que has elegido es lo suficientemente segura, puedes utilizar un medidor de fortaleza de la contraseña. Existen muchos y en cualquier buscador podrás acceder a cualquiera de ellos. Eso si, su cometido solo deberá ser eso, comprobar la fortaleza de una hipotética contraseña. En ningún caso se te deberá pedir que teclees tu nombre de usuario, perfil o cuenta de email junto con la contraseña a verificar, dado que se trataría de una técnica de ingeniería social para robar dicha cuenta.
Cuando no estés seguro de si la contraseña que has elegido es lo suficientemente segura, puedes utilizar un medidor de fortaleza de la contraseña. Existen muchos y en cualquier buscador podrás acceder a cualquiera de ellos. Eso si, su cometido solo deberá ser eso, comprobar la fortaleza de una hipotética contraseña. En ningún caso se te deberá pedir que teclees tu nombre de usuario, perfil o cuenta de email junto con la contraseña a verificar, dado que se trataría de una técnica de ingeniería social para robar dicha cuenta.
Gestores de contraseñas
Cuando manejamos muchas cuentas se vuelve complicado recordar la contraseña asociada a cada una de ellas. Lo peor que podemos hacer en ese caso es optar por utilizar la misma contraseña para todos los sitios, ya que si se descubre la contraseña de acceso a alguna de estas cuentas, un atacante podrá fácilmente acceder al resto de ellas. Para solucionar este problema, existen los gestores de contraseñas.
Un gestor de contraseñas es un programa que se utiliza para almacenar contraseñas. Nos permite recordar todas las contraseñas, claves de acceso y nombres de usuario que necesitamos para acceder a una cuenta o página de Internet. La información se almacena cifrada y sólo se puede acceder a través de una clave.
Cuando manejamos muchas cuentas se vuelve complicado recordar la contraseña asociada a cada una de ellas. Lo peor que podemos hacer en ese caso es optar por utilizar la misma contraseña para todos los sitios, ya que si se descubre la contraseña de acceso a alguna de estas cuentas, un atacante podrá fácilmente acceder al resto de ellas. Para solucionar este problema, existen los gestores de contraseñas.
Un gestor de contraseñas es un programa que se utiliza para almacenar contraseñas. Nos permite recordar todas las contraseñas, claves de acceso y nombres de usuario que necesitamos para acceder a una cuenta o página de Internet. La información se almacena cifrada y sólo se puede acceder a través de una clave.
Protección de contraseñas en el navegador
Seguramente el navegador sea el programa que utilizamos para acceder a la mayoría de nuestras cuentas: ver el correo electrónico, acceder a nuestro banco o conectarnos a las redes sociales.
Utilizar una contraseña diferente para cada cuenta puede resultar algo lioso, pero actualmente los navegadores disponen de gestores de contraseñas capaces de almacenar los nombres de usuarios y contraseñas utilizados para acceder a los distintos sitios.
Sin embargo, si compartes el ordenador, guardar en el navegador las contraseñas hace que las personas que también vayan a utilizar tu equipo puedan acceder a diferentes sitios Web en tu lugar con las cuentas que tengas almacenadas; es posible evitar este inconveniente y seguir almacenando las contraseñas en el navegador utilizando una contraseña maestra, que se solicitará que escribas cada vez que quieras acceder a alguna cuenta que tengas almacenada en el navegador.
La importancia de utilizar dicha contraseña es muy grande, ya que sin ella, cualquier persona que acceda a tu ordenador podrá ver todas las parejas de nombre de usuario/contraseñas que utilizas habitualmente para navegar por Internet.
Seguramente el navegador sea el programa que utilizamos para acceder a la mayoría de nuestras cuentas: ver el correo electrónico, acceder a nuestro banco o conectarnos a las redes sociales.Utilizar una contraseña diferente para cada cuenta puede resultar algo lioso, pero actualmente los navegadores disponen de gestores de contraseñas capaces de almacenar los nombres de usuarios y contraseñas utilizados para acceder a los distintos sitios.
Sin embargo, si compartes el ordenador, guardar en el navegador las contraseñas hace que las personas que también vayan a utilizar tu equipo puedan acceder a diferentes sitios Web en tu lugar con las cuentas que tengas almacenadas; es posible evitar este inconveniente y seguir almacenando las contraseñas en el navegador utilizando una contraseña maestra, que se solicitará que escribas cada vez que quieras acceder a alguna cuenta que tengas almacenada en el navegador.
La importancia de utilizar dicha contraseña es muy grande, ya que sin ella, cualquier persona que acceda a tu ordenador podrá ver todas las parejas de nombre de usuario/contraseñas que utilizas habitualmente para navegar por Internet.
Casos de ejemplo
Una serie de logs que contenían información sin cifrar de usuarios y contraseñas del Institute of Electrical and Electronics Engineers (IEEE), uno de las mayores organizaciones profesionales de ingenieros de la computación, fue analizado por un graduado de la Universidad de Copenhague.
Radu Dragusin accedió al archivo, disponible en uno de los servidores de la IEEE por al menos un mes, donde descubrió 99.979 nombres de usuario únicos, que comprometerían al 24% de los 411.000 miembros que tiene la organización en todo el mundo, algunos de los cuales trabajan en empresas como Google, IBM, Apple y otros gigantes.
“Si bien dejar abierto públicamente un directorio FTP que contiene 100 GB de logs podría ser un error al fijar los permisos de acceso, mantener tanto los nombres de usuario como las contraseñas en texto plano es mucho más problemático”, escribió Dragusin. No hay claridad de quién más puede haber accedido al archivo, que podría estar usando las contraseñas para acceder a las cuentas de los afectados – cabe recordar que la gente suele reutilizar contraseñas para varios servicios.
Por otro lado, el análisis de Dragusin muestra que los ingenieros también eligen muy malos passwords: “123456" apareció 271 veces, mientras “ieee2012", “12345678", “123456789" y “password” se usaron 270, 246, 222 y 109 veces respectivamente.
La IEEE señaló a Ars Technica que el problema ya se había solucionado y el log ya no era accesible, y que la organización está avisando a todos los miembros posiblemente afectados por esta filtración. En una carta enviada a los afectados, se incluyen además consejos sobre cómo elegir una buena contraseña, algo que nunca está de más recordar.
Por muy seguro que sea un sistema, no servirá de nada si un atacante consigue el nombre y contraseña de un usuario legítimo.
Actualmente, el método más extendido para obtener acceso a información personal que hemos almacenado en nuestro equipo y/o servicios en línea es mediante contraseñas.
La mayoría de las veces una contraseña es la única barrera entre nuestros datos confidenciales y los ciberdelincuentes. Por lo que merece la pena invertir un poco de tiempo y esfuerzo para gestionarlas eficazmente.
A pesar de las continuas recomendaciones de los expertos en seguridad informática, las contraseñas más utilizadas son tan simples como "abc123" o"123456" .
Uno de cada cinco usuarios de la red aún decide dejar el equivalente digital de una llave bajo la maceta o la alfombra: eligen claves simples, fáciles de adivinar como "abc123", "iloveyou" o incluso "password" para proteger sus datos.
"Supongo que es una falla genética de los humanos", dijo Amichai Shulman, principal ejecutivo de tecnología de Iperva, que desarrolla software para impedir accesos no deseados. "Seguimos el mismo patrón desde la década de 1990".
Imperva descubrió que casi el 1 por ciento e los 32 millones de personas analizadas utilizó la clave "123456". La segunda más popular fue "12345". Entre las 20 más populares también se incluyen "qwerty", "abc123" y "princess".
Más preocupante, dijo Shulman, fue que alrededor del 20 por ciento de la gente eligió como contraseña un reducido grupo de 5000 palabras clave. Eso sugiere que los hackers podrían fácilmente violar cuentas simplemente probando las claves más comunes.
Gracias a la existencia de computadoras y redes rápidas, los hackers pueden analizar miles de claves por minuto. "Tendemos a pensar en adivinar claves como un ataque que leva mucho tiempo en el que hay que tomar cada cuenta y probar una gran cantidad de combinaciones de nombre y clave" dijo Shulman. "La realidad es que se puede ser muy efectivo escogiendo un pequeño número de palabras comunes."
¿Por qué tanta gente sigue eligiendo claves fáciles de adivinar, pese a tantos alertas sobre los riesgos? Los expertos en seguridad sugieren que simplemente estamos abrumados por la cantidad de cosas que tenemos que recordar en esta era digital.
"Hoy en día probablemente tengamos que tener 10 veces más claves en la cabeza que hace diez años", dijo Jeff Moss, que fundó una conferencia popular sobre hacking y es ahora miembro del Consejo Asesor de Seguridad Interna. "Claves de correo de voz, PINs de cajeros automáticos y claves de Internet, es tan difícil tenerlas todas presentes".
En el mundo idealizado que desearían los especialistas de seguridad, la gente tendría claves diferentes para cada sitio que visitan y las guardarían en su cabeza o, si fuese absolutamente necesario, en un papel.
Pero reconociendo la realidad de nuestros cerebros demasiado exigidos, los expertos sugieren que todos elijan al menos dos claves diferentes, una compleja para sitios de la Red donde la seguridad es vital, tales como bancos y correo electrónicos, y una más simple para sitios donde hay menos en juego, tales como redes sociales y sitios de entretenimiento.Moss utiliza claves de al menos 12 caracteres , calculando que eso lo vuelve un blanco más difícil que gente que elige claves de cinco o seis caracteres. "Es como el chiste en que los excursionistas se encuentran con un oso en el bosque, y el excursionista que sobrevive es el que corrió más que su compañero" dijo Moss. "Uno quiere correr un poco más rápido".
Actualmente el método más extendido para obtener acceso a información personal que se almacena en los ordenadores y/o servicios en línea es mediante contraseñas. Se trata de solicitar información secreta - que solo debería conocer el propietario de la cuenta - para controlar el acceso hacia algún recurso.
Dado que la mayoría de las veces una contraseña es la única barrera entre los datos confidenciales y potenciales atacantes es necesario invertir un poco de tiempo y esfuerzo en generar una contraseña segura.
Hemos de tener en cuenta de que si un usuario malintencionado consiguiera apoderarse de esa información podría desde acceder a información personal violando la privacidad hasta tener acceso a servicios financieros, suplantar en transacciones en línea e incluso solicitar una hipoteca.
Si un usuario malintencionado consiguiera apoderarse una contraseña podría desde acceder a información personal violando la privacidad hasta tener acceso a servicios financieros.
Microsoft desarrolla un sistema de contraseñas para Windows 8 basado en gestos táctiles
Microsoft ha diseñado un sistema de contraseñas para Windows 8 que se basará en la realización de gestos táctiles sobre imágenes de los usuarios. Se podrá elegir la imagen y los patrones y se persigue que el acceso al sistema sea más seguro y no requiera la memorización de contraseñas.
El desarrollo de Windows 8 continúa y poco a poco se van conociendo más detalles del sistema. La intención de Windows es desarrollar un sistema operativo efectivo tanto en PC como en dispositivos móviles, en concreto en tablet. Para ello, la compañía ha presentado una interfaz totalmente nueva, denominada metro, y ha trabajado en optimizar el sistema para aplicaciones y varios aspectos más.
La compañía es consciente que si el sistema se va a utilizar en los dispositivos móviles, es totalmente obligatorio incluir un sistema de protección de acceso a los terminales. Los dispositivos móviles están más expuestos a que personas ajenas al terminal intenten acceder ya que se pueden olvidar o prestar con más facilidad que un PC. Por ello, Microsoft ha trabajado en un sistema de desbloqueo que pueda resultar efectivo y que responda a las necesidades de los usuarios.
Lo más fácil sería utilizar un sistema de contraseña o código PIN como utilizan la inmensa mayoría de los dispositivos móviles. Sin embargo, estos sistemas no son siempre muy efectivos ya que muchos usuarios recurren a los mismos códigos en varios terminales. Además obligan a los usuarios a recordar los distintos códigos, y dado el volumen de dispositivos y terminales, empieza a ser molesto tener que recordar todos los códigos.
Pensando en buscar una alternativa o complemento a los códigos PIN, la compañía ha pensado en las posibilidades de las imágenes. Se trata de un campo en el que ya se han visto algunas aproximaciones. El caso más reciente es el de Google, que en Android Ice Cream ha introducido un sistema de acceso basado en el reconocimiento facial. Sin embargo, ya han aparecido pruebas de que el sistema se puede vulnerar utilizando una fotografía del usuario asignado al reconocimiento facial.
Visto estos problemas, Microsoft ha optado por diseñar un sistema que aúne las imágenes y la interacción del usuario. De esta forma, la compañía ha explicado en su blog ‘Building Windows 8’ que han desarrollado un sistema seguro de acceso basado en la realización de gestos táctiles sobre imágenes. Microsoft ha pensado en las posibilidades táctiles de los dispositivos y en la utilización de imágenes.
El sistema ofrece varias fotografías al usuario, que tendrá que elegir sobre cuál realiza los gestos. Este primer paso ya es una medida de seguridad puesto que si quien intenta acceder al sistema no sabe sobre que foto debe realizar los gestos las posibilidades de que los descifre es menor. Una vez seleccionada la imagen, los usuarios deberán trazar signos táctiles en la pantalla. De esta forma, el sistema reconoce cuando se hace un círculo sobre la cabeza de un de las personas que aparece, cuando se puntea sobre la nariz de otra o los signos que se hayan marcado para el acceso.
Se trata de una forma de combinar el desbloqueo por movimiento táctil y el sistema de imágenes de Android. Además, esta tecnología podría utilizarse junto a los clásicos códigos PIN, haciendo que la seguridad de los terminales aumente considerablemente. En definitiva, es una idea innovadora para aumentar la seguridad de acceso a los dispositivos, pensada y desarrollada para hacer frente a las críticas a los sistemas tradicionales y aprovechar las características de los dispositivos más modernos.
Robo de contraseñas en redes sociales
El ataque que sufrió Twitter la semana pasada afectó a 250.000 cuentas. Con cientos de millones de usuarios registrados, las redes sociales están en el punto de mira de los "hackers".
La red social Twitter anunció en Febrero de 2.013 la detección de un "ataque sofisticado" que pudo ocasionar la entrega de la información personal de 250.000 usuarios. A todos ellos les ha recomendado que cambien la seguridad de sus contraseñas.
El problema podría haber sido de proporciones no conocidas hasta la fecha. "Descubrimos un ataque en marcha y fuimos capaces de frenarlo pocos momentos después (...) Este ataque no era el trabajo de amateurs, y no creemos que haya sido un incidente aislado", explicó en una entrada de su blog de Twitter, Bob Lord, director de seguridad de la compañía.
Entre la información captada, figuran nombres de usuarios, cuentas de correo y contraseñas cifrados. Los usuarios de internet no suelen ser conscientes de la necesidad de tener una contraseña robusta que evite accesos no deseados. En un acceso "hacker" que sufrió Hotmail hace unos años, la contraseña más utilizada en este servicio de correo electrónico era "123456".
Compartir contraseñas entre diferentes páginas web o de móvil facilita la tarea a los "hackers". Estos servicios utilizan un correo electrónico para identificar al usuario o recordar la contraseña. Por ese motivo es adecuado no repetir la misma contraseña entre diferentes paginas web o cambiarlas en todas si algunos de los servicios "online" utilizados, como le ha sucedido a Twitter la pasada semana, se ve comprometido.
Otras páginas web, como Amazon, permiten la compra "online" de bienes y servicios por lo que el perjuicio por no cambiar la contraseña si se utiliza en diferentes servicios "online" es mayor.
La red social profesional, LinkedIn también sufrió a mediados del año pasado un ataque que acabó en la publicación de 6,5 millones de contraseñas utilizadas en esta red social en un foro ruso. Es práctica habitual obligar al internauta a cambiar la contraseña cuando intenta conectarse pero no evita que los atacantes intenten aprovecharse inmediatamente de conocer una contraseña para utilizarla en las redes sociales más conocidas como Facebook o Google.
También en Febrero de 2.013 se produjo un ataque a los diarios estadounidenses New York Times y Wall Street Journal por parte de conexiones que se realizaron desde China. La propia empresa editora fue la que dennunció el ataque de "hackers" chinos a su sistema informático para acceder a la cobertura del rotativo económico sobre el gigante asiático. Gobiernos y empresas privadas de todo el mundo han acusado insistentemente a ese país en los últimos años de llevar a cabo ataques informáticos para conseguir información sensible o privilegiada, algo que Pekín ha negado.
Tanto las empresas editoras, como la red social Twitter aseguran que están trabajando junto con las agencias de seguridad federales y gubernamentales para rastrear el origen de estos ataques que se convierten en una tendencia creciente que afecta a los ciudadanos de a pie como a las entidades públicas.
Existen diferentes servicios en internet que permiten comprobar si una contraseña o correo electrónico ha sido comprometido en algún ataque hacker a una red social o página web. Los atacantes suelen compartir un fichero que incluye las contraseñas o los correos electrónicos en foros de hackers. Esto permite a las empresas de seguridad comprobar que contraseñas son inseguras por haberse visto afectadas por algún ataque cibernético. Pwnedlist es una de las más conocidas y completas con una lista de casi 1.000 millones de contraseñas y más de 168 millones de correos electrónicos que pueden haberse visto afectadas por este tipo de ataques. Otra página similar que realiza un servicio similar es shouldichangemypassword.com.
Pwnedlist permite comprobar si las cuentas asociadas a un correo electrónico han sido comprometidas.
Microsoft ha diseñado un sistema de contraseñas para Windows 8 que se basará en la realización de gestos táctiles sobre imágenes de los usuarios. Se podrá elegir la imagen y los patrones y se persigue que el acceso al sistema sea más seguro y no requiera la memorización de contraseñas.
El desarrollo de Windows 8 continúa y poco a poco se van conociendo más detalles del sistema. La intención de Windows es desarrollar un sistema operativo efectivo tanto en PC como en dispositivos móviles, en concreto en tablet. Para ello, la compañía ha presentado una interfaz totalmente nueva, denominada metro, y ha trabajado en optimizar el sistema para aplicaciones y varios aspectos más.
La compañía es consciente que si el sistema se va a utilizar en los dispositivos móviles, es totalmente obligatorio incluir un sistema de protección de acceso a los terminales. Los dispositivos móviles están más expuestos a que personas ajenas al terminal intenten acceder ya que se pueden olvidar o prestar con más facilidad que un PC. Por ello, Microsoft ha trabajado en un sistema de desbloqueo que pueda resultar efectivo y que responda a las necesidades de los usuarios.
Lo más fácil sería utilizar un sistema de contraseña o código PIN como utilizan la inmensa mayoría de los dispositivos móviles. Sin embargo, estos sistemas no son siempre muy efectivos ya que muchos usuarios recurren a los mismos códigos en varios terminales. Además obligan a los usuarios a recordar los distintos códigos, y dado el volumen de dispositivos y terminales, empieza a ser molesto tener que recordar todos los códigos.
Pensando en buscar una alternativa o complemento a los códigos PIN, la compañía ha pensado en las posibilidades de las imágenes. Se trata de un campo en el que ya se han visto algunas aproximaciones. El caso más reciente es el de Google, que en Android Ice Cream ha introducido un sistema de acceso basado en el reconocimiento facial. Sin embargo, ya han aparecido pruebas de que el sistema se puede vulnerar utilizando una fotografía del usuario asignado al reconocimiento facial.
Visto estos problemas, Microsoft ha optado por diseñar un sistema que aúne las imágenes y la interacción del usuario. De esta forma, la compañía ha explicado en su blog ‘Building Windows 8’ que han desarrollado un sistema seguro de acceso basado en la realización de gestos táctiles sobre imágenes. Microsoft ha pensado en las posibilidades táctiles de los dispositivos y en la utilización de imágenes.
El sistema ofrece varias fotografías al usuario, que tendrá que elegir sobre cuál realiza los gestos. Este primer paso ya es una medida de seguridad puesto que si quien intenta acceder al sistema no sabe sobre que foto debe realizar los gestos las posibilidades de que los descifre es menor. Una vez seleccionada la imagen, los usuarios deberán trazar signos táctiles en la pantalla. De esta forma, el sistema reconoce cuando se hace un círculo sobre la cabeza de un de las personas que aparece, cuando se puntea sobre la nariz de otra o los signos que se hayan marcado para el acceso.
Se trata de una forma de combinar el desbloqueo por movimiento táctil y el sistema de imágenes de Android. Además, esta tecnología podría utilizarse junto a los clásicos códigos PIN, haciendo que la seguridad de los terminales aumente considerablemente. En definitiva, es una idea innovadora para aumentar la seguridad de acceso a los dispositivos, pensada y desarrollada para hacer frente a las críticas a los sistemas tradicionales y aprovechar las características de los dispositivos más modernos.
Robo de contraseñas en redes sociales
El ataque que sufrió Twitter la semana pasada afectó a 250.000 cuentas. Con cientos de millones de usuarios registrados, las redes sociales están en el punto de mira de los "hackers".
La red social Twitter anunció en Febrero de 2.013 la detección de un "ataque sofisticado" que pudo ocasionar la entrega de la información personal de 250.000 usuarios. A todos ellos les ha recomendado que cambien la seguridad de sus contraseñas.El problema podría haber sido de proporciones no conocidas hasta la fecha. "Descubrimos un ataque en marcha y fuimos capaces de frenarlo pocos momentos después (...) Este ataque no era el trabajo de amateurs, y no creemos que haya sido un incidente aislado", explicó en una entrada de su blog de Twitter, Bob Lord, director de seguridad de la compañía.
Entre la información captada, figuran nombres de usuarios, cuentas de correo y contraseñas cifrados. Los usuarios de internet no suelen ser conscientes de la necesidad de tener una contraseña robusta que evite accesos no deseados. En un acceso "hacker" que sufrió Hotmail hace unos años, la contraseña más utilizada en este servicio de correo electrónico era "123456".
Compartir contraseñas entre diferentes páginas web o de móvil facilita la tarea a los "hackers". Estos servicios utilizan un correo electrónico para identificar al usuario o recordar la contraseña. Por ese motivo es adecuado no repetir la misma contraseña entre diferentes paginas web o cambiarlas en todas si algunos de los servicios "online" utilizados, como le ha sucedido a Twitter la pasada semana, se ve comprometido.
Otras páginas web, como Amazon, permiten la compra "online" de bienes y servicios por lo que el perjuicio por no cambiar la contraseña si se utiliza en diferentes servicios "online" es mayor.
La red social profesional, LinkedIn también sufrió a mediados del año pasado un ataque que acabó en la publicación de 6,5 millones de contraseñas utilizadas en esta red social en un foro ruso. Es práctica habitual obligar al internauta a cambiar la contraseña cuando intenta conectarse pero no evita que los atacantes intenten aprovecharse inmediatamente de conocer una contraseña para utilizarla en las redes sociales más conocidas como Facebook o Google.
También en Febrero de 2.013 se produjo un ataque a los diarios estadounidenses New York Times y Wall Street Journal por parte de conexiones que se realizaron desde China. La propia empresa editora fue la que dennunció el ataque de "hackers" chinos a su sistema informático para acceder a la cobertura del rotativo económico sobre el gigante asiático. Gobiernos y empresas privadas de todo el mundo han acusado insistentemente a ese país en los últimos años de llevar a cabo ataques informáticos para conseguir información sensible o privilegiada, algo que Pekín ha negado.
Tanto las empresas editoras, como la red social Twitter aseguran que están trabajando junto con las agencias de seguridad federales y gubernamentales para rastrear el origen de estos ataques que se convierten en una tendencia creciente que afecta a los ciudadanos de a pie como a las entidades públicas.
Existen diferentes servicios en internet que permiten comprobar si una contraseña o correo electrónico ha sido comprometido en algún ataque hacker a una red social o página web. Los atacantes suelen compartir un fichero que incluye las contraseñas o los correos electrónicos en foros de hackers. Esto permite a las empresas de seguridad comprobar que contraseñas son inseguras por haberse visto afectadas por algún ataque cibernético. Pwnedlist es una de las más conocidas y completas con una lista de casi 1.000 millones de contraseñas y más de 168 millones de correos electrónicos que pueden haberse visto afectadas por este tipo de ataques. Otra página similar que realiza un servicio similar es shouldichangemypassword.com.
Pwnedlist permite comprobar si las cuentas asociadas a un correo electrónico han sido comprometidas.
Algunas noticias
Prohíben a empleadores solicitar contraseñas de redes sociales a sus empleados
A partir de este 2013, en seis estados de Estados Unidos (California, Illinois, Michigan, Nueva Jersey, Maryland, y Delaware) será ilegal para cualquier empleador pedirle a sus empleados –o a quienes postulen a un trabajo– las contraseñas de sus redes sociales como Facebook, Twitter o Instagram, sea para el fin que sea.
Esto luego del escándalo producido el año pasado cuando se dieron a conocer historias como el de una profesora de Michigan, la que tras los reclamos por una fotografía que ella posteó en Facebook, terminó suspendida de su trabajo luego de negarse a entregarle a sus jefes el acceso a su cuenta de la red social.
Una de las autoridades políticas que aprobó la medida en California, Nora Campos, aseguró que es una “medida preventiva“, y que servirá de guía para lo que se considerará información privada. Según Campos, han habido más de 100 casos en su estado donde empleadores le solicitaron a los trabajadores las contraseñas de sus redes sociales.
Cabe aclarar que esto no significa que el empleador no pueda ver los perfiles públicos de sus empleados, así que los que fueron etiquetados en vergonzosas fotografías en las celebraciones del año nuevo tendrán de todos modos que borrarlas u ocultarlas, si quieren mantener su imagen frente a sus jefes.
Desafortunadamente hay empleadores que aprovechando de su puesto exigen las contraseñas o como mínimo exigen que sean agregados como contactos por sus empleados para poder espiar lo que escriben o hacen.
La necesidad de trabajar en muchas ocasiones permite que el empleador vulnere los derechos a la privacidad que tiene cada persona, y la libertad de elegir si esa persona agrega a sus jefes a sus cuentas en las redes sociales.
Es una manera de hostigamiento de los empleadores para poder chantajear a los empleados o en el peor de los casos correrlos de su trabajo.
Cada persona es libre de expresarse, sin embargo existe una delgada línea entre lo que el empleado cree que puede escribir y lo que el empleador cree que está bien que su empleado escriba, sobre todo si se refiere a su propio centro de trabajo.
Prohíben a empleadores solicitar contraseñas de redes sociales a sus empleados
A partir de este 2013, en seis estados de Estados Unidos (California, Illinois, Michigan, Nueva Jersey, Maryland, y Delaware) será ilegal para cualquier empleador pedirle a sus empleados –o a quienes postulen a un trabajo– las contraseñas de sus redes sociales como Facebook, Twitter o Instagram, sea para el fin que sea.
Esto luego del escándalo producido el año pasado cuando se dieron a conocer historias como el de una profesora de Michigan, la que tras los reclamos por una fotografía que ella posteó en Facebook, terminó suspendida de su trabajo luego de negarse a entregarle a sus jefes el acceso a su cuenta de la red social.
Una de las autoridades políticas que aprobó la medida en California, Nora Campos, aseguró que es una “medida preventiva“, y que servirá de guía para lo que se considerará información privada. Según Campos, han habido más de 100 casos en su estado donde empleadores le solicitaron a los trabajadores las contraseñas de sus redes sociales.Cabe aclarar que esto no significa que el empleador no pueda ver los perfiles públicos de sus empleados, así que los que fueron etiquetados en vergonzosas fotografías en las celebraciones del año nuevo tendrán de todos modos que borrarlas u ocultarlas, si quieren mantener su imagen frente a sus jefes.
Desafortunadamente hay empleadores que aprovechando de su puesto exigen las contraseñas o como mínimo exigen que sean agregados como contactos por sus empleados para poder espiar lo que escriben o hacen.
La necesidad de trabajar en muchas ocasiones permite que el empleador vulnere los derechos a la privacidad que tiene cada persona, y la libertad de elegir si esa persona agrega a sus jefes a sus cuentas en las redes sociales.
Es una manera de hostigamiento de los empleadores para poder chantajear a los empleados o en el peor de los casos correrlos de su trabajo.
Cada persona es libre de expresarse, sin embargo existe una delgada línea entre lo que el empleado cree que puede escribir y lo que el empleador cree que está bien que su empleado escriba, sobre todo si se refiere a su propio centro de trabajo.
75% de personas usa la misma contraseña para redes sociales y correo
Un estudio elaborado por BitDefender a lo largo de una semana reveló que más de 250.000 direcciones de correo electrónico, nombres de usuario y contraseñas pueden ser encontradas muy fácilmente en Internet a través de comentarios, blogs, plataformas de colaboración “torrents” u otros canales.
El 87% de esas direcciones de correo, nombres de usuario y contraseñas, seguían siendo válidas, de modo que cualquier podría acceder a ellas. Pero lo grave es que un análisis detallado de las cuentas de correo reveló que un 75% de los usuarios utiliza la misma contraseña para acceder a su email y redes sociales. En tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.
Se recomienda tener una contraseña distinta para cada red social y correo electrónico. Sí, es un lío. Pero es la mejor manera de evitar hackers y similares. BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican “y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware”.
La empresa aconseja a los usuarios que tengan mucho cuidado a la hora de elegir sus contraseñas y también cuando opten por compartir esa información.
Un estudio elaborado por BitDefender a lo largo de una semana reveló que más de 250.000 direcciones de correo electrónico, nombres de usuario y contraseñas pueden ser encontradas muy fácilmente en Internet a través de comentarios, blogs, plataformas de colaboración “torrents” u otros canales.
El 87% de esas direcciones de correo, nombres de usuario y contraseñas, seguían siendo válidas, de modo que cualquier podría acceder a ellas. Pero lo grave es que un análisis detallado de las cuentas de correo reveló que un 75% de los usuarios utiliza la misma contraseña para acceder a su email y redes sociales. En tres de cada cuatro casos, la información disponible en Internet no sirve sólo para acceder al correo de los usuarios, sino también a sus cuentas en redes como Facebook o Tuenti.
Se recomienda tener una contraseña distinta para cada red social y correo electrónico. Sí, es un lío. Pero es la mejor manera de evitar hackers y similares. BitDefender advierte a los usuarios sobre los riesgos de seguridad que estos resultados implican “y que van desde el robo de datos personales hasta el uso de la cuenta de correo o de la red social del usuario para enviar spam o malware”.
La empresa aconseja a los usuarios que tengan mucho cuidado a la hora de elegir sus contraseñas y también cuando opten por compartir esa información.
Detectado un robo de contraseñas de Facebook tras un ataque a Zynga Poker
16.000 contraseñas comprometidas
Un troyano buscaba víctimas 'valiosas' según sus estadísticas de juego. Es un robo a gran escala a usuarios de la red a través de una 'botnet'
La compañía de seguridad informática ESET ha publicado un informe en el que alerta de los efectos de una red de ordenadores 'zombis' ('botnet') llamada 'PokerAgent', descubierta hace un año y ya se encuentra en gran parte inactiva, y que habría comprometido cerca de 16.000 contraseñas, fundamentalmente en Israel.
16.000 contraseñas comprometidas
Un troyano buscaba víctimas 'valiosas' según sus estadísticas de juego. Es un robo a gran escala a usuarios de la red a través de una 'botnet'
La compañía de seguridad informática ESET ha publicado un informe en el que alerta de los efectos de una red de ordenadores 'zombis' ('botnet') llamada 'PokerAgent', descubierta hace un año y ya se encuentra en gran parte inactiva, y que habría comprometido cerca de 16.000 contraseñas, fundamentalmente en Israel.
Se trata de una modalidad de ataque que demuestra cómo se están utilizando 'botnets' con técnicas de 'phishing' (engaños con señuelos aparentemente legítimos, como publicaciones falsas en el muro de una cuenta) para robar datos personales en las redes sociales.
En su análisis, el investigador de ESNET Robert Lipovsky destaca que la 'botnet' 'PokerAgent' está diseñada con una doble finalidad. Por un lado, busca robar nuevas contraseñas de acceso a Facebook y, por otro, rastrea datos de las tarjetas de crédito ligadas a cuentas de dicha red social y estadísticas de los jugadores de 'Zynga Poker', el servicio de póquer 'online' más popular de Facebook.
Según los datos de ESET, Israel es el país en donde la amenaza ha sido mayor, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas. No obstante, la compañía aclara que esta cifra no se corresponde exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más", y además reconoce que "no todas las entradas de la base de datos de credenciales de Facebook en poder del atacante eran válidas".
En su análisis, el investigador de ESNET Robert Lipovsky destaca que la 'botnet' 'PokerAgent' está diseñada con una doble finalidad. Por un lado, busca robar nuevas contraseñas de acceso a Facebook y, por otro, rastrea datos de las tarjetas de crédito ligadas a cuentas de dicha red social y estadísticas de los jugadores de 'Zynga Poker', el servicio de póquer 'online' más popular de Facebook.
Según los datos de ESET, Israel es el país en donde la amenaza ha sido mayor, con 800 ordenadores infectados y más de 16.000 credenciales de Facebook robadas. No obstante, la compañía aclara que esta cifra no se corresponde exactamente con el número de credenciales válidas robadas, ya que puede haber muchas más", y además reconoce que "no todas las entradas de la base de datos de credenciales de Facebook en poder del atacante eran válidas".
Troyano MSIL/Agent.NKY
El origen de esta red de ordenadores 'zombis' se encuentra en varias versiones de un troyano llamado genéricamente MSIL/Agent.NKY.
La nota de ESET afirma que "el troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información: las estadísticas de 'Zynga Poker 'de la cuenta en cuestión y el número de métodos de pago (por ejemplo, tarjetas de crédito) almacenadas en la cuenta de Facebook".
Para ello, usaba nombres y contraseñas robados para publicar en el muro de 'amigos' contenidos como falsas noticias de prensa sensacionalista. Cada imagen tiene un enlace HTML a una página falsa de Facebook en la que hay que iniciar sesión de nuevo, y así se amplía la base de posibles víctimas. El troyano es capaz de detectar si hay información de tarjetas de crédito vinculadas a la cuenta o estadísticas de Zynga Poker mediante una función llamada 'ShouldPublish', de modo que si no detecta ningún dato al respecto sigue buscando más víctimas.
"Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el atacante primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante", aclara la nota. "Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments§ion=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena "You have X payment methods saved" que se devuelve en HTML".
Esta red tiene una manera peculiar de funcionar, afirma ESET. "A diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, éste no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado, de hecho, podría no tener una cuenta en Facebook. La 'botnet' sirve más bien como un 'proxy', por lo que las actividades ilegales -las tareas ordenadas a los 'bots'- no se ejecutan fuera del ordenador infectado".
El origen de esta red de ordenadores 'zombis' se encuentra en varias versiones de un troyano llamado genéricamente MSIL/Agent.NKY.
La nota de ESET afirma que "el troyano está programado para iniciar sesión en una cuenta de Facebook y conseguir la siguiente información: las estadísticas de 'Zynga Poker 'de la cuenta en cuestión y el número de métodos de pago (por ejemplo, tarjetas de crédito) almacenadas en la cuenta de Facebook".
Para ello, usaba nombres y contraseñas robados para publicar en el muro de 'amigos' contenidos como falsas noticias de prensa sensacionalista. Cada imagen tiene un enlace HTML a una página falsa de Facebook en la que hay que iniciar sesión de nuevo, y así se amplía la base de posibles víctimas. El troyano es capaz de detectar si hay información de tarjetas de crédito vinculadas a la cuenta o estadísticas de Zynga Poker mediante una función llamada 'ShouldPublish', de modo que si no detecta ningún dato al respecto sigue buscando más víctimas.
"Con el fin de determinar el número de formas de pago vinculadas a la cuenta de Facebook, el atacante primero tiene que entrar en esa cuenta, utilizando el nombre de usuario y contraseña que ya están en poder del atacante", aclara la nota. "Entonces, el troyano busca en https://secure.facebook.com/settings?tab=payments§ion=methods y simplemente consigue el número que hay entre las etiquetas HTML en la cadena "You have X payment methods saved" que se devuelve en HTML".
Esta red tiene una manera peculiar de funcionar, afirma ESET. "A diferencia de otros troyanos que hemos visto propagarse frecuentemente por Facebook, éste no intenta entrar ni interferir con la cuenta de Facebook del usuario que está infectado, de hecho, podría no tener una cuenta en Facebook. La 'botnet' sirve más bien como un 'proxy', por lo que las actividades ilegales -las tareas ordenadas a los 'bots'- no se ejecutan fuera del ordenador infectado".
En busca de víctimas 'valiosas'
En última instancia, parece que esta 'botnet' está diseñada para localizar usuarios de Facebook 'potencialmente atractivos' para convertirse en víctimas de robos. "El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de póquer y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook", reza el informe. "Posteriormente", añade, "el 'cibercriminal' puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes".
El caso fue comunicado las autoridades de Israel. "Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad", afirma ESET. También Facebook fue notificado, de modo que la popular red social ha restablecido las contraseñas de las cuentas comprometidas y "ha tomado medidas preventivas para frustrar futuros ataques a las cuentas de secuestrados".
Hay que destacar que, según la compañía de seguridad que ha publicado este informe, "Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios". "En concreto, el doble factor de autentificación podría haber evitado que los 'bots' entraran en las cuentas de Facebook de las víctimas", apunta.
ESET ha aprovechado este informe para insistir en una serie de recomendaciones de seguridad básicas, tales como el uso de un antivirus actualizado, estar alerta ante posibles páginas web falsas (muchas veces basta con comprobar la URL), o restringir la costumbre de dejar al navegador que 'recuerde' nuestras contraseñas, entre otras medidas.
(Más información aquí http://blogs.protegerse.com/laboratorio/2013/02/06/pokeragent-y-el-robo-de-16-000-contrasenas-de-facebook/)
En última instancia, parece que esta 'botnet' está diseñada para localizar usuarios de Facebook 'potencialmente atractivos' para convertirse en víctimas de robos. "El código sugiere que el atacante busca usuarios de Facebook con cosas de valor que merezcan la pena robar, determinándolo por las estadísticas del juego de póquer y los datos de la tarjeta de crédito almacenados en su cuenta de Facebook", reza el informe. "Posteriormente", añade, "el 'cibercriminal' puede usar para sí los datos de la tarjeta de crédito o quizá vender la base de datos a otros delincuentes".El caso fue comunicado las autoridades de Israel. "Los detalles de la investigación no pueden ser hechos públicos por razones de confidencialidad", afirma ESET. También Facebook fue notificado, de modo que la popular red social ha restablecido las contraseñas de las cuentas comprometidas y "ha tomado medidas preventivas para frustrar futuros ataques a las cuentas de secuestrados".
Hay que destacar que, según la compañía de seguridad que ha publicado este informe, "Facebook ha implementado varios mecanismos para mejorar la seguridad de sus usuarios". "En concreto, el doble factor de autentificación podría haber evitado que los 'bots' entraran en las cuentas de Facebook de las víctimas", apunta.
ESET ha aprovechado este informe para insistir en una serie de recomendaciones de seguridad básicas, tales como el uso de un antivirus actualizado, estar alerta ante posibles páginas web falsas (muchas veces basta con comprobar la URL), o restringir la costumbre de dejar al navegador que 'recuerde' nuestras contraseñas, entre otras medidas.
(Más información aquí http://blogs.protegerse.com/laboratorio/2013/02/06/pokeragent-y-el-robo-de-16-000-contrasenas-de-facebook/)
Puedes encontrar más entradas en www.gitsinformatica.com
 |
Gits mira por tus derechos. Gits es Pro-Vida.
Recomendamos la visualización de este documental:http://www.youtube.com/watch?v=SWRHxh6XepM .
No hay comentarios:
Publicar un comentario
Rogamos sea moderado y constructivo en beneficio de toda la comunidad de Internautas. Considere la posibilidad de ayudarnos con una pequeña aportación dineraria a nuestra cuenta PayPal en nuestra web principal www.gitsinformatica.com Gracias por su colaboración. Que pase un buen día.