20 Aug Contraseñas: se roban cada vez más aunque sean más complejas
Por Ariel Torres
La semana pasada, durante la conferencia de seguridad Black Hat, que se realizó en Las Vegas, la compañía estadounidense Hold Security dio a conocer una cifra insólita. Un grupo de delincuentes informáticos rusos se habrían robado 1200 millones de contraseñas y 500 millones de direcciones de correo electrónico. El número supera todas las marcas anteriores y, si es cierto, se convierte en la mayor sustracción de datos de la historia. Como era de prever, la noticia no sólo encendió todas las alarmas, sino que también sembró escepticismo. Para el célebre criptógrafo Bruce Schneier, todo el asunto parece más una campaña mediática de Hold Security que el reporte del robo del siglo. Por su parte, el respetado experto en seguridad Brian Krebs cree que el asalto de verdad existió, más allá de la sospechosa falta de detalles técnicos y metodológicos aportados por Hold Security. Casi cada semana los datos sensibles de miles de usuarios son hurtadas de sitios web. En ocasiones las víctimas se cuentan por millones. El 3 de octubre de 2013 la compañía Adobe, creadora del Photoshop, anunció que le habían hurtado unos 3 millones de contraseñas. El número trepó en los días siguientes a 152 millones. Casi todas las compañías con algún servicio en Internet han padecido este flagelo, desde gigantes como Sony y Google hasta ignotas pero cruciales agencias de pago. Pero, aunque como titular es impactante, el robo de 1200 millones de contraseñas no dice mucho despojado de otros datos, que Hold Security no aportó. Por ejemplo, cuánto tardaron en obtener esa cantidad de credenciales, qué sitios fueron afectados y, sobre todo, qué proporción de esas claves estaban en texto plano (esto es, legibles de inmediato) o encriptadas (usando lo que se conoce como función hash). Hay casi 3000 millones de personas conectadas a Internet y más de 1000 millones de sitios, con el número de páginas web individuales en el orden de decenas de billones. Para los grandes robos de datos los criminales infectan cientos o miles de computadoras de particulares para incorporarlas a una red robot (o botnet) que busca de forma autónoma sitios que expongan alguna vulnerabilidad. En el caso de los delincuentes rusos, habrían explotado una falla llamada Inyección SQL. Con el tiempo suficiente y una botnet poderosa, la cifra de 1200 millones de contraseñas es menos impresionante de lo que parece a primera vista. Y también menos significativa.
DELITO EN ALZA
Pero un dato surge claro de las estadísticas. Esta clase de filtraciones está creciendo de forma alarmante. “En estos últimos años el robo de contraseñas ha crecido, principalmente porque aún es la principal forma de autenticarnos y así acceder a una gran cantidad de recursos informáticos. Según nuestras estadísticas, entre 2012 y 2013 los phishers atacaron alrededor de 102.000 personas por día, el doble de lo registrado entre 2011 y 2012. Con más del 20% de los ataques apuntando a bancos y otras instituciones financieras, los phishers no se han olvidado de las redes sociales. En 2013 la cantidad de ataques a Facebook y otras redes similares creció un 6,8%, representando el 35,4% del total”, enumera Santiago Pontiroli, analista de seguridad de la compañía Kaspersky Lab. El phishing es una de las numerosas formas de obtener credenciales y toma la forma de un mail con alguna advertencia grave que fuerza al usuario a ingresar en un sitio que parece la entidad financiera, pero que es en realidad una fachada engañosa donde le sustraerán sus datos sensibles. “Nosotros no tenemos una estadística específica que diga que el robo real de contraseñas haya crecido -observa, por su parte, Ignacio Sbampato, de la compañía de seguridad ESET-. En general, lo que vemos es que el robo de passwords crece constantemente, ya sea por medio de ataques a sitios web o por el uso de malware (programas maliciosos). La razón, desde nuestro punto de vista, es que las contraseñas son la clave para utilizar los servicios, y los servicios son el objetivo de los atacantes, ya que les permiten un rédito económico directo, si el servicio es financiero, o indirecto, porque los usuarios tienden a utilizar las mismas claves en todos los servicios”. Los usuarios de Internet se encuentran, así, en una encrucijada. Por un lado, saben que tienen que usar contraseñas robustas, es decir, capaces de resistir los intentos de adivinarlas o descifrarlas por medio de ataques de fuerza bruta. Pero no sólo esas contraseñas son difíciles de recordar, sino que, además, los delincuentes informáticos ya no necesitan quebrantarlas. Les resulta más fácil robarlas. ¿Qué hacer pues? En julio, Microsoft dio a conocer un artículo en el que aconseja reutilizar contraseñas sencillas en los sitios de poca importancia, reservando las claves fuertes sólo para el banco, el correo electrónico, Facebook y otros servicios más críticos. Aunque reñida con las buenas prácticas de seguridad, el artículo de Microsoft es más realista que las recomendaciones tradicionales. La contraseña de nuestra cuenta de mail es particularmente sensible porque es allí donde nos envían el link para recuperar todas las otras, si nos las roban o las olvidamos. Todos los expertos coinciden en que la contraseña de este servicio nunca debe reutilizarse en otros. Sbampato, por su parte, opina que “es necesario que se empiecen a utilizar métodos de autenticación más complejos, como la doble o múltiple autenticación, porque la seguridad de nombre de usuario y password ya no es suficiente”. La doble autenticación es, por ejemplo, el envío de un PIN al celular luego de ingresar la contraseña correcta en un servicio online. Es menester poner, además, ese PIN para acceder al sitio.
LOS FRAUDES Y ATAQUES MÁS FRECUENTES
Técnicas de inteligencia, engaños y vulnerabilidades de software, todo vale Inteligencia El delincuente prueba combinaciones de números y palabras asociados a la víctima. Por eso no sirve usar palabras, fechas y otros datos personales. Robo e ingeniería social Se explotan vulnerabilidades de software que permiten extraer archivos enteros de datos de usuarios. También se usan técnicas de ingeniería social, como el phishing, para que la víctima entregue sus credenciales voluntariamente. Ataque de diccionario Se intenta con las combinaciones más usadas. Por lejos, la contraseña más popular es 123456. Ataque de fuerza bruta Un programa prueba todas las combinaciones posibles. Este es el motivo por el que no sirven las contraseñas sencillas y de pocos caracteres.
FUENTE: LA NACIÓN