Documente Academic
Documente Profesional
Documente Cultură
Demasiado vulnerables
Ahora bien, si las nuevas tcnicas de hahing son ms seguras, por qu
decimos al comienzo de este artculo que las cuentas en Internet son cada da
ms vulnerables? La primera razn es que no todos los sitios web usan
tcnicas de hashing fuertes. La segunda: que los hackers hoy tienen
demasiada informacin sobre las contraseas que se emplean en el mundo
real; y eso, combinado con el poder del hardware actual, fortalece los programas que se emplean para quebrar passwords. La tercera: que ya hay
cientos de millones de contraseas en manos de los delincuentes, quienes las
pueden usar para ingresar a las cuentas de los usuarios que no hayan
cambiado sus passwords.
Lee Munson, investigador senior de la firma Comparitech.com, le dijo a la
revista para profesionales de seguridad SC Magazine: "Ya sea que estemos
hablando de Linkedln o de cualquier otra compaa, de tecnologa o no, los
clientes nunca deberan presumir que sus datos estn completamente seguros.
Aunque algunas empresas se toman la seguridad ms en serio que otras, el
hecho es que los atacantes siempre estn un paso adelante, as que el nombre
del juego es mitigacin, no prevencin".
Infortunadamente, el caso de Linkedln es solo uno de varios. El sitio web Troy
Hunt.com destac a finales de mayo que solo durante ese mes se haban
puesto en venta 642 millones de contraseas robadas en cuatro sitios web muy
populares. Aparte de las 177 millones de Linkedln, en mayo se pusieron en
venta 360 millones de contraseas que haban sido robadas de la red social
MySpace en el 2013; sin embargo, esos datos son menos valiosos para los
hackers que los de Linkedln porque estas contraseas haban sido pasadas
todas a minsculas y quedaron truncadas en 10 caracteres.
Otros paquetes de datos que se pusieron en venta en mayo fueron 65 millones
de contraseas del sitio de blogs Tumblr (robadas en el 2013) y 40 millones del
sitio de citas Fling (robadas en el 2011). Troy Hunt, quien es experto en
seguridad y director regional de Microsoft, llama la atencin sobre dos hechos
preocupantes: se trata de robos de hace varios aos (los datos llevaban mucho
tiempo por ah) y los cuatro casos se ubicaron en la lista de los seis mayores
robos de datos reportados en toda la historia en el sitio Have I Been Pwned?
(es un sitio de Hunt del que hablaremos ms adelante). "Esto demuestra que
los proveedores de servicios son incapaces de detectar las violaciones o estn
dispuestos a mantenerlas en secreto aos despus de que han sido
descubiertas", dice sobre el tema Dan Doodin, editor de temas de seguridad de
Ars Technica.
Los expertos en seguridad suelen recomendar el uso de un administrador de
contraseas. Estos son programas que se integran con su navegador web, y
que generan y guardan contraseas muy seguras, que estn muy bien
protegidas y que son diferentes para cada uno de los sitios web que usted
utiliza.
Y ahora qu hacemos?
Ahora que entiende bien los peligros a los que est expuesto, la primera
medida que debe tomar, si tiene una cuenta de Linkedln, es obvia: cambie
inmediatamente la contrasea en ese sitio web. Adems, tiene que pensar en
qu otros sitios web ha utilizado el mismo password para cambiarlo tambin
all. Recuerde que sus datos (la combinacin de correo electrnico y
contrasea de Linkedln) estn hace rato en manos de delincuentes. Haga los
cambios primero en los sitios web en donde el impacto podra ser mayor. Por
ejemplo, sus cuentas en Amazon, PayPal, iTunes Store y otros servicios que
tienen sus nmeros de tarjeta de crdito. Hay un sitio web muy til que debera
visitar: Have I Been Pwned?
el acceso a las cuentas requiere algo que el usuario sabe (su contrasea) y
algo que tiene (su telfono).
La autenticacin de dos pasos hace que las cuentas sean mucho ms seguras,
ya que un delincuente que quiera acceder a ellas debe tener su nmero de
telfono; es decir, as otra persona haya logrado averiguar su contrasea, no
podr entrar a su cuenta sin su nmero celular. La verificacin de dos pasos
est disponible en los principales servicios web, y es opcional, as que usted
debe activarla manualmente a travs de las opciones de configuracin del sitio.
Al activar esa opcin, le pedirn el nmero de celular al que se deben enviar
los cdigos de verificacin, y un nmero de telfono alternativo en caso de que
ese celular no est disponible.
A partir del momento en que active la 'autenticacin de dos pasos, usted tendr
que escribir el cdigo que le llegue a su celular (varios dgitos) para poder
acceder a su cuenta (el cdigo se le pedir despus de introducir el nombre de
usuario y la contrasea). Los cdigos se le pueden entregar al usuario de
varias maneras: en un mensaje de texto que le llega al celular; mediante una
llamada telefnica al celular; o a travs de una app para el smartphone que
genera los cdigos en el telfono incluso cuando el usuario est desconectado
de la red celular (esto es til cuando est de viaje en otro pas).
El envo de los cdigos o las llamadas a su celular no le generan ningn tipo de
cobro, ni costos de larga distancia. Y los cdigos de seguridad son vlidos una
sola vez (la siguiente vez que se lo pidan el cdigo que le llegar es diferente).
Tener que esperar a que le llegue un cdigo al celular es aburridor (en unas
pocas ocasiones se demora en llegar).
Por eso, los servicios web suelen darle la opcin de indicar que no quiere que
le vuelvan a pedir el cdigo de verificacin para el computador desde el cual
est tratando de acceder (por ejemplo, el PC de su casa, que es el ms
seguro) durante cierto tiempo (30 das es lo habitual). As solo tendr que
introducirlo cuando vaya a acceder desde otro computador.
De otro lado, si emplea su cuenta de correo desde apps mviles en tablets y
telfonos inteligentes, quiz tenga que hacer un procedimiento adicional, pues
el acceso a su cuenta dejar de funcionar. Esas apps no le permiten utilizar los
cdigos de verificacin en cada sesin como s es posible en el navegador
de un PC, por lo que debe generar una 'contrasea de aplicacin', que se
introduce en lugar de la contrasea tradicional en la app mvil.
La buena noticia es que este procedimiento solo se realiza la primera vez en
cada dispositivo mvil, as que ni siquiera tiene que memorizar la contrasea.
Adems, es un proceso sencillo, que se realiza en la misma pgina que
inicialmente le permiti activar la verificacin de dos pasos. Esa contrasea de
aplicacin se puede revocar en cualquier momento (por ejemplo, si usted deja
de utilizar un telfono) y puede generar una nueva cuando quiera (en caso de
que cambie de celular o tablet).
Con la autenticacin de dos pasos podr dormir tranquilo, mientras las
contraseas dejan de ser utilizadas, algo que eventualmente pasar. Cada vez
es ms evidente que este sistema tiene demasiadas debilidades, y por eso
poco a poco se ir remplazando por otros mtodos, como la identificacin
biomtrica.
Documento Word:
http://es.slideshare.net/AlejandroHidalgo36/documento-1-algunos-sitiosprotegen-mal-sus-contraseas-65906609
Mapa conceptual:
http://prezi.com/xzq5ujpdswpy/?utm_campaign=share&utm_medium=copy