¿Por qué cada vez tenemos más problemas de seguridad con nuestros servicios web?
A mediados de agosto, y con pocos días de diferencia, decenas de miles de usuarios de Instagram se vieron sorprendidos (entre ellos el que escribe este artículo) con la desaparición de su cuenta en el servicio. Tal vez sería más acertado decir el cierre unilateral de la cuenta, y sin mediar aviso, por parte de Instagram. El resultado es que miles de usuarios perdieron (perdimos) todo el arsenal de fotos en el servicio; álbumes a veces con cuatro años o más de antigüedad, como es el caso de un servidor.
Pero problemas de comunicación de la empresa a parte, el cierre obedecía a una razón de peso. Todos estas cuentas habían sido previamente secuestradas por cibercriminales que las estaban utilizando para lanzar campañas de estafas basadas en llenar nuestro perfil de fotos pornográficas y hacer spam a nuestros contactos. A medida que Instagram fue detectando los secuestros, actuó con contundencia borrando las cuentas, sin que los usuarios pudieran hacer nada por recuperarlas.
Casi al mismo tiempo se comenzó a hablar de problemas parecidos en Twitter, Dropbox y Spotify: todos estos servicios pidieron a algunos de sus usuarios que cambiaran las contraseñas por motivos de seguridad y bajo la sospecha de que sus cuentas podían ser secuestradas; muchos de estas y estos usuarios habían sido antes víctimas de los ataques en Instagram (tal es mi caso: fui requerido en Dropbox y en Twitter varias veces, donde por fortuna tengo activada la autenticación en dos pasos).
El mercado negro de los datos robados
¿Cómo consiguen los ciberdelincuentes crear esta sensación de fragilidad en servicios que en teoría tienen unos niveles de seguridad elevadísimos y se supone que trabajan con claves de cifrado irrompibles? La respuesta es muy sencilla: en el mercado negro de datos. Si consigues la dirección de correo y contraseña de un usuario, te ahorras un enorme trabajo en tratar de descifrar sus claves criptográficas para hacerte con su cuenta.
Y pagando puedes conseguir millones de direcciones y contraseñas; es un tema de precios, pero también de actitudes... nuestras, no de los servicios. Para entendernos, siempre hay un hacker o cracker que dedica una gran cantidad de recursos a buscar una vulnerabilidad -fallo de código- en un servicio para colarse en las cuentas de los usuarios, sorteando las claves cifradas, que en efecto son casi imposibles de romper. Cuando la encuentra, se cuela y roba todos los datos que puede, direcciones y contraseñas incluidas.
Puede que nosotros ni lo notemos y a corto plazo no nos afecte, porque el delincuente no use esas claves en nuestra cuenta; lo más seguro es que las compile en un archivo y lo ponga a la venta en la dark-web, la parte de Internet que no detectan los buscadores, algo así como el mercado negro o los bajos fondos. Allí estos archivos, con millones de direcciones y contraseñas, se someten a subastas, quizá por cantidades millonarias, y están sumergidos durante años hasta que una red mafiosa los compra para usarlos.
Una llave que abre demasiadas puertas
Es posible que a la organización mafiosa no le interese en sí tu contraseña en el servicio 'X' (por ejemplo Flickr), sino lo que puede deducir de ella, las puertas que puede abrir. La banda asume que en su día cambiaste la contraseña de Flickr tras un aviso de la empresa de que tu cuenta había sido hackeada, pero sabe que seguramente no hiciste lo mismo en todos tus servicios y que usabas la misma contraseña en muchos de ellos. Así que irá probando en todos a ver en cuál coincide con tu vieja contraseña.
Los mafiosos están interesados, por otro lado, en encontrar contraseñas similares para servicios donde tengas gran interacción con otras personas, donde tus mensajes puedan llegar lejos. El motivo es que lo que quieren es usar tu cuenta para enviar spam y software malicioso a otros usuarios con el fin de aumentar la posibilidad de éxito de sus estafas.
No debes temer, por ejemplo, por tus fotos en Flickr -un servicio con menos vida que un polígono industrial en domingo- pero si por las de Instagram, que por cierto también pueden aparecer en Facebook. Y lo mismo pasa con tu Twitter: les puede ser muy valioso.
En otras palabras, si tu contraseña de Instagram o Twitter es la misma que la de Flickr que un día un hacker te robó -y luego vendió en la 'dark-web' a unos cibermafiosos-, es probable que te secuestren las cuentas en esos servicios y las usen para sus estafas. Y la probabilidad de que uses la misma contraseña en múltiples servicios, u otra casi igual, es altísima, por lo que los mafiosos, con sus potentes ordenadores, probarán en multitud de servicios y secuestrarán a la vez las cuentas de miles, o millones, de usuarios.
¿Cómo evitar este problema?
La búsqueda de vulnerabilidades por parte de determinados hackers es un proceso que nunca se detiene, y recientemente Dropbox, con un amplio historial de fallos de seguridad con resultado de violaciones de su código, experimentó el robo de 68 millones de contraseñas. La empresa ya ha instado a los usuarios afectados a cambiar su contraseña.
Pero el caso es, como siempre, que dichos usuarios seguramente no cambiarán la del resto de servicios donde es similar, si no la misma. Lo ideal sería, en efecto, dedicarnos a cambiar todas las contraseñas de todos nuestros servicios cada cierto tiempo -cada medio año, por ejemplo- y guardarlas en en un documento protegido hasta que las recordemos bien.
Podemos apoyarnos para tal fin en un programa gestor de contraseñasgestor de contraseñas, que nos permitirá trabajar con una sola contraseña maestra para entrar en el gestor, y este luego se encargará de autenticarnos en los diferentes servicios, ya que se guardará el resto de contraseñas. El problema es que algunos gestores ya han sido hackeados, aunque la información de las contraseñas de los servicios se supone que está guardada bajo altas claves de cifrado.
Pero adicionalmente, y en el conocimiento de que no todo el mundo hará lo arriba recomendado, es importante activar en aquellos servicios en los que se preste, la autenticación en dos pasos. Esto es: en un primer paso poner la contraseña y que ello active el envío de un SMS a nuestro teléfono o un correo a nuestro buzón.
El dicho SMS figurará una clave numérica que introduciremos como segundo paso. Solo entonces podremos activar nuestro servicio. De este modo, aunque un delincuente tenga nuestra contraseña, nunca se podrá autenticar.
Si no te quieres perder ninguno de nuestros artículos, suscríbete al boletín de ConsumoClaro
suscríbete al boletín de ConsumoClaroAdemás te recomendamos:
Diez modas estéticas tan absurdas como peligrosas para la salud
Diez modas estéticas tan absurdas como peligrosas para la salud