La gente nunca se para a pensar en la información y rastro que deja en Internet. Es mucha y muy personal y no debería poder ser accedida por cualquiera. Es por eso que una de las principales recomendaciones de seguridad es tener una contraseña larga, difícil y que incluya letras, números y símbolos si fuera posible.
Supongo que lo que estáis leyendo os entra por un lado y os sale por el otro pero no debería ser así. Tras la aparición de 10.000 cuentas de correos españoles con sus respectivas contraseñas en la web pastebin se han hecho muchos estudios y muchas de las contraseñas son: nuestras aficiones, el nombre de la novia o novio y series de números consecutivos. Si os preguntáis como sacaron tantas contraseñas sólo os puedo decir que eran cuentas asociadas al servicio passport, es decir, messenger y que probablemente habían sido robadas o por un troyano, o con toda seguridad, de algún servicio online que ofrece ver que contactos te tienen desadmitido, cosa que si usas Linux es una tontería porque clientes como Pidgin o Amsn te lo dicen.
Las contraseñas genéricas no son las más optimas pues a la hora de acceder a los servicios, pueden ser adivinadas mediante el empleo de diccionarios de contraseñas genéricas. Amor, amistad, tequiero, realmadrid, cristianoronaldo son contraseñas muy comunes y os sorprenderíais de la cantidad de gente que emplea estas contraseñas aunque supongo que ninguno de ellos leerá jamás un blog como este.
En cualquier caso las políticas de seguridad al emplear las contraseñas están ahí y lo mejor sería generarlas de manera aleatoria aunque resulten casi imposibles de recordar. No os vamos a recomendar tanto pero tened mucho cuidado. En servicios importantes como el correo electrónico o tiendas virtuales poned contraseñas diferentes y fuertes. Podéis crear contraseñas con parámetros comunes y que varíen el final aunque no sea lo más correcto. Así te ayudarás a recordar la contraseña y sobre todo si tuvieras un problema, no perderías todo lo que tuvieras.
Para páginas webs de aficiones y foros si que te puede interesar tener una contraseña igual porque la información a la que pueden acceder no es sensible de ser empleada con fines lucrativos.
En cualquier caso os pondré un ejemplo de la vida real ya que es así como se aprenden las lecciones.
Un usuario cualquiera amigo mío tenía una página web gestionada con un Content Manager System o CMS, llamado PHP-NUKE. Este gestor como otros muchos gestores de código abierto tienen fallos que la comunidad va corrigiendo y sacando actualizaciones cada poco tiempo. Este usuario no aplicaba las actualizaciones y como mucho sufría un deface, es decir, una alteración de la página principal donde se puede leer que te han modificado la web y se jactan de ti. Hasta aquí todo bien pues el no tenía una empresa sería y no daba importancia a este tipo de ataques que resultan más molestos que otra cosa, hasta que aprendió la lección de su vida en Internet.
Este popular gestor tenía un problema de inyección SQL con lo que cualquier usuario malintencionado modificando unos parámetros podía sacar la contraseña codificada en sha1.
A través de un diccionario de hashes, o contraseñas codificadas, descodificaron su contraseña que era larga aunque bastante común. El no se dio cuenta de nada y seguía administrando su web como si nada pasara aunque la persona que le atacó, siguió investigando y consiguió acceder a su correo porque tenía la misma contraseña que la web. Con el correo modificó la contraseña del hosting que le alojaba la página web. También intentó robarle los dominios aunque no pudieron porque la empresa registradora de dominios estaba realizando tareas de mantenimiento.
A pesar de todo esto, el no se enteró de nada y siguió haciendo su vida en Internet hasta que le llegó un e-mail de la famosa pasarela de pagos PayPal diciéndole que le habían bloqueado su cuenta debido a un intento sospechoso de acceso, alegando que alguien desde Estados Unidos había accedido a su cuenta. Debido a este fallo, los atacantes se dieron cuenta de que habían sido descubiertos y le mandaron un e-mail pidiendo 2000$ por la devolución de sus servicios y su vida en Internet. Tenían su cuenta de correo, su servidor y casi sus dominios en Internet y su dinero de PayPal.
Este usuario se dio cuenta de que estaba sufriendo ciber-extorsión y pensandolo muy en frío intentó recuperar su contraseña de correo que para colmo, tenía la típica pregunta de recuperación bastante difícil de recordar porque en aquel tiempo cuando se registró y sólo era un chaval pensó que sería gracioso poner una tontería. Tras mucho trabajo consiguió acceder a su correo y de ahí consiguió recuperar su servidor, del cual habían borrado todo. Tras recuperar el servidor modificó las contraseñas de todo, correo, FTP, MySQL, PayPal y dominios. A partir de esto, empezó a poner contraseñas con símbolos, números y letras casi imposibles de encontrar en un diccionario.
Como veis tener una contraseña en común para todo resulta un peligro y más si tienes asignada esa contraseña a la misma dirección de correo con la que te registras o trabajas habitualmente. Por ello os ruego encarecidamente que por vuestro bien, uséis contraseñas diferentes y seguras y que las cambiéis regularmente.
lunes, 7 de diciembre de 2009
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario