No sólo tú conoces tu contraseña

Fernando Denis Ramírez Guerrero
Chief Executive Officer (CEO) en HISPASEC SISTEMAS S.L.

Artículo publicado en Diario Sur

11 Mar de 2020

¿Estás seguro de que solo tú conoces tus contraseñas? ¿Sí? Deja que te cuente una historia. Una de esas historias que les pasa siempre a otros. Antes, para que puedas entender la historia que te voy a contar, permíteme que te presente algunos conceptos.

  1. LEAK. Un leak es una filtración de información de carácter privada. Y esto te va a encantar: existe un sitio web que se encarga de almacenar todos los ‘leaks’ que se hacen públicos con el objetivo de que un usuario pueda saber si su contraseña ha sido comprometida. Este sitio se llama ‘Have I Been Pwned?’ y si no lo conocías te recomiendo que entres y compruebes si tu email está en algún ‘leak’ público. En esta web hay datos que provienen de 431 filtraciones de webs. Se trata de un total de 9 billones y medio de registros y al menos 134 millones de personas están afectadas por estas filtraciones.
  2. HASH. Para evitar que en los leaks las contraseñas sean legibles, entre otras cosas, se genera un hash mediante algún sistema de cifrado, de forma que un atacante no pueda saber la contraseña original. Encontrarse contraseñas sin hashear sería algo muy raro, de hecho sería temerario desde el punto de vista de seguridad informática. Pues bien, existen diccionarios generados de hashes con las contraseñas más comunes, de poca longitud o que han sido utilizadas con anterioridad por otros. Y existen servicios que contienen estos diccionarios. Esto es sorprendente y real: si probamos a usar palabras comunes con mutaciones simples en uno de estos sitios, por ejemplo contraseñas cómo: malaga2020 o m4l4g42020, estas, ya se encuentran disponibles en estas webs.

Vale, una vez que conoces estos dos conceptos, te tengo que contar que hay muchos ‘leaks’ de información provenientes de webs en las cuales nos registramos a diario y vamos dejando una asociación entre nuestros usuarios y nuestras contraseñas. El hecho de que alguien pueda acceder a esta asociación no solo afecta a la propia web sino que afectaría a todas las webs en las que hemos usado esa misma relación, puesto que un atacante podría probar a través de bots, de forma masiva, estas correlaciones en otros sitios.

En este punto, ya estás listo para escuchar mi historia. Mi amigo tiene memorizadas algunas contraseñas, tres o cuatro a lo sumo. Sus contraseñas, en función de lo importante que sean para él, tienen alguna variación, un número incremental, una fecha que nunca olvidará o incluso alguna secuencia de mayúsculas, minúsculas, números y caracteres. Pero, como a muchos de nosotros nos ocurre, no siempre sabe cuál usó en las webs en las que está registrado.

La historia comienza tras recibir un email que le informa de que alguien ha conseguido acceder a su correo electrónico desde una ubicación que no es en la que se encuentra él. Le echo una mano y nos ponemos a investigar qué ha pasado. Lo primero que le pregunto es si utiliza su contraseña en algún otro servicio, para saber si ha podido ser obtenida de una filtración ‘leak’. Me dice que no. Dice que esa contraseña solo la usa para esa cuenta de correo electrónico. En este punto las sospechas se centran en algún ‘phishing’ que haya podido recibir haciéndose pasar por su proveedor de correo y que así le hayan robado las credenciales. Mi amigo, que conoce este tipo de amenazas, no recuerda nada sospechoso y no cree que hayan podido estafarle. Pero cualquiera de nosotros puede caer en este tipo de amenazas si están bien profesionalizadas.

Con todos estos precedentes, accedo a un servicio privado que me permite comprobar tanto si su email ha estado en una filtración como ver la información filtrada asociada al email de mi amigo. Con acceso a esta información, puedo ver todas las contraseñas de mi amigo que han aparecido en este tipo de filtraciones. ¡Eureka!, la contraseña que usaba estaba allí, en una filtración que tenía asociado a su email varias contraseñas.

En un primer momento, pensé que eran las contraseñas antiguas que había usado en esa plataforma. Pero al momento de verlo, mi amigo me confirmó algo mucho peor: eran sus intentos erróneos de acceso a la plataforma. La plataforma estaba almacenando todos los intentos de acceso, con su respectiva contraseña; y ahí, en uno de esos registros, estaba la contraseña que usaba en su correo electrónico. La misma contraseña que no utilizaba en ningún otro servicio.

Mi amigo, aunque a estas alturas ya es nuestro amigo, no se acordaba de la contraseña que usó y llevado por las prisas se puso a probar todas sus contraseñas, para saber cuál fue la que usó en ese servicio. Sus prisas y unos desarrolladores brutalmente inconscientes o con malas intenciones, permitieron que todas sus contraseñas se hicieran públicas. Así murió su seguridad y por ende su privacidad.

¿Cómo debemos entonces gestionar nuestras contraseñas? Existen unos pocos seres precavidos, muchos de ellos guiados por lo que sus ojos han visto, que hacen uso de gestores de contraseñas. Estos gestores no solo almacenan la contraseña elegida para entrar al servicio del que nos hemos registrado, sino que nos generan una contraseña compleja que no es recuperable, al menos sin mucho tiempo y dinero, pero este tema lo dejamos para futuros artículos. Nadie puede evitar que su email esté vinculado a un ‘leak’, pero sí podemos conseguir que nadie conozca nuestra contraseña.

Conoce las ventajas de ser asociado

Smart City Cluster mejora la colaboración entre sus socios, favoreciendo la investigación, el desarrollo y la innovación en las diferentes soluciones y tecnologías destinadas al desarrollo de ciudades inteligentes.

Smart City Cluster is an alliance of private companies and institutions that work for the development of smart cities.

Contact

Office: C/ Severo Ochoa 4, 4ª Planta, Parque Tecnológico de Andalucía, 29590 Málaga
Registered office: C/ Steve Jobs, 2, Parque Tecnológico de Andalucía, 29590 Málaga

Phone: 951 775 170

info@smartcitycluster.org