El mayor robo de contraseñas de la historia

El mayor robo de contraseñas de la historia enciende alarmas en la web

Piratas informáticos rusos se hicieron de 1.200 millones de claves empleando un método poco común de "prueba y error". Consejos para mejorar la seguridad




La firma de seguridad informática Hold Security aseguró que el ataque comprendió a 1.200 millones de contraseñas y direcciones de correo electrónico en el mundo, lo que permite conectarse a unos 420.000 portales de internet, de todo tipo e importancia.

Esta operación de gran magnitud habría durado varios meses entre 2013 y 2014, según la empresa, que ya reveló varias operaciones de pirateo, como la que afectó a Adobe Systems, cuando piratas robaron datos personales y bancarios de cerca de tres millones de personas.

"Si se confirma, será la mayor operación de compilación de datos robados", afirmó Loic Guezo, director de estrategia de la sociedad de seguridad informática Trend Micro para el sur de Europa.

"Es un ataque relativamente sencillo, pero interesante por su amplitud y su método estructurado, para el que se usaron computadoras infectadas para someter a prueba la vulnerabilidad de los portales internet. Es bastante poco común, la técnica es fina", puntualizó.

En la mayoría de los casos, los piratas tienen un objetivo preciso, como una empresa en la que buscan fallas. En este caso, empezaron por infectar computadoras de particulares y crear una red con ellos, lo que se conoce como botnet.

"Luego un programa malintencionado atribuía a estas computadoras la misión de someter a prueba sitios de internet que visitaban los usuarios para ver si tenían fallas. Si así era, se llevaban a cabo ataques unitarios. Por lo tanto, no había un objetivo determinado desde el inicio. Todo se hizo al azar de la navegación de las computadoras infectadas", recalca.

"Es como probar todas las puertas de todos los automóviles de un estacionamiento y ver cuáles no están cerradas con llave", declaró por su parte Gérôme Billois, un experto de la empresa Solucom.

Ahora, los piratas pueden usar ellos mismos los datos recabados "o ponerlos en venta en el mercado negro. Pero seguramente haya muchas cosas inútiles en lo que sacaron y se concentrarán en las contraseñas activas", según Guezo.

"Cuando se tiene el login y la contraseña de una persona, se pueden conseguir informaciones muy personales, como historiales de compras, conversaciones en foros, fotos, direcciones de domicilios, lo cual mejora la calidad posterior de la estafa. No se trata de un spam que dice 'cliquee aquí, ganó 100.000 euros', sino más bien 'cuando realizó su último pedido en tal sitio, tuvimos un problema con la dirección para realizar la entrega, por favor vuelva a indicar su número de tarjeta bancaria para confirmarnos su identidad'", explicó Billois.

Ambos expertos consideran poco probable que se den a conocer los nombres de los portales afectados por este ataque, ya que hay países que no obligan a las empresas a declarar públicamente que les han robado datos personales.

También recalcan el "enfoque comercial" de Hold Security, que dedica la tercera parte de su comunicación sobre lo ocurrido a detallar los servicios que ofrece ante este tipo de ataques informáticos.

Siete consejos
1- Utilice una contraseña larga. La longitud mínima recomendada es de ocho caracteres

2- Emplee combinaciones de letras y números, de mayúsculas y minúsculas, y de signos como el de interrogación. Algunos sitios no lo permiten, pero es posible variar el clásico "contraseña43" por "CoNtRaSeÑa!43".

3- Evite palabras que estén en diccionarios, aun si incluyen números y símbolos. Hay programas que pueden descifrar contraseñas cotejando bases de datos y palabras conocidas. Un truco es agregar números a la mitad de una palabra, como "con123traseñ456a" en lugar de "contraseña123456". Otro truco es pensar en una frase y usar sólo la primera letra de cada palabra.

4- Sustituya caracteres. Por ejemplo, usar el número cero en lugar de la letra O, o remplazar la S con $.

5- Evite usar palabras fáciles de adivinar, aun si no están en el diccionario. No use su nombre, el de su compañía o de su ciudad, por ejemplo. Evite nombres de mascotas y familiares, así como cosas que pueden averiguarse, como el día de su cumpleaños o el código postal. Tampoco use las palabras "password" o "contraseña" como contraseña, o letras que aparecen de manera consecutiva en el teclado, como "1234" o "qwerty".

6- Nunca use la misma contraseña en más de un lugar, aunque hay dos excepciones. Está bien usar contraseñas sencillas y repetirlas en sitios que requieren registrarse para leer noticias, siempre y cuando la contraseña no permita acceso a funciones que involucren tarjetas de crédito.

7- Algunos servicios como Gmail dan la opción de usar dos contraseñas cuando se usa un dispositivo por primera vez. El servicio envía un mensaje de texto con un código de seis dígitos a su teléfono cuando trata de entrar en Gmail desde un dispositivo desconocido. Ello permite entrar y el código expira después. Los ciberpiratas no podrán entrar en la cuenta a menos que tengan su teléfono.