¿Necesitamos algo más que las contraseñas para proteger nuestra información?
Números, letras, símbolos y nada que tenga que ver con fechas de nacimiento, cédula de identidad o nombres de mamá, papá o la pareja son las recomendaciones que escuchamos constantemente cuando vamos a crear una contraseña, sea en nuestro teléfono móvil, banca online o redes sociales. Pero seguramente en algún momento se ha preguntado: ¿Esto realmente es necesario?, ¿de verdad me está protegiendo?, ¿con esto voy a evitar que me roben información, que realicen alguna transacción bancaria?
Camilo Gutiérrez Amaya, Especialista de Awareness & Research de ESET Latinoamérica, (compañía líder en detección proactiva de amenazas), asegura que la respuesta es afirmativa, pero no es la única medida de seguridad que se debe tener en cuenta para proteger nuestra información. “Las contraseñas son nuestras llaves de acceso a una cantidad de dispositivos y servicios que nos protegen -en parte- de ataques generados por ciberdelincuentes, si las usamos correctamente. De hecho al emplearlas estamos colocando una primera barrera, pero como en todos los actos delictivos, esta barrera puede ser violentada y acceder a lo deseado”.
Esta información Gutiérrez Amaya la dio a conocer en el evento ESET Security Day 2013, celebrado en el mes de junio en un importante hotel capitalino, donde se dieron citas diversos expertos en el área de seguridad de la información. Durante su ponencia explicó que existen cuatro tipos de ataques principales con los cuales pueden ser vulneradas contraseñas: “la fuerza bruta, malware, phishing y ataques a servidores”.
Los ataques de fuerza bruta -también conocidos como ataques de diccionario- buscan aprovechar la simplicidad de las claves secretas al momento de crearlas. Si son contraseñas muy predecibles, o fáciles de adivinar, los ciberdelincuentes las determinan probando combinaciones y, cuando lo han logrado, obtienen toda la información que desean.
“Por ejemplo, contraseñas como el nombre de la persona más 12345 o una secuencia de número 9, 8, 7, 6, 5 son la carnada perfecta para los ciberdelincuentes. Un caso reciente muy famoso fue el de la cuenta oficial de Twitter de Burger King. Aparentemente descubrieron que la contraseña utilizada era ´whopper` (nombre del producto estrella de la cadena) y, al vulnerarla, hicieron publicidad del principal competidor de la marca: Mc Donalds”, asegura.
Los segundos ataques son generados a través de malware o códigos maliciosos, que pueden estar desarrollados para hacer daño, robar información e, incluso, hasta datos bancarios. Hay diferentes códigos maliciosos, uno de ellos son los de tipo Keylogger, que registra todo lo que el usuario va tecleando en su dispositivo, lo almacena en un archivo y es enviado al ciberdelincuente.
Otro ejemplo de un código malicioso que tuvo mucha repercusión en 15 países de Latinoamérica a finales de 2011 y durante el 2012 fue el caso Dorkbot. Es un gusano informático que convierte el dispositivo infectado en parte de una botnet y que una vez que infectaba las computadoras de las víctimas, robaba las contraseñas directamente del sistema y permitía el acceso a la información almacenada en las mismas.
“Dorkbot afectó a más de 80 mil equipos en la región. Su modus operandi era a través de redes sociales o email, donde enviaba links para la descarga de algún video y cuando el usuario hacía click se infectaba la computadora. De esta manera, la información quedaba a disposición del delincuente, incluyendo el nombre de usuario y claves, entre otros”, explica el Especialista en Awareness & Research de ESET Latinoamérica.
La tercera forma de ataque es llamada phishing. Ocurre mediante correos electrónicos que llegan a muchas personas y dicen ser de una entidad conocida de confianza (normalmente bancarias, compañías de telefonía celular o empresas comerciales). A través de ese correo falso le dicen que hay algún problema de seguridad y que haga click en un link que lo llevará a una página supuestamente de la empresa, donde podrá resolver el problema. Cuando se enlaza con el hipervínculo se llega a una página falsa que es controlada por el ciberdelincuente. Es decir, toda la información que registre el usuario en ese momento estará disponible para esa persona.
Gutiérrez explica que independientemente de la seguridad que los usuarios tengan de manera personal, ellos almacenan su información cuando se registran a un servicio, aquí también se pueden generar ataques. “Si las empresas que prestan ese tipo de servicio no cuidan de forma adecuada esa información, corren riesgo de que se vean vulnerable, porque si un ciberdelincuente entra a ese servidor puede bajar la base de datos y obtener los nombres de los usuarios, esto es lo que conocemos como ataques a servidores. Incluso pueden utilizar las GPU (unidades de procesamiento gráfico) de los computadores que tienen una capacidad en paralelo bastante alta para descifrar las claves que estén encriptadas. A través de ellas han logrado descifrar claves de seis caracteres en cinco segundos. Incluso en diciembre de 2012, en Oslo se detectaron contraseñas de ocho caracteres en menos de seis horas”.
El especialista afirma que para poder combatir y evitar ser víctima de cualquiera de estos ataques es necesario tomar medidas más allá de las contraseñas. Se necesitan implementar soluciones de seguridad e incluso dependiendo del servicio utilizar un segundo factor de autenticación; esta puede ser la combinación entre algo que el usuario sabe (como una contraseña) y algo que este posee (como una credencial especial enviada al dispositivo). De esta manera será posible mitigar considerablemente los ataques informáticos.
Recomendación
-Para que una contraseña sea segura debe ser fácil de recordar y difícil de adivinar
-Debe ser larga, como mínimo 10 caracteres
-Debe estar conformada por caracteres alfanuméricos
-Se debe utilizar una clave distinta para cada servicio que se usa
-No compartirlas ni almacenarlas en lugares inseguros
NP