Hackeo de contraseñas a 6,5 M de usuarios de LinkedIn revela talón de Aquiles de Internet
:quality(75):max_bytes(102400)/https://assets.iprofesional.com/assets/jpg/2012/06/361487.jpg)
El escándalo desatado este miércoles por el robo de datos de cuentas en la red social de profesionales LinkedIn pone de nuevo sobre el tapete la cuestión de las contraseñas de los usuarios, que están en peligro no sólo por la acción de los delincuentes informáticos, sino también por las empresas que brindan servicios de redes sociales, correo electrónico y aplicaciones basadas en la web. Incluso, por las malas prácticas de las propias personas.
LinkedIn investiga la posible filtración a Internet de alrededor de 6,5 millones y medio de contraseñas de sus usuarios.
Los delincuentes responsables de la acción publicaron en un foro de una web rusa un archivo que contiene esas contraseñas encriptadas.
Desde ese sitio, invitan a la comunidad delictiva informática a ayudar a su descifrado.
LinkedIn, que tiene más de 150 millones de usuarios, no realizó una declaración formal, si bien desde su cuenta de Twitter reconoció: “Nuestro equipo está estudiando los informes”.
Graham Cluley, encargado de investigar en esta red social cuestiones relacionadas con la seguridad, admitió que la violación es genuina.
“Hemos confirmado que hay contraseñas de LinkedIn en los datos alojados. También hemos visto que cientos de ellas contienen la palabra ´LinkedIn’”, reveló.
“Aunque los datos publicados no incluyen direcciones de correo electrónico, es razonable sospechar que dicha información puede estar ahora en manos de criminales”, indicó Cluley.
“Nuestro consejo es cambiar la contraseña”, admitió el ejecutivo. “Y si se utiliza la misma clave en otras cuentas, sugiero cambiarla allí también”, advirtió.
La empresa finlandesa Cert-Fi y el experto en seguridad informática Per Thorsheim confirmaron el dato.
Cluley dijo a la cadena de TV británica BBC que la filtración es “genuina”, por lo que es razonable asumir que los datos personales de los usuarios (como las direcciones de correo electrónico) estarían en manos “criminales”.
La noticia surgió después de que la compañía se viera obligada a actualizar su aplicación para móviles debido a la denuncia de Skycure Security de un fallo en la privacidad por el cual se enviaban sin encriptar las entradas del calendario, que usualmente puede contener información confidencial sobre las reuniones y claves de las conferencias telefónicas.
Tú también, Twitter
Hace un mes, Twitter antecedió, aunque en menor volumen y proporción, a la crisis de seguridad de LinkedIn. Un grupo de delincuentes accedió y publicó los nombres de usuario y contraseñas de más de 55 mil cuentas de la red social de microblogging. La mayoría de personas famosas. De estas cuentas, 20 mil son repetidas.
Este listado fue publicado en cinco páginas de la web de intercambio de ficheros Pastebin, usada habitualmente por otras redes, como Anonymous.
La empresa informó el problema en un comunicado que pareció, casi un mes después, copiado por LinkedIn: “Estamos analizando la situación y hemos enviado nuevas claves de acceso a las cuentas que podrían haberse visto afectadas”.
La red de microblogs cuenta con 140 millones de usuarios activos, según datos de marzo, y es uno de los 10 sitios más visitados de Internet.
“Nunca debes escribir tu contraseña en una web que no sea de Twitter, o en una aplicación en la que no confíes. Siempre puedes asegurarte de que estás en Twitter fijándote en la dirección escrita en la barra de URL de tu navegador, para asegurarte de que el dominio es Twitter.com”, recomendó en esa ocasión la compañía.
Puertas para abusos en Facebook
El problema se agrava con la siguiente vuelta de tuerca: en los últimos años las redes sociales cambiaron la forma de ver e interactuar con el mundo. Incluso la forma de entrevistar y contratar a una persona por parte de una empresa.
En 2009, el gobierno de una ciudad del estado de Montana, en los Estados Unidos, se encontraba ante el peor escándalo público que surgió cuando en los medios de comunicación se dio a conocer la noticia de que los miembros del gabinete solicitaban como requisito brindar acceso a las redes sociales de toda aquella persona que aplicaba a ocupar cualquier cargo en la administración.
Pero pasaron tres años, cada vez más empleadores siguen ese ejemplo, y la demanda de las contraseñas de los usuarios de las comunidades virtuales se está convirtiendo cada vez más en una práctica de contratación aceptada, lo que abre la puerta a posibles abusos, según se puede leer más abajo en esta nota.
En el mismo sentido, existe otra tendencia que se ha dado a conocer como la "navegación por encima del hombro", la cual consiste en pedirle a un potencial empleado que inicie su sesión de Facebook, mientras es observado cuando navega y hace clic en fotos o videos y realiza actualizaciones de su estado, en búsqueda de cualquier material comprometedor o potencialmente escandaloso.
La red social atendió a este fenómeno en una nota que subraya que, además de una serie de violaciones a la privacidad, los empleadores están en riesgo de una mayor responsabilidad legal por conocer la información personal del candidato (como lo es la edad de un usuario, su herencia, afinidades políticas, religiosas o alguna discapacidad), que podría involucrarlos, en algún momento, en una demanda por discriminación si el individuo no obtuviera el trabajo.
En este sentido, Facebook mantiene que la solicitud de una contraseña a empleados o postulantes a un empleo resulta en una violación flagrante de los términos establecidos por la red social y sus condiciones.
Pero además de las numerosas ramificaciones legales, el personal también se está sometiendo a problemas de seguridad mediante la entrega de las llaves de acceso a su espacio de Facebook.
En primer lugar, las reglas de resguardo dictan que si algún usuario no autorizado conoció una contraseña de cuenta, el titular está obligado a cambiar de inmediato todas sus credenciales de inicio de sesión.
Así que entonces, ¿por qué no hacer esa modificación cuando ha compartido los datos de ingreso a Facebook con un gerente de recursos humanos que no conoce y al que, probablemente, no le tiene plena confianza?
Cuando los usuarios pierden sus contraseñas, desconocen de qué forma serán utilizadas, o quién va a acceder a su cuenta posteriormente.
¿Quién puede decir si la persona de recursos humanos de la organización o el personal directivo se pondrán a husmear en su perfil de Facebook sólo por el gusto de hacerlo, incluso después de haber aceptado o rechazado el trabajo? ¿O es posible que alguien pueda publicar algo humillante o inadecuado en su muro? Después de todo, ellos disponen de las claves de inicio de sesión.
“Incluso si uno no acepta el trabajo, les ha dado la contraseña. Pueden, incluso, realmente cambiarla sin su conocimiento o eliminar su cuenta”, comentó Axelle Aprville, analista e investigador sénior de antivirus de Fortinet.
“Además, muchos usuarios tienen el mismo password para múltiples cuentas sensibles, como la bancaria”, explica Rob Ayoub, “evangelista” de seguridad de esa compañía de seguridad informática.
“Una vez que una persona proporciona su clave a recursos humanos, también brinda acceso a muchos más datos sensibles. Claro, la respuesta es fácil: se debe cambiar la contraseña. Pero ese individuo, ¿sabe esto o piensa en ello?”.
Casi todas las cuentas de Facebook contienen una gran cantidad de información de identificación personal -edad, fecha de nacimiento, dirección, números de teléfono y los lugares que se frecuentan–, que puede potencialmente ser utilizada en el robo de identidad.
Entregar una contraseña es como si entregara las llaves de su casa a su jefe o decirle: “no dude en consultar libremente mis estados de cuenta de la tarjeta de crédito y asegúrese de abrir todos mis diarios”.
Y aunque la mayoría de los gerentes y el personal de recursos humanos sean honestos, no hay forma de determinar si la seguridad de la computadora que alberga la base de datos de credenciales de Facebook es robusta.
Si el equipo o cualquier otra aplicación en la máquina contienen una vulnerabilidad de seguridad, la información almacenada se encuentra en riesgo de caer en manos de hackers si el aparato llega a ser infectado con un botnet, o algún troyano que robe información o un “keylogger”.
Con el fácil acceso a un botón de registros de “login” de Facebook, un botnet podría poner en peligro el perfil de un usuario mediante un enlace infectado, y con ello a todos los contactos de la víctima.
Cuidados
Ante las noticias de estos problemas, surge naturalmente la pregunta sobre cuál es la contraseña más segura. Existen programas para generar “passwords” como KeePass, que establecen parámetros para establecer la complejidad de la clave, además de su extensión.
Por ejemplo, en una columna se hace referencia a los caracteres comunes: mayúsculas, minúsculas, números, el signo menos y el guión bajo.
En otra columna entran en juego otro tipo de caracteres, rechazados por los sistemas de seguridad. Por ejemplo, el espacio, los símbolos especiales y signos de apertura y cierre (paréntesis, corchetes, entre otros).
A principios de 2011, Google elevó la extensión mínima de la contraseña para sus cuentas de seis a ocho caracteres.
También implementó un sistema de “verificación de dos pasos”, a través del cual, además de nombre de usuario y clave, se deberá ingresar un código que será enviado al celular.
Asimismo existen contraseñas específicas para aplicaciones externas, de manera tal que si, por ejemplo, se quiere entrar a Gmail a través del iPhone, se realice con un término puntual para esa función, y no con la contraseña principal. Soporta un máximo de cien caracteres en su “password”.
Otras técnicas básicas son no repetir la misma clave en diferentes servicios, y utilizar sistemas nemotécnicos, como las primeras letras de las palabras de canciones preferidas, combinadas con mayúsculas y minúsculas, números y, si se puede, símbolos.