iProfesional

¿Usás Spotify? Cuidado, miles de cuentas fueron "hackeadas": ¿qué debés hacer para protegerte?

Para acceder a las cuentas expuestas, los cibercriminales utilizaron la técnica de relleno de credenciales, "credential stuffing"
25/11/2020 - 09:37hs
¿Usás Spotify? Cuidado, miles de cuentas fueron "hackeadas": ¿qué debés hacer para protegerte?

Un grupo de delincuentes informáticos reveló en Internet los datos de acceso de 350.000 usuarios de la plataforma de música en streaming Spotify, incluidas sus contraseñas, las cuales fueron almacenadas en un servidor de forma insegura, luego de su robo.

Así lo descubrieron los investigadores de ciberseguridad de vpnMentor Ran Locar y Noam Rotem, según informó el diario digital CNET, quienes advirtieron la existencia de la base de datos desprotegida mientras realizaban una búsqueda de datos inseguros en Internet.

Para acceder a las cuentas expuestas, los cibercriminales no utilizaron ninguna brecha de datos de Spotify, sino que se obtuvieron a través de la técnica de relleno de credenciales, "credential stuffing".

Para ello, utilizaron los nombres de correo y las claves de otras cuentas de servicios de Internet expuestas y probaron hasta hacerse con aquellas que coincidían con las de Spotify porque los usuarios habían repetido las contraseñas.

No obstante, una vez se hicieron con una base de datos de 350.000 cuentas de Spotify, los atacantes la almacenaron en una base de datos insegura en la nube, de forma que cualquier usuario de Internet podía acceder a estos datos de acceso. De hecho, entre la información se descubrieron también direcciones IP que parecen corresponder con las utilizadas por los dispositivos de los propios atacantes.

No se conocía al momento de publicarse esta nota para qué se utilizaron las credenciales de Spotify robadas, pero los investigadores recomendaron a los usuarios que no repitan contraseñas en diferentes servicios o que las cambien en caso de duda, ya que otros criminales más peligrosos podrían haberlos conseguido también.

Por su parte, la plataforma sueca de música en streaming recomienda a sus usuarios que realicen los siguientes ajustes para evitar, como en este caso, que ciberdelincuentes consigan acceder a las cuentas.

  • Cambiar la contraseña con frecuencia.
  • Usar una contraseña larga que contenga una combinación de letras, números y caracteres especiales.
  • Tener una contraseña distinta para cada servicio en línea que uses.
  • Cambiar la contraseña con frecuencia.​
  • ​Eliminar las aplicaciones de terceros que tengan acceso a tu Spotify.​
  • ​Mantener el firmware, sistema operativo y antivirus de tu dispositivo actualizados.

Google te avisará si alguien robó tus contraseñas

Uno de los grandes problemas de Internet son la inseguridad de las contraseñas. La mayoría de usuarios no usan claves seguras y estas acaban desperdigadas por todas partes y en manos de indeseables. De ahí la novedad que van a incluir en la nueva versión de Chrome.

A partir de ahora, Chrome para dispositivos móviles mejorará la seguridad de las contraseñas guardadas con alertas que informarán de que han sido comprometidas y consejos para reforzarlas.

El navegador emplea un formulario encriptado para enviar las contraseñas y los usuarios asociados a ellas a Google, lo que facilita la comprobación de aquellas que han sido comprometidas en un ciberataque a las webs donde se han registrado.

La compañía asegura que con la encriptación que emplean, desarrollada con ayuda de expertos de la Universidad de Stanford, "nunca aprende" el usuario y la contraseña, y también contribuye a que en caso de una haya una brecha de seguridad, los datos "estén seguros de una mayor exposición".

Chrome acompaña estas notificaciones con una herramienta que lleva al usuario "directamente" al formulario con el que pueden cambiar la contraseña, y con la llegada de Safety Check también a Android e iOS.

Safety Check comprueba las contraseñas competidas, pero también informa si está disponible la navegación segura y si la versión de Chrome que emplea el usuario es la última o hay una nueva actualización.

Estas novedades están disponibles en Chrome v86 para Android e iOS, como informa la compañía en su blog oficial. En el caso del sistema de Apple, el navegador también introduce mejoras en el autocompletado de contraseñas, con una comprobación biométrica para evitar la suplantación de identidad.

Esta versión de Chrome introduce en Android y escritorio alertas cuando el usuario vaya a cargar una página HTTPS con contenido no seguro integrado, y bloqueará las descargas de contenidos no seguros procedentes de páginas seguras.

Cambiá esas contraseñas

Existen malas contraseñas, como usar tu DNI, tu código del banco, tu apellido o tu fecha de nacimiento; y luego están las contraseñas malísimas, como 123456 y todas sus variantes con más o menos números.

Las cosas no cambian en 2020, porque el año pasado también era la contraseña más hackeada del mundo, y el anterior, y así hasta el inicio de la Internet masiva. Y claves como "password" o "contraseña" también son tremendamente inseguras y muy populares en Internet, por desgracia.

GitHub son los responsables de este macroestudio que arroja estos resultados y que ha analizado inmensas bases de datos de usuarios que se han filtrado en el pasado y entre cuya información estaba la contraseña.

Así, se puede resumir en que 1 de cada 124 contraseñas hackeadas en el mundo tienen la combinación de números "123456" o una variante de la misma. Ninguna otra se repite tanto.

Pero hay otros muchos puntos a destacar de este examen a miles de millones de contraseñas. Alrededor de 168.919.919 del total de contraseñas eran únicas, esto es, que no se han vuelto a encontrar en otra filtración

Alrededor de 7 millones eran "123456". Un 29% de las contraseñas sólo contaba con letras entre sus caracteres. Lo mismo, pero sólo con números, corresponde a un 13% de las contraseñas. 

Tan sólo un 12% usaba un caracter especial para hacer más fuerte la contraseña. La longitud media de las contraseñas es de 9 caracteres. Sólo un 4% de las contraseñas empieza por un número, mientras que un 34% terminan con una cifra

¿Por qué es tan insegura una contraseña como "123456"? Fundamentalmente, porque se puede obtener por fuerza bruta (probando números al azar con un programa informático) mucho más rápido que otra contraseña que mezcle letras, números, símbolos y tenga un orden aleatorio. Se trata de un problema muy común entre los usuarios argentinos de Internet.

Los hackers utilizan programas específicos para descubrir contraseñas.
Los hackers utilizan programas específicos para descubrir contraseñas.

¿Cómo hacer una contraseña segura?

Aunque ninguna contraseña es 100% invulnerable, lo cierto es que es mucho más difícil que los hackers la consigan si usas una contraseña para cada cuenta registrada en Internet, lo que no es ni mucho menos fácil.

Puedes intentar usar un grupo de contraseñas que vayas a recordar bien por las asociaciones que hagas a ella (tu cuadro favorito, tu comida favorita, tu mascota cuando eras un niño) si cambias letras por símbolos y números. Es mucho más difícil hackear $P4qU170_ que Paquito, por poner un ejemplo.

Las claves de números correlativos son muy sencillos de descubrir.
Las claves de números correlativos son muy sencillos de descubrir.

Los gestores de contraseñas, que los hay gratuitos en Internet y que también vienen incluidos en los móviles Android o de Apple, pueden ayudar a almacenar muchas contraseñas muy distintas para que tus cuentas sean seguras. Ahora bien, ya puedes tener a buen recaudo la contraseña que protega a ese "cofre" de contraseñas. Incluso, hay técnicas para crear contraseñas fuertes en un minuto.

Como ninguna contraseña es imposible de conseguir, lo mejor es que activas la verificación en dos pasos en todos los servicios en línea que uses, desde Amazon a Netflix, pasando por Google, PayPal o Fitbit.