Nadie está a salvo en la guerra de las contraseñas
En los últimos meses, los hackersse han apoderado de las cuentas en Twitter de los presidentes ejecutivos de Facebook Inc., Mark Zuckerberg, de Google, Sundar Pichai, y del propio Twitter Inc., Jack Dorsey.
Tras bambalinas, equipos de seguridad de cada gran empresa de tecnología, y muchas firmas pequeñas, están actuando rápidamente para evitar que otros corran la misma suerte.
Algunos de los ejecutivos aparentemente volvieron a usar contraseñas que habían sido robadas en ataques anteriores a LinkedIn, Myspace y otros sitios; otros han sido víctimas de software que usa las contraseñas viejas para adivinar las nuevas.
Casi 2.000 millones de contraseñas viejas pueden ser vistas por apenas US$2 cada una en una base de datos llamada LeakedSource, dirigida por operadores anónimos. Los investigadores dicen que entre 1% y 8% de los nombres de usuario y contraseñas de LinkedIn funcionarán en otros servicios, lo que les da a los piratas informáticos una forma de apoderarse de otras cuentas. Entretanto, LinkedIn cambió las contraseñas de sus usuarios y corrigió una vulnerabilidad de seguridad que permitió que le robaran datos en 2012. La empresa está en proceso de ser adquirida por Microsoft Corp., en un pacto de US$26.200 millones que se espera que se cierre a finales del año.
Los ataques de los hackers crean un dilema para los operadores de otros populares servicios web. Pueden pedirles a todos sus usuarios que cambien las contraseñas y arriesgarse a perder clientes, o pueden no hacer nada y correr el riesgo de que las cuentas sean hackeadas.
“Si cambian las contraseñas para sus usuarios, la percepción podría ser completamente negativa, sin importar qué tan bien lo expliquen”, dice Alex Holden, fundador y director de seguridad de información de Hold Security LLC, que ayuda a las compañías a identificar credenciales robadas en los sitios de piratería. “Si incluso 0,1% de estos usuarios entra en pánico y decide llamar al servicio al cliente el mismo día, crearía una pesadilla”.
Carbonite Inc., que ofrece servicios de respaldo de archivos en línea, eligió pedirles a sus 1,5 millones de usuarios que cambiaran de contraseña. La empresa también analizó los datos hackeados y les pidió a los clientes cuyas credenciales aparecían en la base de datos que confirmaran sus identidades para acceder a sus cuentas.
Carbonite actuó con decisión debido a las serias consecuencias de las medidas a medias, dice Norman Guadagno, vicepresidente de marketing de la empresa. “Cuando usted tiene una cuenta de Carbonite, o cualquier servicio de respaldo, y tiene el nombre de usuario o la contraseña para esa cuenta, tiene acceso a todo”, explica.
Twitter, Facebook, Yahoo Inc. y otros eligieron otro camino. En vez de obligar a todos los usuarios a cambiar sus contraseñas, analizaron las credenciales robadas e instaron o forzaron a los usuarios afectados a cambiar sus contraseñas. Durante el último año, compañías como Yahoo pusieron en práctica sistemas de analítica de datos y de alerta para los clientes que les permite un procesamiento metódico de grandes volúmenes de información y a la vez proteger a los clientes que reutilizan sus contraseñas pese a ese tipo de advertencias. La semana pasada, el equipo de seguridad de Yahoo respondió a un reporte según el cual 200 millones de nombres de usuarios y sus contraseñas estaban a la venta en foros de piratas infor-máticos. Un portavoz de Yahoo dijo que la compañía estaba al tanto de la exposición y estaba “trabajando para determinar los hechos”.
InfoArmor Inc., una firma especializada en inteligencia de identidades, analizó la semana pasada la base de datos en cuestión y cree que no se trata de una nueva base de datos de contraseñas de Yahoo. “Es una mezcla de basura de terceros”, dijo Andrew Komarov, director de inteligencia de InfoArmor.
Analizar los datos toma tiempo. Yahoo tiene mil millones de usuarios. Su equipo de seguridad comenzó a examinar la base de datos de LinkedIn el 18 de mayo. Algunos de los nombres de las cuentas y las contraseñas estaban cifrados. Los empleados de Yahoo tuvieron que descodificar y buscar si alguno correspondía a sus propios usuarios.
Ocho días después, el 26 de mayo, Yahoo envió una nota a un número no revelado de usuarios afectados, indicándoles que cambiaran sus contraseñas.
“Hay una cantidad enorme de actividad frenética ocurriendo en los negocios orientados al consumidor para mantener seguros a nuestros usuarios”, dijo en junio Alex Stamos, director de seguridad de Facebook, a una comisión de ciberseguridad de la Casa Blanca en una audiencia en Berkeley, California.
Uno de los problemas de este enfoque es que los usuarios podrían ignorar los mensajes en los que se les indica que cambien sus contraseñas. Werner Vogels, director de tecnología de Amazon.com, perdió el control de su cuenta de Bitly Inc., el sitio usado para acortar enlaces de direcciones web, después de ignorar un mensaje para cambiar su contraseña, confirmó él mismo en un mensaje en Twitter.
La cuenta de Twitter de Brendan Iribe, presidente ejecutivo de Oculus, la unidad de realidad virtual de Facebook, fue un blan-co fácil porque volvió a usar una vieja contraseña de Myspace, indicó “Lid”, el hacker que asegura haber tomado control de la cuenta del ejecutivo por unas cuantas horas el mes pasado. Lid envió varios mensajes no autorizados, incluyendo uno en el que se autoproclamaba como el nuevo presidente ejecutivo de Oculus. Lid se abstuvo de revelar su nombre verdadero. Oculus confirmó la secuencia de los hechos.
Las grandes bases de datos de nombres y contraseñas de usuario aparecen periódicamente a disposición del mejor postor en sitios web del mercado negro. Sin embargo, en los últimos meses, “el abuso de datos parece estar incrementándose”, dijo en junio en una entrevista Bob Lord, director de seguridad de información de Yahoo.
Los usuarios de Twitter prominentes usualmente recuperan el control de sus cuentas en cuestión de horas, causando poco daño más allá de unas cuantas vergüenzas. Sin embargo, los profesionales de seguridad dicen que volver a usar contraseñas puede exponer a las redes corporativas o al creciente número de servicios empresariales en línea.
Las compañías les dicen a los empleados que no repitan sus contraseñas corporativas en servicios como LinkedIn, pero es imposible constatar si esto sucede. Eso es algo preocupante, dice Cormac Herley, investigador con Microsoft. “Podría pasar que algún tercero tenga una brecha de seguridad y esencialmente yo quedo vulnerable si mis empleados han repetido sus contraseñas”, señala.