Leer esto te dará ganas de cambiar tus contraseñas.

Puede que el título del artículo de hoy parezca algo muy clickbait (haz click aquí, dame tus clicks!). No negare que parte de la intención de este artículo es el de llamar tu atención sobre algo sobre lo cual quizás no hayas pensado.

Para comprender este artículo correctamente, primero debemos hablar un poco sobre cómo se guardan las contraseñas en las diferentes páginas web. Un pequeño avance -  no te va a gustar la historia.​

Si entiendes un poco de cifrado simétrico y asimétrico, puedes saltarte esta parte de la historia.

Desde tiempos de la antigua grecia, la humanidad se ha esforzado por cifrar los mensajes de tal manera que sus enemigos no pudiesen entender los mensajes que se enviaban. Por ejemplo, con este artilugio que os muestro más abajo, se generaba una cinta de letras que, si era interceptado por el enemigo, no lograría descifrar a menos que utilizase una escítala como la que se muestra más abajo.

Este tipo de cifrado primitivo se conoce hoy en día como  el precursor de un cifrado simétrico. Es decir, un cifrado al que le aplicas un proceso a un texto y sale otro texto, y si le aplicas el mismo proceso pero inverso de cifrado a ese texto, sale el texto original. (La escítala hace de guía, o clave).

Por ejemplo, el conocido como cifrado CESAR, consiste en sumar un número N de letras a cada letra de un mensaje. Así que , con un número N = 2 a la palabra "Hola" se cifraría como jqnc. Si ahora a cada letra de esa cadena de texto "JQNC" le restas dos posiciones a cada letra original, entonces el texto que te queda es el original. Esta es la base de un cifrado asimétrico.  A través de la clave puedes averiguar de forma instantanea (o casi instantanea) el mensaje original.

El cifrado asimétrico funciona de una manera un tanto dificil. El cifrado asimétrico parte de un fundamento diferente, y es que el texto cifrado no se puede descifrar con la clave original.

Pongamos un ejemplo - el de manual - y simplificaremos un poco la explicación para entender el concepto. Si escogemos dos números primos entre el 1 y el 100, es fácil saber que resultado da multiplicar uno por el otro. Por ejemplo, 61 x 67 = 4097. Basta una única operación (multiplicar) para saber el resultado. No obstante, si tenemos el número 4097 y tuviesemos que averiguar que dos números primos hemos utilizado para obtener 4097, la respuesta es algo más complicada.

Tengamos en cuenta que en lugar de hasta 100, las claves de los algoritmos de cifrado de hoy en día utilizan números hasta 2 elevado a 2048 - 1. Para que os hagais una idea de lo grandes que son estos números, son necesarios 617 dígitos para poder representar este tipo de números con precisión.

Pese a que hay muchas formas de romper la seguridad de una contraseña (robándola por ejemplo), hoy solo nos centraremos en las contraseñas almacenadas para explicar las brechas de seguridad en los diferentes servicios web que existen hoy en día.Hay tres maneras de guardar una contraseña en una base de datos de un sitio web o servicio.

La primera, la -más irresponsable de todas -  y por desgracia bastante común es guardarla directamente sin cifrar, en texto plano de tal manera que cualquier persona que pueda leer o acceder la base de datos directamente accedería a estos datos y podría leer tus contraseñas

La segunda, sería la de guardarla cifrada mediante una clave de seguridad ( o cifrado simétrico) . Este proceso da un extra de seguridad, ya que la contraseña original no se guarda per se, sino que se guarda una copia de la contraseña cifrada y algo parecido a la clave con la que se cifró. Con estos datos, el sistema es capaz de cifrar y descifrar la clave y comprobar así que el usuario es quien dice ser cuando hace login.

La tercera que os cuento ahora,  es la más común y hasta cierto punto la más segura (y estoy abreviando mucho), es la de guardar la contraseña mediante un cifrado asimétrico. Una forma de hacer esto es mediante una función Hash. Os dejo el enlace a la wikipedia pero para explicarlo en resumidas cuentas, basicamente consiste en guardar la contraseña cifrada en la base de datos de tal manera que aunque le apliques la clave a esa contraseña cifrada, nunca des con la contraseña original.

Esta forma de cifrar tiene sus ventajas y sus inconvenientes. Lo principal es que a partir de la contraseña guardada, no se puede llegar a obtener la contraseña original.  Es uno de sus puntos fuertes. En vez de comprobar la contraseña que estás tecleando, compruebo que su función hash da el mismo valor que el que tengo guardado en la base de datos. Esta es la razón por la que , por ejemplo, cuando pierdes la contraseña, te piden que la reestablezcas en vez de decirte cual era. No lo hacen porque sea más o menos seguro (que también) sino porque  muy a menudo es imposible descubrirla).

El otro punto débil es que existen lo que se llaman colisiones. Es decir, que por ejemplo la contraseña "password" cifrada con una función hash muy común, es 5f4dcc3b5aa765d61d8327deb882cf99. A partir de ese número, es imposible obtener la contraseña guardada original. hoy por hoy haría falta un periodo de tiempo similar a la edad del universo para tratar de descifrar y acceder a la contraseña original.

Hace  tiempo, Google sacó un servicio para administrar contraseñas a través de Google chrome. Uno de los puntos fuertes que tiene este servicio es que te guarda todas las contraseñas de tu ordenador y te las "auto pone" si se lo pides a medida que haces login. A menos que hayas vivido debajo de una piedra, y esta sea la primera página web que veas en internet en tu vida (en cual caso, ¡es un honor!) habrás visto esta funcionalidad en algún momento de tu vida. La tiene no solamente google chrome sino todos los navegadores existentes.

Uno de los servicios complementarios que saca google a través de su sistema es el de revisar las contraseñas de estos sitios web que son seguras. 

Este es un buen sistema. A veces nos registramos en un sitio web e introducimos nuestra contraseña, y muy comunmente esta contraseña que hemos introducido se queda almacenada ahí y se guarda por los siglos de los siglos. Si esta web en la que hemos introducido nuestros datos es asaltada por hackers y logran acceder a las contraseñas, estos datos quedan expuestos a los deseos y necesidades de estos Hackers.

Si encima, tenemos la misma costumbre que el 90% de los humanos que utilizamos la misma contraseña para prácticamente todo, y utilizamos uno o dos correos electrónicos. El resultado es que una persona malintencionada que se fije en nuestros datos podría acceder a nuestras cuentas personales utilizando la información filtrada.  ¿Cuanta gente utiliza la misma contraseña para acceder a su correo electrónico que a un sitio web de cualquiera de sus hobbies o necesidades?

Algo que me gustó mucho de este sistema es que Google te avisa de si se tiene conocimiento de alguna violación de la seguridad en el almacenamiento de credenciales de este tipo de sitios web.

Por ejemplo, muchas páginas web utilizan wordpress. Para google, es sencillo descubrir que versiones de wordpress utiliza cada página web. Si en algún momento se detecta una vulnerabilidad de wordpress severa que podría implicar que tu contraseña sea filtrada, google te avisará si te has registrado en algún momento en esa web para que cambies la contraseña.

No solamente eso, si se detecta o se hace pública alguna vulnerabilidad de algún sitio web, entonces Google también te avisa. 

El tema es que el otro día me paré a buscar y - teniendo en cuenta que yo suelo ir con cuidado con estas cosas - me percaté de que muchos de estos sitios webs que yo habría considerado "seguros" habían tenido algún tipo de vulnerabilidad.

Arriba es un listado de las que ya tengo arregladas. Pero da que pensar. Por ejemplo, lemongrass.es es una cadena de comida tailandesa para llevar. En algún momento de mi vida hace años, debí registrarme en su sitio web para realizar un pedido. En dicho sitio web se generó una contraseña y se almacenó información de mi persona, mi correo electrónico, teléfono etc.

Esta información estaba guardada y almacenada en sus servidores durante años hasta que en algún punto sufrió un ataque (público) y esa información quedó expuesta. Ahora, una persona podría acceder a mi cuenta de lemongrass.es.

Pero no solo es eso, si en algún momento, esta contraseña coincide con mis credenciales de acceso y mi correo electrónico de cualquier otro servicio web, la habremos liado, ya que el asaltante podrá también acceder a ese sitio web.  Quiero dejar claro que cuando existe una brecha de seguridad  así, para el atacante le resulta bastante trivial saber si has utilizado la misma contraseña y el mismo correo en múltiples servicios. Y le es trivial saberlo no solamente para ti, sino para cualquier contraseña / credencial que haya quedado expuesta.

Nunca se sabe como los sitios web almacenan las contraseñas ni se conoce su infraestructura de seguridad. Por lo general todas son seguras, pero todo sistema supuestamente seguro es seguro solamente hasta que se demuestra lo contrario. Hubiesemos pensado que una empresa como Google estaría a la cabeza en ciber seguridad, pero en 2014 se filtró una lista de más de 5 millones de sus usuarios con las contraseñas que eran guardadas en texto plano.  Si a Google le ha pasado esto, imagínate a las empresas Españolas más pequeñas.

Utilizamos internet diariamente y que roben tus credenciales de acceso a un sitio es más sencillo de lo que te imaginas.

Primero que nada, recomendaría que tengas diferentes contraseñas. Tu contraseña para acceder a tu banco ( de cada banco ) debería de ser única.   Si eres incapaz de aprendertela de memoria, apúntala y guardala en un lugar seguro. (Apuntar la contraseña tampoco es lo más seguro, pero si no queda otra porque eres mal@ memorizando, que remedio....) (Aún así, es mucho más seguro que utilizar la misma contraseña en todos los sitios web). Lo mismo va con la contraseña de tu principal proveedor de correo electrónico.

Otra gran idea es utilizar un gestor de contraseñas. Google chrome ya ofrece este servicio y lo recomiendo encarecidamente.  Te genera contraseñas automáticas que después guarda en tu navegador. Si pierdes la contraseña, sencillamente la restableces y punto.

Lo genial de esto es que si te logueas en un servicio que no volverás a utilizar (o que utilizarás poco frecuentemente) y que no te confiere enorme confianza, tu gestor de contraseñas pondrá una contraseña aleatoria y siempre introducirá la misma contraseña cada vez.

Esto, quiere decir, que cualquiera con tu teléfono móvil u ordenador sería capaz de hacer login en estos sitios webs. Parece un problema si te roban el móvil, pero está 100% comprobado que esto es más seguro que tener la misma contraseña repetida en mil millones de sitios web.

Por último, siempre está bien cambiar la contraseña de vez en cuando, sobretodo para los servicios que más utilizamos. Es un esfuerzo mayor pero si utilizar un gestor de contraseñas no te convence (porque te da pereza)  esta es la forma más segura de evitar que te roben tus datos (o accedan a tus bancos online o correos electrónicos). 

La última, y mejor , es la de siempre utilizar sistemas de autenticación en dos pasos para los sitios web más importantes o que vayan a contener la información más sensible y confidencial. De esta manera, si antes de realizar una transferencia de dinero al extranjero, el sistema te pide un código de confirmación enviado a tu móvil, se convierte en más seguro e improbable que tu dinero acabe en alguna cuenta en un paraíso fiscal a nombre de Corea del Norte.

Así que, si quieres evitarte sustos, sigue estos pequeños consejos. 

1. Utiliza un gestor de contraseñas.
2. Utiliza contraseñas diferentes (y largas) para tus servicios más importantes.
3. Utiliza sistemas de autenticación en dos pasos.

En Hamro contamos con expertos en ciberseguridad que pueden ayudarte a ti y a tu organización a mantenerse seguros de este tipo de ciber ataques. Si te gustaría implementar medidas de ciberseguridad dentro de tu empresa, no dudes en contactar con nosotros a través de nuestro chat, formulario de mensajes o redes sociales.