32 millones de contraseñas de Twitter a la venta en la Dark Web

Recientemente se ha conocido que más de 32 millones de contraseñas de cuentas de usuarios de Twitter han sido hackeadas y se encuentran a la venta en el cibermercado negro o Dark Web. Aún se desconoce si realmente se trata de una brecha de seguridad en la red social o si es fruto del descuido de los propios usuarios y de la infección de navegadores como Chrome o Firefox con malware.

En cualquier caso, se recomienda a los usuarios cambiar sus contraseñas para reforzar su seguridad y prestar especial atención a las contraseñas que utilizamos para que los cibercriminales no puedan hacer negocio con nuestros datos.

Es por ello que Alberto Ruiz Rodas, Sales Engineer de Sophos Iberia, nos ofrece los siguientes consejos a tener en cuenta para contar con una contraseña óptima:

1.    No reutilizar contraseñas. En 2007, Dinei Florencio y Cormac Herley en Microsoft Research observaron las costumbres respecto a las contraseñas de medio millón de usuarios en su gran estudio sobre los hábitos de las contraseñas en páginas web. Descubrieron que el usuario medio necesita alrededor de 25 contraseñas distintas, pero que realmente sólo utilizaba unas seis. El usuario medio tiene 6,5 contraseñas, cada una de ellas compartida para 3,9 sitios diferentes. Y obviamente, que cada usuario tenga unas 25 cuentas que requieren contraseñas supone un problema, al beneficiar a cualquier cibercriminal que robe una de sus contraseñas con la clave de acceso a otros tantos sitios, siendo el daño mucho mayor.

En su artículo “Is it *really* such a bad idea to use a password twice”, Paul Ducklin cuenta la historia de cómo a principios de septiembre de 2014, los ciberdelincuentes subieron casi 5 millones de nombres y contraseñas de cuentas de Gmail a un foro ruso sobre Bitcoin. El gigante del alojamiento web WordPress, buscó entre su propia base de datos de usuarios las credenciales robadas y encontraron coincidencias con 700.000 direcciones de correo electrónico y 100.000 coincidencias de combinaciones de correos electrónicos y contraseñas. En otras palabras, por cada cuenta de correo electrónico que los ciberdelincuentes habían comprometido también tenían una probabilidad de 1 entre 14 de comprometer también con éxito una cuenta de WordPress, algo que bien equivaldría al esfuerzo de tan sólo hacer sonar las llaves cerca de la cerradura. Si te roban tu contraseña en una brecha de datos, deberías saber que seguramente los ladrones van a probarla en Facebook, Twitter, WordPress y el resto de sitios web donde creen que también puedes estar utilizándola.

2.    No utilizar contraseñas débiles. En su reciente trabajo de investigación, Eugene Panferov va en busca de una medida sólida de la contraseña canónica y argumenta finalmente que no hay una sola; “No existe tal cosa como ‘las mejores prácticas para la elección de una contraseña’, hay malas prácticas, malas decisiones, y lo único que podemos hacer es evitarlas”. Se trata de una interesante manera de pensar sobre cómo elegimos nuestras contraseñas.

Las guías para la creación de contraseñas fuertes, como “utilizar una larga colección de números aleatorios, letras mayúsculas y minúsculas y caracteres extravagantes”, a menudo se convierten en reglas arbitrarias que hacen que las contraseñas terminen por ser fáciles de suponer, como “¡tu contraseña debe tener entre ocho y doce caracteres y contener al menos un caracter en mayúscula y un número!” Así que, en lugar de pensar en qué hace que una contraseña sea segura, pensemos en cómo evitar errores comunes como: no elegir una de las 10.000 contraseñas más comunes; no utilizar información personal, el nombre de nuestra mascota, nuestro equipo favorito, el nombre de nuestra empresa, nuestro apodo, un miembro de nuestra familia, una frase; evitar palabras de diccionario; y no esperar engañar a nadie usando alteraciones ortográficas, $ust1tut0s o añadiendo números53 al final.

3.     No confiar en los indicadores de fortaleza de contraseñas. Los indicadores de fortaleza de contraseñas se han convertido en un adorno común para sitios web y aplicaciones que te piden elegir una contraseña. Por desgracia, muchos de ellos favorecen el engaño con una redacción vaga, gráficos lujosos y reglas arbitrarias que parecen importantes, pero que en realidad pueden hacer que tu contraseña sea más débil. Hace aproximadamente un año hicimos una selección de contraseñas muy muy malas hechas con cinco de los indicadores de fortaleza más populares. Todos fracasaron y no sólo eso, ellos mismos estaban de acuerdo. Otros han demostrado que envían contraseñas sin cifrar a través de Internet, las almacenan en hojas de cálculo de Google desconocidas y accidentalmente las ceden a terceras partes como a empresas de marketing (caso de la herramienta de prueba de contraseña de la CNBC, por si te lo estabas preguntando).

Hay algunos excelentes indicadores de fortaleza de contraseñas por ahí, como el testado rigurosamente zxcvbn, que es utilizado por Dropbox y WordPress, por lo que hay que reconocer que existen algunos indicadores de fortaleza de contraseñas dignos de confianza. Por desgracia, no puede decirse que todos lo son.

4.    No cambiar tus contraseñas por un patrón o agenda. Nos referimos a la conocida advertencia utilizada para que actualices tus contraseñas cada treinta días o cada pocos meses para limitar daños que una contraseña comprometida pueda ocasionar. Es un consejo que ha sido adoptado por los departamentos de TI y usuarios por igual, pero es un consejo que ha envejecido mal a medida que ha crecido el número de contraseñas que tenemos. En el mundo actual se traduce en “debes crear y recordar unas 25 contraseñas al mes que sean aleatorias completamente nuevas y sin relación entre sí”. Los consejos que son buenos en la teoría nos empujan a tomar atajos al final que hacen que sea más fácil obtener nuestras contraseñas; si nos vemos obligados a cambiar nuestras contraseñas todo el tiempo terminaremos eligiendo las contraseñas más cortas, simples, fáciles de recordar, y las cambiaremos acorde a patrones y algoritmos fáciles de adivinar, y las reutilizaremos sucesivamente.

Los investigadores de la Universidad de Carolina del Norte que observaron esta práctica al detalle, concluyeron que: “… confirmamos conjeturas previas de que la eficacia de caducidad en el cumplimiento de su objetivo previsto es débil. Las organizaciones desde la FTC hasta la GCHQ están desaconsejando la expiración de la contraseña arbitraria porque, como el gurú de las contraseñas,  Per Thorsheim, expuso en su reciente llamada a las armas sobre este tema: “…Hay un montón de opiniones más, la investigación (académica), los resultados de pruebas de penetración, etc.., demuestran exactamente lo mismo: los cambios de contraseña obligatorios deben morir lo antes posible.

Si pudieras crear y recordar un gran conjunto de nuevas contraseñas seguras todos los meses, sería fantástico, pero no se puede obligar a nadie más a que lo haga, porque lo más probable es que no puedan.”

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación: