Los expertos en Linux son malos escogiendo contraseñas

Actualidadcontraseñasfiltracion

¿Recuerdas la filtración de Gentoo de la semana pasada?

Alguien se coló en el repositorio de la distro de Linux de Github, tomando control por completo y expulsando a todos los desarrolladores de Gentoo, infectando el código con comandos maliciosos, añadiendo mensajes racistas y haciendo pasar una semana infernal al mundo de Gentoo.

Afortunadamente, el repositorio de Gentoo en GitHub no es la fuente principal para el código de Gentoo, ya que solo hay unos pocos usuarios que lo usen para actualizaciones.

Otra buena noticia es que las cuentas robadas de GitHub ya vuelven a estar bajo el control de Gentoo, los ficheros hackeados han sido identificados y borrados.  Gentoo ha aprendido y ha enseñado al resto del mundo, tres lecciones importantes.

1. Una notificación a tiempo vale mucho

Al principio, Gentoo solo sabía que algo mala había ocurrido (había sido expulsado de su propia cuenta), pero no sabía ni cómo ni el porqué.

Aun así , la organización no trato de esconder lo ocurrido, ni perdió el tiempo preparando una estrategia que minimizara el impacto y público un informe inicial.

El resultado fue que el problema se dio a conocer y toda la comunidad empezó  a ayudar.

Muchas empresas deberían aprender de esto, disfrazar las malas noticias normalmente confunde al resto y hace  presagiar lo peor.

2. Escoger una contraseña robusta

En el resumen final del incidente Gentoo dice:

El atacante consiguió acceder a la contraseña de un administrador de la organización. Las pruebas sugieren que un esquema de contraseñas fue revelado en otra web simplificando el acierto de las contraseñas de otras webs.

En otras palabras, el usuario cuya contraseña fue usada, había caído en la trampa de usar contraseñas diferentes pero de todas las maneras relacionadas en múltiples webs.

Es muy sencillo escoger una contraseña (por ejemplo c0ntr@seña) y después añadirle un texto fácilmente recordable, por ejemplo:

c0ntr@seña-FB

c0ntr@seña-TW

c0ntr@seña-G+

c0ntr@seña-Y!

Técnicamente, no estás utilizando la misma contraseña para todas las webs. Pero si nos ponemos a conjeturar, seguramente intuiremos que ese FB de la contraseña es para Facebook o Y! Yahoo, los otros tampoco son difíciles de intuir.

Crear una contraseña de esta manera no es una buena idea tal y como el administrador de Gentoo nos acaba de mostrar.

3. 2FA es tu amigo

Aparentemente, Gentoo no insistía en la autenticación de doble factor (2FA) antes del hackeo. Ahora sí.

2FA, normalmente supone, que además de introducir tu nombre de usuario y contraseña, tendrás que escribir un código único para cada sesión. Este normalmente lo obtendrás vía una app en tu teléfono o SMS.

2FA no es perfecto pero complica mucho las cosas a los malos porque no pueden simplemente robar o acertar tu contraseña, normalmente también necesitarán tu teléfono.

¿Qué hacer?

El origen del problema de Gentoo no tenía nada que ver con ataques de malware, phishing, ingeniería social, exploits, días cero o cualquier otro truco técnico.

Este es un ejemplo de la importancia de los fundamentos en ciberseguridad y como una pequeño paso más a la hora de loguearse, puede complicar enormemente el trabajo a los ciberdelincuentes.

Si te piden que sacrifiques un poco de tiempo para mejorar enormemente la seguridad de tu empresa, hazlo por el equipo.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.