A principios de este mes, el servicio de protección de identidad online NortonLifeLock, propiedad de la empresa tecnológica Gen Digital, con sede en Arizona, envió una advertencia de seguridad a muchos de sus clientes.
La carta de advertencia puede consultarse en Internet, por ejemplo en la web de la Oficina del Fiscal General de Vermont, donde aparece bajo el título NortonLifeLock – Gen Digital Data Breach Notice to Consumers.
La carta empieza con un saludo que suena terrible y que dice:
Te escribimos para notificarte un incidente relacionado con tus datos personales.
Continúa como sigue:
[Nuestros sistemas de detección de intrusos] nos han alertado de que es probable que una parte no autorizada tenga conocimiento del correo electrónico y la contraseña que has estado utilizando con tu cuenta de Norton […] y tu Norton Password Manager. Te recomendamos que cambies tus contraseñas con nosotros y en otros sitios inmediatamente.
En cuanto a los párrafos iniciales, este es bastante sencillo y contiene un consejo sin complicaciones, aunque puede llevar mucho tiempo: es probable que alguien que no eres tú conozca la contraseña de tu cuenta de Norton; es posible que también haya podido echar un vistazo a tu gestor de contraseñas; por favor, cambia todas las contraseñas tan pronto como puedas.
¿Qué pasó?
Después de todo, LastPass, otro nombre muy famoso en la gestión de contraseñas, anunció recientemente no solo que había sufrido una intrusión en su red, sino también que le habían robado datos de clientes, incluidas contraseñas cifradas.
En el caso de LastPass, afortunadamente, las contraseñas robadas no eran de uso directo e inmediato para los atacantes, porque el almacén de contraseñas de cada usuario estaba protegido por una contraseña maestra, que LastPass no almacenaba y, por tanto, no fue robada al mismo tiempo.
Los cibercriminales todavía tienen que descifrar primero esas contraseñas maestras, una tarea que podría llevar semanas, años, décadas o incluso más tiempo, para cada usuario, dependiendo de qué contraseñas hubieran elegido.
Malas elecciones como 123456 e iloveyou probablemente serían descifradas en las primeras horas de crackeo, pero combinaciones menos predecibles como DaDafD$&RaDogS o tVqFHAAPTjTUmOax casi con toda seguridad resistirán durante mucho más tiempo del que tardarías en cambiar las contraseñas de tu bóveda.
Pero si LifeLock acaba de sufrir una brecha, y la empresa advierte que alguien ya conocía las contraseñas de las cuentas de algunos usuarios, y quizá también la contraseña maestra de todas sus demás contraseñas ¿no es mucho peor?
¿Se han descifrado ya esas contraseñas?
Otro tipo de violación
La buena noticia es que este caso parece tratarse de una “brecha” de otro tipo, probablemente causada por la arriesgada práctica de utilizar la misma contraseña para varios servicios en línea diferentes, con el fin de que el inicio de sesión en los sitios que utilizas habitualmente sea un poco más rápido y sencillo.
Inmediatamente después del primer consejo de LifeLock de ir a cambiar tus contraseñas, la empresa sugiere que:
A partir del 1/12/2022, un tercero no autorizado utilizó una lista de nombres de usuario y contraseñas obtenida de otra fuente, como la web oscura, para intentar acceder a las cuentas de los clientes de Norton. Nuestros propios sistemas no se vieron comprometidos. Sin embargo, creemos firmemente que un tercero no autorizado conoce y ha utilizado el nombre de usuario y la contraseña de tu cuenta.
El problema de utilizar la misma contraseña en varias cuentas diferentes es obvio: si una de tus cuentas se ve comprometida, todas tus cuentas están también comprometidas, porque esa contraseña robada actúa como una llave maestra para los demás servicios implicados.
Explicación del relleno de credenciales
De hecho, el proceso de comprobar si una contraseña robada funciona en varias cuentas es tan popular entre los ciberdelincuentes (y es tan fácil de automatizar) que incluso tiene un nombre: relleno de credenciales.
Si un delincuente online adivina, compra en la web oscura, roba o suplanta una contraseña para cualquier cuenta que utilices, incluso algo de tan bajo nivel como tu sitio local de noticias o tu club deportivo, casi inmediatamente probará la misma contraseña en otras webs con tu nombre.
En pocas palabras, los atacantes toman tu nombre de usuario, lo combinan con la contraseña que ya conocen y meten esas credenciales en las páginas de inicio de sesión de tantos servicios populares como se les ocurran.
Hoy en día, a muchos servicios les gusta utilizar tu dirección de correo electrónico como nombre de usuario, lo que hace que este proceso sea aún más predecible.
Por cierto, utilizar una única “base” de contraseña difícil de adivinar y añadir modificaciones para diferentes cuentas tampoco ayuda mucho.
Ahí es donde intentas crear una falsa “complejidad” empezando con un componente común que sea complicado, como Xo3LCZ6DD4+aY, y luego añadiendo modificadores no complicados como -fb para Facebook, -tw para Twitter y -tt para Tik Tok.
Las contraseñas que varían en un solo carácter acabarán con un hash de contraseña revuelto totalmente diferente, de modo que las bases de datos robadas de hashes de contraseñas no te dirán nada sobre lo similares que son las distintas elecciones de contraseña; pero los ataques de credenciales se utilizan cuando los atacantes ya conocen el texto plano de tu contraseña, por lo que es vital evitar convertir cada contraseña en una pista útil para todas las demás.
Las formas más comunes en que las contraseñas sin cifrar caen en manos de delincuentes son:
- Ataques de suplantación de identidad (phishing), en los que tecleas la contraseña correcta en el sitio equivocado, de modo que se envía directamente a los delincuentes en lugar de al servicio en el que realmente pretendías iniciar sesión.
- Keylogger spyware, software malicioso que registra deliberadamente las pulsaciones de teclas que escribes en tu navegador o en otras aplicaciones de tu portátil o teléfono.
- Mala higiene de registro en el servidor, cuando los delincuentes que acceden a un servicio en línea descubren que la empresa ha estado registrando accidentalmente las contraseñas en texto plano en el disco en lugar de mantenerlas solo temporalmente en la memoria.
- El malware RAM scraping, que se ejecuta en servidores comprometidos para vigilar patrones de datos probables que aparecen temporalmente en la memoria, como datos de tarjetas de crédito, números de DNI y contraseñas.
¿No culpas a las víctimas?
Aunque parece que la propia LifeLock no fue vulnerada, en el sentido convencional de que los ciberdelincuentes irrumpieran en las propias redes de la empresa y fisgonearan los datos desde dentro, por así decirlo, hemos visto algunas críticas sobre cómo se gestionó este incidente.
Para ser justos, los proveedores de ciberseguridad no siempre pueden evitar que sus clientes “hagan lo incorrecto” (en los productos de Sophos, por ejemplo, hacemos todo lo posible por advertirte en pantalla, de forma clara, si eliges ajustes de configuración más arriesgados de lo que recomendamos, pero no podemos obligarte a aceptar nuestros consejos).
En particular, un servicio en línea no puede impedir fácilmente que establezcas exactamente la misma contraseña en otros sitios, entre otras cosas porque necesitaría confabularse con esos otros sitios para hacerlo, o realizar sus propias pruebas de relleno de credenciales, violando así la inviolabilidad de tu contraseña.
No obstante, algunos críticos han sugerido que LifeLock podría haber detectado estos ataques masivos de relleno de contraseñas más rápidamente de lo que lo hizo, tal vez detectando el patrón inusual de intentos de inicio de sesión, que presumiblemente incluía muchos que fallaron porque al menos algunos usuarios comprometidos no estaban reutilizando las contraseñas, o porque la base de datos de contraseñas robadas era imprecisa o no estaba actualizada.
Los críticos señalan que transcurrieron 12 días entre el inicio de los intentos de inicio de sesión falsos y la detección de la anomalía por parte de la empresa (del 1/12/2022 al 12/12/2022), y otros 10 días entre el momento en que se detectó el problema y el momento en que se descubrió que el problema se debía casi con toda seguridad a la filtración de datos procedentes de alguna fuente distinta de las propias redes de la empresa.
Otros se han preguntado por qué la empresa esperó hasta el Año Nuevo 2023 (del 12/12/2022 al 9/1/2023) para enviar su notificación de “violación” a los usuarios afectados, si era consciente de los intentos de relleno masivo de contraseñas antes de la Navidad de 2022.
No vamos a intentar adivinar si la empresa podría haber reaccionado con mayor rapidez, pero vale la pena recordar, por si alguna vez te ocurre esto, que determinar todos los hechos destacados después de recibir reclamaciones sobre “una violación” puede ser una tarea titánica.
Por desgracia, y tal vez por ironía, descubrir que has sufrido una violación directa por parte de los llamados adversarios activos suele ser deprimentemente fácil.
Cualquiera que haya visto cientos de ordenadores mostrando simultáneamente una nota de chantaje de un ransomware exigiendo miles o millones de dólares en criptomonedas podrá lamentablemente dar fe de ello.
Pero averiguar lo que los ciberdelincuentes definitivamente no hicieron a tu red, que es esencialmente probar un negativo, suele ser un ejercicio que lleva mucho tiempo, al menos si quieres hacerlo científicamente y con un nivel de precisión suficiente para convencerte a ti mismo, a tus clientes y a los reguladores.
¿Qué hacer?
En cuanto a culpar a las víctimas, es vital señalar que, por lo que sabemos, no hay nada que LifeLock, o cualquier otro servicio en el que se hayan reutilizado contraseñas, pueda hacer ahora, por su cuenta, para solucionar la causa subyacente de este problema.
En otras palabras, si los delincuentes acceden a tus cuentas en los servicios decentemente seguros P, Q y R simplemente porque descubrieron que utilizaste la misma contraseña en el sitio no tan seguro S, esos sitios más seguros no pueden evitar que corras el mismo tipo de riesgo en el futuro.
Por tanto, nuestros consejos son:
- Si tienes la costumbre de reutilizar contraseñas, ¡no vuelvas a hacerlo! Este incidente es solo uno de los muchos que se han producido a lo largo de la historia que ponen de manifiesto los peligros que entraña. Recuerda que esta advertencia sobre el uso de una contraseña diferente para cada cuenta se aplica a todo el mundo, no solo a los clientes de LifeLock.
- No utilices contraseñas relacionadas en sitios diferentes. Una raíz de contraseña compleja combinada con un sufijo fácilmente memorizable y único para cada sitio te proporcionará, literalmente hablando, una contraseña diferente en cada sitio. Sin embargo, este comportamiento deja un patrón obvio que los delincuentes probablemente descubrirán, incluso a partir de una única muestra de contraseña comprometida. Este “truco” sólo te da una falsa sensación de seguridad.
- Si has recibido una notificación de LifeLock, sigue sus consejos. Es posible que algunos usuarios reciban notificaciones debido a inicios de sesión inusuales que, sin embargo, eran legítimos (por ejemplo, mientras estaban de vacaciones), pero léela detenidamente de todos modos.
- Considera la posibilidad de activar la 2FA para todas las cuentas que puedas. La propia LifeLock recomienda 2FA (autenticación de dos factores) para las cuentas Norton, y para cualquier cuenta en la que se admitan inicios de sesión de dos factores. Estamos de acuerdo, porque las contraseñas robadas por sí solas son mucho menos útiles para los atacantes si también tienes 2FA. Hazlo tanto si eres cliente de LifeLock como si no.
Es posible que acabemos en un mundo digital sin contraseñas en absoluto: muchos servicios en línea ya están intentando avanzar en esa dirección, estudiando la posibilidad de cambiar exclusivamente a otras formas de comprobar tu identidad en línea, como utilizar tokens de hardware especiales o tomar medidas biométricas en su lugar.
Pero las contraseñas ya llevan con nosotros más de medio siglo, así que sospechamos que seguirán con nosotros muchos años más, para algunas o muchas, si ya no todas, nuestras cuentas online.
Mientras sigamos atascados con las contraseñas, hagamos un esfuerzo decidido por utilizarlas de forma que ayuden lo menos posible a los ciberdelincuentes.
Dejar un comentario