CNNE 736b88c2 - 131108154054-hacking-640x360

Por Chester Wisniewski

Nota del editor: Chester Wisniewski es un asesor senior de seguridad en Sophos Inc., Canadá. Investiga temas sobre privacidad y seguridad en computadoras y es un colaborador frecuente en el blog Naked Security. Las opiniones expresadas en este comentario son exclusivamente las del autor.

(CNN) – 1.200 millones de nombres de usuario y contraseñas fueron robadas. ¿Se trata de algo verdaderamente atemorizante o es simple alarmismo?

Esta semana, el New York Times publicó un artículo que ha conmocionado al público. El artículo dice que un grupo de criminales rusos, llamado CyberVor, ha acumulado esta increíble cantidad de credenciales de hasta 420.000 sitios web distintos.

Mi respuesta inmediata fue: bueno, ¿y entonces?

En el contexto de la historia parecería que este grupo criminal ahora tiene conocimiento de innumerables contraseñas, y que deberíamos entrar en pánico y cambiar todas nuestras claves.

Pero espera un minuto. Hold Security, la compañía que descubrió el robo, podría tener un interés comercial en esta reacción. Hold Security ofrece informarle a las compañías si sus nombres de usuario y contraseñas se vieron comprometidas por la magnífica suma de 120 dólares. Podría decirse que Hold Security estaba en la posición de generar más dinero de esta historia que los mismos piratas informáticos rusos.

En lugar de entrar en caos y confusión, concentrémonos en lo que esto significa en realidad y en cómo debemos reaccionar.

Si bien 1.200 millones es una cifra alta, parece que muchas de estas credenciales podrían haber sido obtenidas de brechas previas a gran escala, como las de Adobe, Sony, LinkedIn, RockYou.com y eBay. Solo el total de estos sitios asciende a más o menos 500 millones.

También podemos asumir que muchos de los 420.000 sitios web que fueron objeto de robos por parte de piratas informáticos, eran blogs informales, foros y otros lugares donde las personas a menudo consideran utilizar una contraseña “desechable”. El concepto es que cosas como tu correo electrónico, las redes sociales y tu banco requieren contraseñas seguras y únicas. Pero todas las otras cosas triviales en nuestras vidas funcionan con una contraseña simple y menos segura.

Los criminales no tienen las contraseñas en la mayoría de los casos. Ellos tienen representaciones criptográficas de las contraseñas conocidas como “funciones hash”. Estas funciones vienen en muchas variedades, con distintos grados de seguridad asociados a las mismas. El propósito de la función hash es hacer que el atacante no pueda adquirir tu contraseña tan rápido si hay un robo de una base de datos.

La utilización de esta función es más efectiva si sigues buenas prácticas de seguridad, como no usar palabras del diccionario y asegurarte de incluir números y símbolos en tu contraseña. Las personas en general no eligen bien sus contraseñas. Eso significa que los hashes a menudo son solo un reductor de velocidad para un atacante decidido.

Pero la función hash saca a luz la verdad del asunto. Los criminales no necesariamente tienen tu contraseña siquiera. Tienen un hash que podría llevarlos a descubrir tu contraseña, especialmente si es un pésima elección como password123 o qwrtyasdfg.

Muchos de estas funciones hash robadas pudieron haber sido obtenidas hace algún tiempo, lo que significa que ahora, les son menos útiles a los ladrones. Por supuesto, no sabemos la verdad y no podemos analizar lo que se conoce porque Hold Security está tratando de determinar cómo monetizar el conocimiento, con lo que han dejado incluso a los expertos en la incertidumbre respecto a cuán serio es verdaderamente este descubrimiento.

¿Mi consejo?   Mantén la calma y sigue adelante. Siempre es una buena práctica usar contraseñas fuertes y contraseñas diferentes en los distintos sitos que utilizamos, y cambiarlas si tenemos razones para creer que podrían haber sido comprometidas.

Hay muchas herramientas disponibles para ayudar a automatizar esta tarea, lo que hace que darle seguimiento a tus nuevas y mejores contraseñas sea solo un inconveniente menor. Muchas están disponibles sin ningún costo. Y si algo hemos aprendido durante nuestros primeros 20 años navegando en la red, es que necesitamos que nos den una mano con nuestras contraseñas.

Las conclusiones de Hold Security son interesantes. Si la comunidad de investigación obtiene acceso a la información, todos nos involucraríamos rápidamente para saber cómo ocurrió, qué significa para la seguridad en Internet de aquí en adelante y posiblemente incluso quién está detrás de los ataques.

Pero, ¿para el resto del mundo? Es un negocio como de costumbre. Piensa ante de cada clic, haz lo posible por seguir las mejores prácticas respecto a tu privacidad y seguridad y disfruta de tu experiencia en línea. No es tan terrible como parece.