Asume la brecha cómo proteger mis cuentas online y Por que

Asume la brecha: ¿cómo proteger mis cuentas online? ¿Por qué?

Un momento, ¿acaso te estoy diciendo que has sido hackeado? No, nada más lejos de la realidad. Pero sí te aconsejo pensar que podrías haberlo sido, o quizá serlo algún día por una acumulación de circunstancias. En esta serie de dos artículos encontrarás algunos consejos para evitar serlo y algunas herramientas para saber si te han hackeado tus cuentas de correo, servicios online, juegos, etc.

En la segunda entrega hablo acerca de servicios web que nos informan acerca de posibles filtraciones en nuestras cuentas

Admitamos que no es tan extraño que estas cosas ocurran. Hemos llegado a un punto en la era Internet donde ya no hay datos que podamos asumir como realmente “seguros”, por lo que debemos fijarnos en indicadores de cómo y por qué las webs y servicios online deberían asumirse como inseguros por naturaleza, implementando medidas para prevenir y detectar estos casos desde nuestro lado de la valla.

Si estás un poco al día de las noticias, habrás oído acerca de casos como Ashley Madison, Snapchat, YouPorn y otros como Yahoo, con más de 500 millones de cuentas filtradas.

Te podría pasar a tí

Cada día se suceden los casos en que la seguridad informática aplicada es insuficiente para mantener a buen recaudo nuestros datos personales.

Ya sea por negligencia, mala suerte, hackers de sombrero negro…los foros underground se llenan de bases de datos, que muchos individuos se afanan por comprar o intercambiar para conseguir dinero, realizar extorsiones o infecciones futuras o simplemente preparar perfiles sobre usuarios que puedan usar en su favor.

Puede parecer complicado, tedioso y largo, pero este proceso ocurre y, cuando alguien tiene información sobre 5000000 cuentas, servida por varias colecciones de bases de datos de centenares de servidores diferentes, pueden identificar a los usuarios fácilmente.

Programas como Grep permiten a un atacante introducir una cadena a buscar, y esta aparecerá en cada cuenta relacionada en un escaso período de tiempo.

Un ejemplo demostrativo

Ya he mencionado que tu información podría ser obtenida con facilidad, como la de cualquier usuario afectado po uno de estos casos. Típicamente, esta información estará compuesta por un identificador de usuario (ID), nombre, correo electrónico, dirección IP y una contraseña hasheada si hay suerte.

En el sitio web de puppet.zone encontramos un ejemplo real correspondiente a una entrada de base de datos SQL hackeada.

VALUES ('4','BlackRabbit','570d05338b21a5a00aa47546abbd1119','gGaD5TDO','qYFr1UyQbo3QXln7MDXReo3OQM68WqBLAqsXk1RaVuLlGGYPNr','puppetzoneimgay@safe-mail.net','26','./uploads/avatars/avatar_4.jpg?dateline=1399930771','100|100','upload','2','','0','','1399928410','1400466926','1400465460','1400465457','','0','','','','','all','Github: https://github.com/maybeblackrabbit\r\nKeybase: https://keybase.io/blackrabbit\r\nJabber: moonlight@jid.su','1','1','0','0','1','0','1','0','linear','1','1','1','1','0','0','0','','','-6','1','2','','','2','0','0','0','','1**Inbox$%%$2**Sent Items$%%$3**Drafts$%%$4**Trash Can','','0','0','10','173.245.53.238','94.242.246.24','-1376438802','1592981016','english','20912','1','29','0','0','0','0','0','0','0','0','0','1','2','');

Esta entrada pertenece a un usuario que se hace llamar BlackRabbit. Se ha escogido esta entrada porque la persona en cuestión tomó las meiddas oportunas para proteger su información personal. Aparecen su dirección IP usada para conectar a la web -por cierto, un nodo de salida Tor- y vemos que su idioma es “inglés”.

Además,  aparece una cuenta de email asociada, probablemente una de “usar y tirar” dado que es puppetzoneimgay@safe-mail.net. Aparecen relacionadas cuentas en Github, Keybase y un servidor de Jabber llamado Jid.su. Finalmente tenemos una contraseña hasheada, que podría ser una OTP (One Time Password) si tenemos en cuenta que estaba usando Tor y un correo desechable.

Aunque este usuario no lo hacía mal para preservar su privacidad, podría haberlo hecho aún mejor, como detalla el autor del artículo:

Podría no haber relacionado la cuenta con otras como Github o Keybase. Dada esta entrada de base de datos, incluso después de que el foro en el que militaba fuera cerrado para siempre, la cuenta “BlackRabbit” estará siempre asociada con las de Github, Keybase y Jabber antes listadas.

Quizá lo anterior pueda ser algo excesivo para el común de los mortales, pero es la única forma de acercarse a la privacidad. Y mejor no hablemos que los sistemas “inicia sesión con Facebook” y similares, que directamente recomiendo no utilizar nunca.

¿Cómo proteger mis cuentas online?

Ahora que ya sabes lo que podría ocurrir en caso de que una brecha de seguridad afecte a tus cuentas, es el momento de poner en marcha mecanismos para minimizar los riesgos. Veamos:

No utilices el mismo nombre de usuario

Es algo fácil de hacer y dificultará la labor de los atacantes cuando quieran relacionar nuestras diferentes cuentas online. Utiliza nombres de usuario diferentes cuando te registres en sitios. En lugar de utilizar el mismo nombre, utiliza nombres aleatorizados que contengan caracteres variados.

Si no tienes un buen motivo, no compartas nombre en demasiados sitios web.

No utilices siempre el mismo email cuando te registres

Es mala idea compartir siempre la misma cuenta de correo con diferentes proveedores de servicios. Sería muy fácil relacionar tu usuario entre diferentes webs populares. Si estás registrado con el mismo correo en muchas páginas y varias de esas bases de datos se filtran, será fácil relacionarlas.

Si, en el peor de los casos, los volcados comprenden también contraseñas hasheadas y alguien es capaz de romper su seguridad, entrarán en tu cuenta.

No repitas la misma contraseña una y otra vez

No utilizar siempre la misma contraseña es esencial. Tampoco debemos compartirla con nadie y por supuesto procuraremos que sea lo suficientemente robusta.

Parte de la robustez de una contraseña reside en que:

  • No tenga palabras que puedan hallarse en un diccionario, sea del tipo que sea.
  • No contenga información relacionable fácilmente con nosotros. Por ejemplo, información contenida en nuestro perfil o en alguna fuente rastreable en internet.
  • No debemos satisfacer las condiciones de robustez de las contraseñas símplemente añadiendo 3 o 4 números al final de un nombre. Esto es engañar al sistema y nos da una falsa sensación de seguridad.

Puedes ampliar información sobre seguridad en contraseñas aquí

Entre los síes:

  1. Utilizaremos caracteres especiales, combinados con números y letras tanto mayúsculas como minúsculas.
  2. Aunque la mayor parte de sitios exigen en torno a 8 caracteres de longitud, nuestra contraseña puede- y debe- ser más compleja. Recomiendo a partir de 12 pero lo ideal es que sea de unos 16 caracteres de longitud.
  3. Mejor aún, deberíamos poner en práctica, si es posible, una “palabra frase” en lugar de una contraseña uni-conceptual.
  4. Si te cuesta gestionar esto de las contraseñas, siempre puedes adquirir una Llave FIDO o bien utilizar un gestor de contraseñas. Entre los gratuitos recomiendo DashLane o KeePass.

Enmascara tu dirección IP

Las direcciones IP pueden revelar bastante información sobre nosotros, como nuestro proveedor y ubicación, lo que a su vez puede llevar a averiguar otra serie de cosas.

Por eso recomiendo utilizar proxy de algún tipo, ya sea la red Tor o un servicio de VPN. O ambas!

En el próximo artículo te contaré cuales son los servicios web a los que recurrir para saber si tu cuenta ha podido ser comprometida. Si tienes alguna sugerencia será bienvenida 😉

2 comentarios en “Asume la brecha: ¿cómo proteger mis cuentas online? ¿Por qué?

  1. A veces es increíble lo simples que pueden llegar a ser los detalles que nos salvan de ser comprometidos en nuestras cuentas. Yo como último consejo añadiría “ayudar a otros a proteger su información”. En la organización si no se protege uno, todos estamos en riesgo.

    Me gusta

    1. Tienes razón en lo de ayudar a otros. En la empresa el tema de la seguridad es más complejo: hay que enseñar, pero además desarrollar políticas, establecer controles para las mismas y garantizar que se cumplan, etc.

      Me gusta

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s