Blog

  1. Inicio
  3. Blog pulsa rec
  5. La puerta a la información: Las contraseñas

Hola a tod@s

Hoy en el blog de la productora audiovisual pulsa rec vamos a hablar de contraseñas.

Qué es y para qué sirve una contraseña

Todos sabemos, o creemos saber qué es una contraseña puesto que es algo que estamos obligados a usar para acceder a infinidad de recursos de información. Desde la contraseña de nuestro usuario de Windows, pasando por el PIN de nuestro teléfono móvil ó el del cajero automático, la contraseña del correo electrónico, la de facebook, la de tuenti, la de twitter, y de un largo etcétera de servicios digitales.

El uso de contraseñas, o también llamadas claves, no es un invento del siglo XX, sino que ha sido usada desde la antigüedad por los ejércitos para permitir el acceso una determinada posición estratégica.

La principal característica de las contraseñas, aunque parezca obvio, pero que habitualmente olvidamos, es que debe ser secreta. De hecho si la contraseña se hace pública deja de servir para proteger el acceso al objeto para el que se creó. Es por ello que a parte de recordarla, la contraseña no debemos compartirla con nadie; y por tanto asegurarla para que nadie la conozca; y con ello pueda robar información confidencial.

PASS blog de la productora audiovisual pulsa rec

Password

 

Cómo se atacan las contraseña. Ejemplos de robo de credenciales

El robo de contraseñas es algo bastante jugoso para los ciberdelincuentes porque les permite ganar dinero o fama de una forma bastante rápida. En el pasado año 2014 hemos tenido bastantes ejemplos de claves robadas. Es algo que sufrieron grandes compañías como  Yahoo en febrero, eBay en Mayo, Mozilla en agosto, Gmail en septiembre, o Sony en diciembre.

Cuando un atacante consigue la clave de un usuario, consigue también la llave para acceder a su información sensible. Esta información puede ser de muy distinta naturaleza. Desde su nombre y apellidos, pasando por la dirección postal, los datos médicos, información sobre aficiones, la raza y el sexo, la afiliación política, y también los datos de sus cuentas bancarias. Con todo ello puede realizar una suplantación de identidad que perjudique la  reputación del usuario (como en el caso de las celebrities de Hollywood), o realizar transferencias bancarias en su nombre; e incluso plagiar sus proyectos o venderlos a un tercero.

Existen varias técnicas para conseguir contraseñas según sea el recurso que se quiera atacar. Por ejemplo, para obtener la contraseña de un usuario Windows o Linux, se puede realizar un ataque de fuerza bruta mediante la aplicación sistemática de las palabras contenidas en un diccionario dado desde un equipo que esté en la misma red que la víctima. Pero también para el mismo caso se pueden usar keyloggers; que son dispositivos hardware o software que registran todas las pulsaciones de teclado. Dejando actuar un keylogger por un tiempo determinado, se pueden extraer claves para almacenar en un fichero, o enviarlo de forma remota al criminal.

Sin embargo, si lo que pretende el delincuente es obtener una base de datos de contraseñas, entonces lo que se suele usar es algún tipo de malware que se instale en los servidores de la víctima, y que robe información directamente de la base de datos de usuarios.

 

Cuál sería una buena contraseña. ¿Cómo administrarlas?

Aunque parece lógico que no está en nuestra mano el impedir que un ciberdelincuente nos robe la contraseña; si que se lo podemos poner más difícil aplicando algunas medidas sencillas. Todos hemos usado alguna vez contraseñas del tipo “123456”, “000000”, o “123123”; o quizás el nombre de tu hijo/a, novio/a, mascota, etc … La razón de por qué usamos este tipo de claves es claramente porque son las más fáciles de recordar. Circunstancia que también saben los criminales, y que son las primeras en comprobar. La mejor forma para una gestión ágil y segura de contraseñas es seguir dos tipos de pautas:

  • Llevar una política adecuada de mantenimiento de contraseñas siguiendo estas medidas:
    • Cambiar la contraseña con una frecuencia al menos trimestral
    • Componer la contraseña con un conjunto de al menos 8 caracteres compuestos de: letras, dígitos, mayúsculas, minúsculas y caracteres especiales ( !”$%&? )
    • Evitar usar palabras que nos puedan identificar como el nombre de un familiar, el nombre de nuestra calle, la fecha de nacimiento, etc …
    • Se recomienda usar frases modificadas que sean fácilmente memorizables y que tengan especial sentido para uno mismo, y sustituyendo las vocales por números (a=4, e=3, i=1, o=0). Por ejemplo:  w34r3th3ch4mp10ns = we are the champions, s4t1sf4ct10n = satisfaction, l4sm3n1n4s = las meninas
  • Usar un gestor de claves que permita almacenarlas y recuperarlas de forma sencilla y segura (con cifrado). Hay muchas herramientas de este tipo; pero desde aquí recomiendo LastPass https://lastpass.com/es/how-it-works , y 1Password https://agilebits.com/onepassword  entre otras razones porque son multiplataforma y tienen complementos para los navegadores más usados como Chrome, Firefox , Safari e Internet Explorer. Ambas herramientas sirven para gestionar las credenciales de servicios web como las cuentas de correo, inicio de sesión en redes sociales, portales de ecommerce, etc … Con una sólo contraseña de acceso al gestor de claves se guardan las demás de forma segura y cifrada, y no hay que memorizarlas.

 

http://www.muycomputer.com/2015/01/14/contrasenas-seguras-infografia

gestor de contraseñas

2FA blog de la productora audiovisual pulsa rec madrid

2FA

 

Otras alternativas a la autenticación por contraseña

La autenticación basada en dos factores 2FA , también llamada verificación en dos pasos, es un sistema diseñado para otorgar una capa extra de protección en el acceso a un sistema o servicio mediante la introducción de dos medios de identificación, que pueden ser dos de estos tres:

– Algo que sabes: Normalmente una contraseña

– Algo que tienes: Una tarjeta inteligente, o un token, o un código recibido por SMS en el teléfono móvil, o un código de un solo uso (OTP) obtenido de aplicaciones autenticador como Google Authenticator

– Algo que es: Huella dactilar, el iris, la voz

Por tanto, si alguien consigue un listado de contraseñas, no será capaz de acceder a las cuentas a menos que puedan aportar también alguno de los otros dos factores.

Actualmente muchos de los servicios que usamos a diario como las cuentas de correo de Gmail, de Yahoo y de MIcrosoft, el ID de Apple, y las cuentas de redes sociales como Facebook, Twitter, y Linkedin; además de otros servicios como Evernote, Dropbox, Paypal, y Amazon disponen de esta funcionalidad.

Las soluciones implementadas por estos servicios para proporcionar una autenticación segura, se basan en proteger la sesión o el acceso al servicio desde distintos dispositivos. La mayoría de las soluciones juegan con la contraseña y un código recibido por SMS como segundo factor. Una vez introducido éste en un dispositivo se puede guardar para que no vuelva a preguntar; facilitando de este modo la usabilidad. Con este sistema se garantiza que sólo los dispositivos autorizados son capaces de abrir la sesión; y por tanto mitiga el riesgo de suplantación de identidad desde cualquier otro equipo.

 

IOT blog de la productora audiovisual pulsa rec

Internet of things

Contraseñas por defecto en el IoT

Aproximadamente desde hace una año se oye hablar de un tema nuevo relacionado con la Informática e Internet denominado “El Internet de las cosas” , o  “Internet of Things” en inglés. Este nuevo término se refiere a la red dispositivos cotidianos conectados a Internet, tales como el router, impresoras, electrodomésticos, sistemas de calefacción y alumbrado, cámaras de video, coches inteligentes, smart tv, y una largo etcétera que pueden encontrarse en cualquier hogar al alcance de cualquier ciudadano. Estos objetos mediante su dirección IP son capaces de recoger información, procesarla y enviarla por Internet. Como cualquier dispositivo inteligente, suelen estar protegidos por una contraseña de acceso. Hasta aquí todo perfecto; el problema es que de forma generalizada los usuarios no suelen cambiar la contraseña por defecto dada por el fabricante. Estas contraseñas son conocidas y fácilmente accesibles ya que suelen estar indicadas en las guías de instalación de los productos; que a su vez están accesibles en Internet. Por tanto, podemos tener en nuestro hogar distintos dispositivos expuestos a ataques malintencionados tales como un cambio en la programación de nuestro sistema de calefacción, modificación de nuestro router para permitir el acceso a redes P2P, o el robo de imágenes de cámaras de vigilancia.

Aunque en principio puede parecer innecesario el cambio de estas contraseñas porque pensamos que nuestro hogar no va a ser el objetivo de los “hackers”, es más que recomendable cambiarlas.

 

Este artículo ha sido escrito por    Ana González Monzón IT Security Engineer