Protege tus claves de los hackers o piratas informáticos
Consumer Reports magazine: 11-2011
This content will be replaced when pagination inits.
Los delincuentes se han vuelto más astutos. Y tú también deberías serlo
Ilustración: Stuart Bradford
Nuestra última encuesta muestra que más de la mitad de los adultos estadounidenses poseen 6 o más cuentas en línea protegidas con una clave o contraseña. ¿Quién se acuerda de sus contraseñas? Tratas de que sean cortas y simples: el nombre de tu mascota y "123"; usas la misma clave en varias cuentas, y las guardas en la cartera para tenerlas a la mano.
No eres el único: en nuestra encuesta, el 32% de los encuestados usaron una referencia personal para sus contraseñas, casi el 20% usó la misma clave en más de 5 cuentas y el 23% mantenía una lista escrita de las claves en un lugar poco seguro. En octubre, el Centro Nacional de Investigación de Consumer Reports (Consumer Reports National Research Center) llevó a cabo una encuesta nacional entre 1,000 adultos.
El problema es que estas prácticas te exponen al tipo de ataques que los hackers lanzan contra los sitios Web. Cuando los hackers tienen tus claves, obtienen acceso a tus cuentas.
Y no tiene que ser así. Sigue leyendo para saber cuáles son los mejores y los peores tipos de contraseñas, cómo hacerlas resistentes, dónde guardarlas para que estén a salvo y -mejor aún- cómo recordarlas.
Una creciente amenaza
Las posibilidades de que te roben tu contraseña es baja, pero el riesgo es real y va en aumento. Para entender por qué, tienes que saber cómo trabajan los hackers hoy en día. No, no están en un sótano buscando entrar a tu cuenta tecleando hasta que lo logran. Es más probable que entren en un sitio Web no seguro que tiene muchas contraseñas, entre las que figuran las tuyas. Luego, encuentran varias con una computadora y un software decodificador para descifrar claves muy sofisticados. He aquí algunos de los avances más preocupantes que descubrimos:
Poca seguridad en los sitios Web. Muy común. Según la cronología de Privacy Rights Clearinghouse de filtración de datos, en los últimos 6 años hubo más de 312 registros de datos expuestos por hackers que entraron a sitios Web. (No todos los registros incluían contraseñas). En un estudio de más de 3,000 sitios publicado el invierno pasado por Whitehat Security, una empresa de California que ayuda a que los negocios protejan sus sitio Web, se mostró que la mayoría de ellos eran vulnerables y habían estado expuestos a un serio fallo de seguridad cada día en 2010.
Los bancos y los sitios de cuidado de la salud obtuvieron los mejores resultados; los sitios de comercio minorista y de servicios financieros tuvieron un desempeño menor al promedio general.
Uno de cada 7 sitios estudiados era vulnerable a un ataque llamado inyección de SQL en que el hacker ingresa en la computadora de una organización engañándola para que ejecute las instrucciones de programación que le da el mismo hacker. Según el informe mensual de tendencias de septiembre de 2011 de Imperva, una empresa de seguridad informática de California que ayuda a las empresas a evitar robo o filtración de datos, se usó la inyección de SQL para hackear los sitios de Sony Pictures, Nokia y Lady Gaga.
Una vez que un sitio ha sido pirateado (hackeado), la principal garantía de las contraseñas de los usuarios que alberga es cuán seguros están almacenados esos datos. Algunos sitios usan formas de almacenamiento menos seguras de lo que deberían. Por ejemplo, Sony Pictures guardaba las claves de sus usuarios en formato leíble. Los profesionales de la seguridad lo llaman "texto simple" y no constituye ningún obstáculo para los hackers.
Varios sitios con buena reputación utilizan una técnica de almacenamiento seguro conocida como “hashing”, que hace que los hackers tengan que laborar para convertir los datos robados en claves utilizables. Según los expertos con los que hablamos, el consumidor promedio no sabe qué tan segura está su contraseña en determinado sitio. Pero, si usas una clave muy fuerte, tendrás mejores oportunidades de resistir algunos ataques.
Bajan los costos de la piratería informática.El tipo de hardware usado para descifrar las contraseñas ha bajado de precio vertiginosamente. Según Robert Imhoff-Dousharm, jefe de seguridad de la información de SanDisk, ahora con $3,000 puedes comprar una PC con el poder para decodificar claves cuando, en 1994, una supercomputadora equivalente, costaba $30 millones. Una PC con ese poder puede armarse con partes que compras en un negocio de artículos de computación y puede descifrar cualquier contraseña de 8 caracteres en apenas 23 horas. ¿Poco presupuesto pero más tiempo? No hay problema. Una versión de $800 puede hacer lo mismo en 40 días.
Mejores herramientas para hackear. Las herramientas que usan los hackers para violar las contraseñas se han vuelto más poderosas. La tecnología clave usa la misma tarjeta de gráficos rapidísima, también llamada “Unidad de Procesamiento Gráfico” (GPU), que las computadoras personales utilizan para acelerar los juegos de acción.
Las últimas GPU también sirven para el software que descifra contraseñas, explica Imhoff-Dousharm. “La tecnología de las GPU avanzó rápidamente y los hackers que descifran contraseñas la han aprovechado a tal punto que pronto los 9 caracteres no serán más útiles", dice. Es bastante fácil encontrar software en Internet para violar contraseñas. John the Ripper, un programa popular del experto en seguridad Alexander Peslyak, está diseñado para realizar controles de seguridad legítimos. Y Cain & Abel, del consultor en seguridad Massimiliano Montoro, es una empresa para recuperar contraseñas. Pero estos programas también pueden usarse para descifrar contraseñas de forma ilegal.
Más hackers en el horizonte. Con hardware tan barato y y software poderoso muy accesible, no sorprende que muchos tengan de hobby –o de ocupación- descifrar contraseñas. Según Imhoff-Dousharm, la cantidad de gente que intercambia consejos en línea sobre los 4 programas más populares para descifrar contraseñas y de las últimas GPU aumentó de unos 2 mil hace apenas 3 años a más de 80,000 en la actualidad.
Hay cada vez más pruebas de que los delincuentes se aprovechan mucho de esas tendencias. En el último año, dos sitios de consumo, Gawker.com y Sony Pictures sufrieron robo de datos, lo que expuso millones de contraseñas de consumidores a los hackers. Si esas contraseñas fueron usadas para otras cuentas, los hackers tuvieron acceso a ellas también. En octubre, el FBI detuvo a un hombre que pirateó las cuentas de correo electrónico de 50 personas, incluyendo las de la actriz Scarlett Johansson y la de la cantante Christina Aguilera. Él les es dijo a las autoridades que dedujo la clave de Johansson buscando información de acceso público y de las redes sociales para obtener sus datos personales.
La encuesta de Consumer Reports “State of the Net” (el estado de la red) de 2011 publicada en junio proyectaba que, en el último año, 3.7 millones de hogares estadounidenses que usan Internet fueron notificados por el gobierno, o alguna otra organización, de que su información personal había sido robada, perdida o pirateada. Además, la misma encuesta proyectó que, en el último año, la información de ingreso a Facebook y las cuentas de casi un millón de miembros fueron utilizadas con propósitos no autorizados.
Por supuesto que, sin importar cuán seguras sean tus claves, aún deberás vigilar las otras formas en las que la gente puede obtener acceso a tus cuentas.
Por ejemplo, los sitios que hacen phishing o suplantación de identidad, son sitios fraudulentos que usan direcciones de correo electrónico que parecen verdaderas, como si fueran de un banco o de otra institución conocida, para engañar a las víctimas. Una vez que ingresaste tu número de identificación y tu contraseña o PIN, el phisher puede utilizarlas para robarte la cuenta. La encuesta de Consumer Reports “State of the Net” de 2011 indicó que, en el último año, aproximadamente 6.4 millones de usuarios de Internet enviaron información personal en respuesta a un correo electrónico que llevaba a ese sitio.
También hay keyloggers o registro de teclado. Este software malicioso, que captura en secreto lo que tecleas, puede ser instalada en línea directamente en tu computadora por un hacker o por alguien que tenga acceso físico a ella. El software de seguridad también puede detectar un keylogger. Aunque todavía no los probamos, los programas anti-keylogger también están disponibles en línea. Un dispositivo para keylogging (del tamaño de una batería) puede sujetarse al cable del teclado.
De todos modos, siempre debes tener cuidado con lo que haces. Si revelas tu contraseña a alguien a quién no conoces y en quién no confías o si la escribes pero no aseguras la versión escrita, expusiste tu cuenta a accesos no autorizados.
Las mejores formas de proteger tus contraseñas
Estas son las mejores medidas de protección de claves que los expertos recomiendan para mantener a los hackers a raya.
No uses la misma contraseña 2 veces. Si un hacker obtiene la contraseña que usas en un sitio, tendrá acceso a tus otras cuentas. Para que recuerdes fácilmente tus contraseñas, puedes usar un patrón similar de caracteres en diferentes sitios, cambiándolos parcialmente de manera que sea intuitivo para ti, pero que no resulte obvio para los demás.
Refuérzalas. Nuestra encuesta mostró que el 29% de la gente que usa contraseñas en sus cuentas más privadas usan una clave con 7 caracteres o menos. Es demasiado corta. Por lo menos debes utilizar 8 caracteres. Hay que incluir una letra mayúscula y una minúscula, más un dígito y un carácter especial. Te protege mejor de que alguien la deduzca y también ayuda cuando la clave se almacena en un sitio que usa “hashing” como técnica de seguridad.
Armar una clave más larga también ayuda cuando se protege con hashing. Con una hoja para calcular el tiempo que lleva alterar el hash, desarrollada por Imhoff-Dousharm, estimamos que se necesita una computadora de $2,000 y 2 horas y media para revelar la contraseña más fuerte de 7 caracteres. Una clave de 8 caracteres puede llevar hasta 20 días y para una de 9 caracteres se tardaría aproximadamente dos años y medio.
Evita lo más obvio. Los hackers poseen diccionarios extensos de contraseñas comúnmente utilizadas. Cuando crees una contraseña, no uses palabras, nombres o lugares comunes de tu vida que figuren en un diccionario o que alguien la pueda deducir o averiguar (por ejemplo, la fecha de tu cumpleaños, el nombre de tu hijo, etc.) Evita los patrones predecibles, tales como comenzar con una mayúscula.
Mantenlas a salvo y actualizadas. No escribas la contraseña completa. Pero, si debes hacerlo, mantenlas bajo llave. Basándonos en los resultados de nuestra encuesta, proyectamos que 34 millones de adultos guardan una lista de contraseñas o pistas en un lugar que puede no ser seguro.
Los expertos nos dicen que guardaban sus listas en una memoria flash codificada, que usaron un servicio en línea como LastPass (www.lastpass.com) o las guardaron codificadas en una computadora usando KeePass (www.keepass.info). Los hackers pueden ser muy hábiles para engañar a la gente para que revelen su contraseña. Nunca des tus contraseñas por teléfono, por correo electrónico o por medio de las redes sociales a nadie.
Si tienes una contraseña vieja, es posible que haya sido segura antes, pero, en la actualidad, quizás sea demasiado fácil para los hackers. Piensa en reemplazarla con una más resistente.
Asegura tu computadora y el navegador que usas. Los keyloggers y otros malware constituyen un riesgo real, en especial en computadoras de acceso público. Mantén actualizados el sistema operativo y las aplicaciones más importantes. Instala un sistema de seguridad efectivo que se actualice en forma automática. (Para ver las Calificaciones a los diferentes productos de marca, consulta nuestra edición de junio de 2011).
Los sitios Web que protegen las claves comienzan con “https”, en la dirección del sitio. Ingresa en las cuentas cargando la URL en el navegador y no haciendo clic en un enlace o “link” dentro de un correo electrónico, ya que el link te puede llevar a un sitio falso.
Hacia una mayor seguridad
La tarea de proteger las claves no debe quedar exclusivamente en manos de los consumidores. Hasta que los dueños de los sitios Web mejoren la seguridad, los hackers seguirán robando contraseñas. Los dueños deberían disminuir su vulnerabilidad a la inyección SQL, responsable desde 2005 del 83% de los robos de datos relacionados con hackers, según el Informe Mensual de Tendencias de Imperva de septiembre de 2011.
Ed Skoudis, instructor del Instituto SANS de Washington, D.C., que capacita a profesionales en seguridad, observó varios robos de datos. “Hay cada vez más vulnerabilidades en SQL", dice. “La inyección de SQL fue la principal causa en los casos en los que trabajamos hace 10 años. Es deprimente que hoy en día siga siendo una de las principales causas."
Los expertos también afirman que los sitios deberían almacenar la información de los consumidores en un lugar seguro, usando hash o, mejor aún, usando codificación muy resistente. Se supone que las empresas y corporaciones que procesan tarjetas de crédito deben seguir los estándares de la industria para guardar datos.
Pero, incluso un sitio conocido puede usar terceros para el manejo de datos pasándolos a una empresa cuyas prácticas desconoces. Por ejemplo, en la primavera pasada, Verizon, Walgreens y otras marcas importantes tuvieron que avisarles a millones de consumidores acerca de los posibles engaños por correo electrónico cuando Epsilon Data Management, la empresa de marketing con sede en Dallas de esas firmas, sufrió un robo de datos de direcciones de correo electrónico de sus clientes.
Otro enfoque de seguridad es la autenticación de dos factores: además de la clave, el usuario provee información que un hacker no puede obtener. Por ejemplo, en Google y Facebook ofrecen que obtengas un código de verificación por teléfono antes de ingresar (En Facebook, haz clic en Configuración de la cuenta, Seguridad y luego en Aprobaciones de inicio de sesión). Una variación son los datos biométricos, tales como una huella digital. Los dos factores no son perfectos, pero es mejor que usar solamente contraseñas.
Cómo armar una contraseña fuerte (y poder recordarla)
CEREBRITOLos consejos del experto en seguridad, Steve Gibson, hacen que las contraseñas sean más fáciles de recordar.
Puedes crear claves resistentes con las que no tengas que memorizar un sinfín de letras, números y signos de puntuación. Aquí te brindamos tres técnicas:
Una oración. Es fácil recordar la primera letra de cada palabra en una oración. Por ejemplo, los niños usan esta oración para acordarse de los nombres de los nueve planetas en inglés: My Very Excellent Mother Just Served Us Nine Pickles (mi muy excelente madre nos sirvió nueve pepinillos). Podrías usar las primeras letras de esas palabras para generar esta resistente contraseña de 9 caracteres: m*Emjsu9p, en donde Venus (el lucero matutino o vespertino) se representa con un asterisco (*), la letra de la Tierra (en inglés: la “E” de Earth) va con mayúscula y 9 se representa con un número. En la práctica, es mejor no usar un dicho tan conocido para generar siglas o acrónimos.
Una frase secreta. Varias palabras mezcladas con números y signos de puntuación constituyen una frase secreta. Por ejemplo: stitch9clock^handsapplausE (a las nueve en punto aplaudir). Cuánto más larga sea la frase secreta, más segura será, aunque es posible que el sitio limite la cantidad de caracteres que permite en una contraseña.
Que crezca el pajar. Desarrollado por el experto en seguridad Steve Gibson, presidente de Gibson Research (www.grc.com/haystack), empresa con sede en California, “growing the haystack” (que crezca el pajar) aprovecha la forma en la que los hackers descifran las contraseñas. “Lo primero que intentan es el conocidísimo diccionario de claves más comunes", dice Gibson. “Y, si saben algo sobre ti, intentan adivinar cosas de tu vida". Para frustrar esa parte del proceso, Gibson sugiere comenzar con una frase corta que no sea una palabra común, lo que hace que el hacker tome el camino más lento, el de la fuerza bruta, de intentar todas las combinaciones que existen, lo que termina siendo como buscar una aguja en un pajar.
Una vez que lo lograste, “la longitud de la clave importa más que su complejidad absoluta", dice Gibson. En otras palabras, haz que el pajar sea más grande rellenando la clave con varios símbolos fáciles de recordar. Por ejemplo, la clave “c -@T --9 ---” es de 10 caracteres de largo y probablemente no figure en ningún diccionario, pero es difícil de recordar. Una salvedad: No uses como contraseña ninguno de los ejemplos que te presentamos. Ahora que fueron publicados, es posible que los piratas cibernéticos las agreguen a sus diccionarios.
Las cifras
• El 10% de los encuestados tenían más de 30 cuentas en línea que requieren contraseña.
• El 29% de los encuestados guardan sus contraseñas en una lista que llevan con ellos, cerca de su computadora o en un archivo no protegido en su computadora, tablet o dispositivo móvil.
• El 75% de los encuestados no usaban el tipo de contraseñas más seguro (de 8 caracteres o más, con mayúsculas y minúsculas, un número y un carácter especial) en sus cuentas más confidenciales.
Regístrate para el boletín
Espanol.ConsumerReports.org:
- Sobre Nosotros
- Nuestros Laboratorios
- Consumer Reports en inglés
- Nuestros sitios en línea
- Expertos en salud
- Mapa de sitio
- Canadá Extra
- Publicaciones en inglés
Copyright (c) 2006-2012 Consumers Union of U.S., Inc. No se permite la reproducción total ni parcial sin permisos escrito.