El robo de contraseñas o qué hacer para no perder la cabeza

Durante la tarde de ayer, Yahoo!, uno de los pioneros en servicios de internet, sufrió intentos de acceso no autorizados a un número no revelado de cuentas de su servicio de correo electrónico basado en la web Yahoo! Mail.

 

Según indicó mediante un comunicado de prensa Jay Rossiter, Vice Presidente Senior de Plataformas y Personalización de Productos de la compañía con sede en el Silicon Valley, no existe evidencia de que los datos de inicio de sesión (nombres de usuario y claves) hayan sido obtenidos directamente de Yahoo!. Hasta el momento la sospecha más firme es que corresponden a información robada a terceros con anterioridad.

 

Con el objetivo de proteger a sus usuarios del acceso no autorizado, Yahoo! decidió resetear las contraseñas de las cuentas comprometidas y activar la verificacion de dos pasos.

 

La actualidad

 

Lo cierto es que cada vez predomina más el robo -o la pérdida- de datos de usuarios. Entre los casos más recientes puedo mencionar:

 

    • Noviembre/2013: La compañía de seguridad informática Trustwave reveló la existencia de un virus diseminado en millones de equipos hogareños a lo largo de todo el planeta que enviaba los datos de inicio de sesión de los usuarios a servidores remotos. La totalidad de usuarios y contraseñas, que ascendió a 2 millones, estaba compuesta por 318.000 cuentas de Facebook, 70.000 cuentas de Google (incluyendo Gmail, YouTube y Google+), 60.000 cuentas de Yahoo!, 22.000 cuentas de Twitter, 8.000 cuentas de LinkedIn y 17.000 cuentas de otros servicios menos populares.
    • Octubre/2013: Adobe sufrió el robo de más de 38 millones de contraseñas, entre las que se encontraban “123456”o “123456789” como las más utilizadas.

    • Marzo/2013: Más de 50 millones de direcciones de e-mail y contraseñas fueron robadas del popular servicio de notas en línea Evernote.
    • Junio/2012: LinkedIn sufrió el robo de 6.5 millones de contraseñas.

 

Recomendaciones y verificación de dos pasos

 

el-robo-de-contrasenas-o-que-hacer-para-no-perder-la-cabeza_003Hace algún tiempo comenzó a resonar la definición de Verificación de dos pasos (o two-step verification, por su nombre en inglés). Este mecanismo obliga a los usuarios a ingresar un token de seguridad (claves criptográficas aleatorias). El usuario ingresa al servicio con sus datos de inicio de sesión habituales y, una vez validados, el sistema solicita el ingreso del token o clave criptográfica (normalmente de seis dígitos numéricos) que puede ser enviada a través de un menaje de texto (SMS), un generador de contraseña dinámica (OTP) o un teléfono inteligente.

 

Si bien el mecanismo es mucho más popular a nivel corporativo (para usuarios dentro de las organizaciones) cada vez son más las compañías con presencia en línea que deciden adoptarlo. Facebook, Twitter, LinkedIn, Microsoft, Google y Yahoo! cuentan ya con la posibilidad de activar la verificación de dos pasos.

 

La configuración es muy sencilla y, para los usuarios del servicio de correo electrónico basado en la web de Microsoft (Outlook.com) dejo las instrucciones paso a paso aquí.

 

Recientemente algunos bancos de Argentina han implementado el envío de una contraseña de único uso via SMS a los clientes que intenten realizar operaciones de riesgo, como transferencias en línea o el pago de servicios con montos elevados.

Las recomendaciones son siempre las mismas:

  • Utilizar contraseñas alfanuméricas complejas.
  • Utilizar letras mayúsculas y minúsculas.
  • Utilizar números y caracteres especiales (! * # $ ? /).
  • No utilizar la misma contraseña para diferentes servicios.
  • No incluir datos personales, como direcciones o el nombre de su mascota.
  • Cambiar las contraseñas frecuentemente.
  • Y por último, activar la verificación de dos pasos siempre que el proveedor del servicio lo permita.

 

¡Hasta la próxima!

3 comentarios en “El robo de contraseñas o qué hacer para no perder la cabeza

Deja un comentario