No quiero contribuir a provocar la histeria colectiva pero sí que estaría bien que esto te aportase un poquito de preocupación. Básicamente Heartbleed es uno de los agujeros de seguridad más importantes en toda la historia de Internet. Más aún: este agujero de seguridad ha estado abierto durante 2 años y nadie lo había descubierto hasta ahora. ¿Nadie?... Ups, eso no es posible saberlo. Te lo diré más claro, Heartbleed es un agujero de seguridad que afecta a la parte más sensible de Internet, el sistema de encriptación que resguarda la información más confidencial de los usuarios: las contraseñas, las tarjetas de crédito y toda la información personal. Cualquier información transmitida de forma "segura" (https) sería perfectamente accesible a alguien que explotara este fallo. ¿Cómo se te queda el cuerpo?
En dos años, cualquier persona con cierto conocimiento que hipotéticamente supiera de esta vulnerabilidad podría haberse hecho con millones de claves, nombres de usuario y números de tarjetas de crédito. Es más, como te explicaré más adelante, incluso podría tener en sus manos la fórmula para destripar tus contraseñas futuras.
Solucionarlo, a partir de ahora, depende de que lo hagan los administradores de cada uno de los millones de servidores afectados. Lo que significa que, aunque cambies inmediatamente tus contraseñas, si el administrador de un sitio web o el administrador del servidor en el que está esa web o servicio no ha corregido el fallo, tu información sigue igual de expuesta. Probablemente aún más expuesta ya que ahora ese agujero lo conoce todo el mundo.
Vamos a pensar que ya la mayoría de los sitios lo han corregido (aunque es mucho pensar). ¿Qué es lo que puedo hacer como usuario? Naturalmente, cambiar tu contraseña ínmediatamente. Pero si no tienes la seguridad de que en ese servicio para el que usas esa contraseña haya corregido el problema... deberías volver a cambiar la contraseña dentro de una o dos semanas y cruzar los dedos para que todo esté arreglado.
Para hacerte una idea de si un sitio web es vulnerable aún o no puedes usar este complemento para Firefox: Heartbleed-Ext. Instalará un icono con forma de corazón en tu navegador.
Y, desgraciadamente, eso no es todo. Resulta que muchos modems y routers también pueden estar afectados. Así que, tal vez por primera vez en tu vida, deberías echarle un vistazo a la marca de tu router y visitar la web del fabricante por si acaso hay alguna información al respecto y/o ha sacado un parche que debas instalar. De hecho, cualquier aparato conectado a Internet podría ser vulnerable, incluyendo televisiones inteligentes, dispositivos domóticos y muchos otros.
Y ahora, hablemos una vez más de contraseñas.
Antes dije que quien se hubiera hecho con esta información privada no solo podría conocer tus contraseñas actuales sino también tus contraseñas futuras. ¿Cómo es posible esto? Pues más fácil de lo que puedas pensar. Te lo explicaré.
Normalmente, para averiguar una contraseña se usan sistemas a base de diccionarios y mucha potencia de cálculo informático. Es decir, básicamente, un ordenador potente probando contraseñas que ha recopilado en un diccionario o base de datos. Es por eso que utilizar contraseñas a base de nombres, nombres más números, fechas, etc... son tan fáciles de reventar. Jose123, 11021984, asdfghj... son pésimas ideas para una contraseña porque es muy fácil elaborar diccionarios con miles de contraseñas semejantes. Una contraseña así puede reventarse en un tiempo record.
Teóricamente, si añades caracteres especiales, se vuelve más difícil el hackeo. Pero solo teóricamente porque no puedes pensar que un hacker se haya quedado congelado en los inocentes años 90. Así que J0se123, 3l3na75 o, incluso, ?3n3l0?3 son graciosamente sencillas de hackear. ¿O crees que alguien que se dedique a esto no ha pensado también que hay ciertas letras que pueden sustituirse comunmente por números de grafía parecida? En un buen diccionario de contraseñas estarán jose, Jose, JoSe, j0se, J0s3, j0s3 y todas estas variantes unidas a secuencias numericas de fechas. Dirás: pero un diccionario tal debe ser muy grande. Y te digo: sí, no hay problema. Cuando se quieren reventar claves se suele jugar con diccionarios muy grandes (adaptados al país, por ejemplo) y buenos ordenadores capaces de probar miles de combinaciones por segundo.
Por tanto, alguien que tuviese información de contraseñas utilizadas durante esos dos años en el que este agujero ha estado abierto podría tener una valiosísima información para saber cómo la gente está componiendo sus contraseñas. Y elaborar un diccionario de claves muy, muy efectivo para poder hackear cualquier contraseña futura que se te ocurra en base a las ideas utilizadas hasta ahora.
Así que, amigos y amigas, ha llegado el momento de tomarse muy en serio estos dos consejos:
1) Usar contraseñas totalmente aleatorias. Por ejemplo: cLZ5kSAGTSw6UAQxMUPx
2) Usar contraseñas distintas para cada sitio o servicio.
La mayoría de la gente a la que le digo esto se queda más o menos así: ٩(͡๏̯ ͡๏)۶
Y, sin embargo, es absolutamente imprescindible pasar a otro nivel de seguridad. Es cuestión de asumirlo y llevarlo a efecto. En realidad, cumplir con los dos puntos anteriores es fácil y solo requiere usar la inteligencia para adaptarse a los tiempos.
Recordar contraseñas así puede parecer imposible pero, con las herramientas adecuadas, es más sencillo de lo que parece. En este artículo tienes algunas de las mejores ideas: contraseñas seguras, herramientas online extremadamente útiles.
Y, además de lo expresado en el artículo citado también dispones de servicios online interesantes como LastPass (aunque las versiones móviles son de pago) o 1Password.
Así que ya sabes: ponte manos a la obra ahora; mañana puede ser demasiado tarde.
Eso es grave voy a averiguar a ver parece increible
ResponderEliminar