Un grupo de piratas informáticos conocido como OurMine, posiblemente de Arabia Saudita, accedió a las cuentas de Twitter y Pinterest del presidente y CEO de Facebook, Mark Zuckerberg, el pasado junio y hackeó alguna de sus cuentas. Aquí te damos unos consejos que Mark, no siguió.
Resulta que Zuckerberg fue uno de los 165 millones de miembros de LinkedIn cuyas credenciales de inicio de sesión se encontraban en la lista de datos filtrados en el 2012. Según el grupo que se hizo cargo de su cuenta de Twitter, al parecer Zuckerberg reutilizó su contraseña de LinkedIN, “dadada”, en numerosas cuentas sin cambiarla.
El error de Zuckerberg es el mismo que cometen la gran mayoría de las personas. Eligen una contraseña fácil de recordar y la utilizan en más de una cuenta. Afortunadamente resulta muy fácil superar en inteligencia a Mark Zuckerberg en lo que a contraseñas online se refiere. Evita caer en la misma desgracia siguiendo estos consejos:
1. Empieza creando contraseñas únicas y complejas. Puede que no quieras invertir todo ese tiempo y esfuerzo en crear una contraseña para cada cuenta, pero definitivamente úsalas para lo más importante: transacciones bancarias en línea, correo electrónico, redes sociales, tiendas en línea y otros servicios en los que confías datos sensibles.
2. No permitas que tu navegador almacene la información de inicio de sesión de cualquier sitio web que incluya datos sensibles. Hacerlo está bien si no hay nada sensible que proteger en una cuenta específica, pero asegúrate de que si tus cuentas son pirateadas lo único que podrán aportar es tu nombre de usuario y tu dirección de correo electrónico.
3. Tampoco permitas que las páginas web conserven la información de tus tarjetas de crédito. No querrás que esa información aparezca en la siguiente fuga masiva de datos. Introducir la información cada vez que necesites realizar una compra puede que no resulte muy conveniente pero te protegerá a largo plazo.
4. Activa la autenticación de dos factores en todos los sitios en los que esté disponible. Twitter, Snapchat, Facebook, Microsoft, Amazon, Dropbox, LinkedIn, Yahoo, Google, Apple y muchos más ofrecen esta característica, que por lo general requiere tener acceso a tu teléfono inteligente para iniciar la sesión desde un nuevo dispositivo.
5. Considera utilizar una contraseña maestra. La gran mayoría de los administradores de contraseñas te permiten conectarte desde PCs, Macs, iPhones y teléfonos Android, y crearán contraseñas largas y complejas para ti. (Pero entiende que guardar todas tus contraseñas en un solo lugar crea un punto centralizado de fallo del que podrían aprovecharse los piratas informáticos).
La contraseña “dadada” de Zuckerberg no fue almacenada como texto en la base de datos filtrada de LinkedIn, sino más bien como un hash unidireccional creado mediante la ejecución de la contraseña a través de un algoritmo matemático. El resultado es una cadena de caracteres teóricamente imposible de revertir. En este caso, “dadada” se convierte en “0f158e648228a19cab5f23acfd6c36f716a702a9”.
El problema es que LinkedIn era perezoso. Utilizaba el algoritmo hash SHA-1, que en el 2012 era vulnerable a la marcha atrás. Y lo que es peor, LinkedIn no dio ningún paso adicional para fortalecer la seguridad, como por ejemplo revisar el hash o “salting” el hash con caracteres adicionales (ambas opciones son una práctica común).
Esto facilitó a OurMine la posibilidad de revertir la contraseña de Mark Zuckerberg. Simplemente busca “reverse SHA-1” y verás que existen un montón de opciones ahí afuera. Inserta “0f158e648228a19cab5f23acfd6c36f716a702a9” en una y obtendrás “dadada”.
Información discovery