Junio se está convirtiendo en un mes muy malo para la seguridad de en las cuentas online. La semana pasada tres sitios principales – Linkedin, eHarmony y last.fm – sufrieron tantes fugas de información que han llevado a la publicación de millones de contraseñas de los usuarios.
Trend Micro, empresa líder global en seguridad cloud, ha presentado esta infografía que reúne los datos más relevantes sobre incidentes vinculados al robo de contraseñas y el fraude online en los últos tiempos. Paypal fue el sitio que más estafas de phishing sufrió en enero de 2012, con 13.000 URLs falsas.
Algunas estadísticas sobre fraude online llaman particularmente la atención. Durante el año 2010 nada menos que 8,1 millones de adultos de Estados Unidos sufrieron la pérdida de un total de 37.000 millones de dólares. Otro caso: el ataque contra Sony en mayo de 2011 supuso para la compañía un coste de unos 171 millones de dólares. Los datos ofrecidos Trend Micro, la identidad de una persona es robada cada 3 segundos.
La infografía refuerza la idea de que no gestionar adecuadamente tus credenciales online es como jugar al póker realizando altas apuestas. Si no juegas bien las cartas, el juego termina. Quizás la información personal no es tan privada como se cree.
La gente sigue utilizando contraseñas lamentablemente inseguras en la red. Se trata de contraseñas demasiado cortas o previsibles ( ejemplo: ‘job’, ‘LinkedIn o ‘1234’).
Algunas, a prera vista parecen seguras pero a la hora de la verdad son sples de adivinar como ejemplo nombres y combinaciones de sitios como ‘davidlinkedin’, ‘boblinkedin’; relacionados con el sitio. También juegos de palabras como ‘leakedin’ o ‘linkedout’.
Los atacantes cibernéticos tienen ahora una cantidad abrumadora de poder de computación a sus disposición gracias a las GPU, que pueden ser fácilmente convertidas en herramientas para llevar a cabo ataques de fuerza bruta. Esto hace que el almacenamiento seguro de contraseñas sea actualmente un tema de debate que involucra tanto a investigadores de seguridad como a administradores de TI. Sin embargo, esto es algo sobre lo que los usuarios no tienen control.
Gestores de contraseñas, tales como Trend Micro DirectPass pueden ayudar a reducir la carga sobre los usuarios almacenando las contraseñas de estos. Además de almacenar las contraseñas en la nube hacen que estas sean accesibles mediante múltiples dispositivos, ya sean PCs, smartphones o tabletas. Pero, ¿Qué pueden hacer los usuarios para mejorar las contraseñas que utilizan? He aquí algunos consejos:
• Frases, no palabras: Tener una contraseña más larga es una parte esencial de la mejora de las contraseñas de usuario. De diez a doce caracteres es un buen comienzo; para los sitios más sensibles como los bancos, es recomendable emplear contraseñas más largas. Por supuesto, si tus palabras claves son tan largas deberías usar frases claves en vez de palabras. Palabras excesivamente largas como Supercalifragilisticoespialidoso pueden ser un poco difíciles de recordar con precisión. Lo más seguro es que cometamos algún fallo. Elige frases completamente al azar, o incluso sin sentido, que puedas recordar de alguna manera… de forma creativa y personal, y que se mantengan alejadas de contraseñas potenciales como nombres de películas y otros asuntos de la cultura pop de hoy. Por ejemplo,”ZombiesWantBrains” probablemente no sería una buena contraseña. Una frase más adecuada, más aleatoria, sería “ComputerSwmingMelonLamp”.
• Reciclar es bueno menos para las contraseñas. Hagas lo que hagas, no recicles contraseñas. Como míno, una contraseña descubierta será añadida a la lista de contraseñas conocidas que los atacantes podrían utilizar en prer lugar. Si el nombre de usuario se vio también comprometido, entonces el atacante podría ser capaz de tener una combinación de nombre de usuario + contraseña que utilizará en otros lugares. Resumiendo: no reciclar la misma contraseña en varios sitios.
A principios de esta semana, se reveló que el juego League of Legends también había sufrido su propio capítulo de fallos, que ha supuesto que los datos de los clientes – incluyendo contraseñas – salieran a la luz pública.
Seguiremos informando…