¿Estás seguro que tu contraseña no ha sido robada?

¿Estás seguro que tu contraseña no ha sido robada?

Sí, seguramente a ti y muchos otros también nos han robado (o intentando robar) nuestra contraseña en algún momento. A partir del reciente anuncio de dos nuevas intrusiones que sufrió la cadena hotelera Marriott y el sitio de preguntas y respuestas Quora evidenciaron que la seguridad es una de los cuestiones más importantes de la economía digital, y sobre todo, de la necesidad de desarrollar buenas prácticas en los usuarios para evitar problemas potencialmente graves.

En el caso de Marriott, hablamos de nada menos que información referente a quinientos millones de visitantes a cadenas de hoteles, que incluyen desde nombres y direcciones, hasta números de teléfono, direcciones de correo electrónico, números de pasaporte, identificadores del programa de lealtad, fecha de nacimiento, sexo, datos de estancia, preferencias de comunicación y, en algunos casos, tarjetas de crédito con su fecha de expiración, que bien la información pudiera estar cifrada con AES128, no descartemos la posibilidad de que las claves de cifrado hayan sido robadas también. Un auténtico desastre que podría permitir desde el acceso a otras cuentas en otros servicios, hasta operaciones de robo de identidad.

El robo de contraseñas afecta a millones de usuarios

Por otra parte, la intrusión en Quora afecta a unos cien millones de usuarios; hablamos de contraseñas cifradas, nombre, direcciones de correo, datos posiblemente importados de otras redes sociales vinculadas con la cuenta, y todos los datos de acciones públicas y privadas en Quora, que podrían ser utilizados para una amplia variedad de posibilidades de perfilado en los más diversos aspectos.

Hace unos meses, Facebook también anunció el robo de información que afectaba a treinta millones de usuarios, y muchos otros ejemplos más, por tanto, ¿Qué debemos hacer en estos casos? Nuestra sensibilidad potencial a este tipo de cuestiones depende, fundamentalmente, de nuestras prácticas de seguridad.

Lo primero es averiguar qué información ha sido afectada por el robo, y suponer que esa información estará al alcance de cualquiera que quiera utilizarla para cometer algún tipo de robo o fraude. La respuesta de la compañía en ese sentido es muy importante: en el caso de Marriott, hablamos de un desastre sin paliativos: la compañía notificó el problema a todos sus usuarios mediante correo electrónico, pero lo hizo desde una dirección distinta a la corporativa y completamente absurda, starwoodhotels@email-marriott.com, que podría perfectamente ser la utilizada por algún tipo de esquema de phishing y que, además, tenia un dominio registrado a nombre de otra compañía, cuya página no cargaba, y que no era seguro.

La acción de la compañía pone a los usuarios en peligro, puesto que podrían ser atacados mediante esquemas que intentasen obtener más datos desde correos similares al utilizado para esa notificación, con pequeñas variaciones.

Todo depende de nuestras prácticas de seguridad

Como puede apreciarse, el problema no termina con unas malas prácticas de seguridad, sino que evidencia que toda la seguridad de compañías que gestionan la información de muchísimos usuarios está bajo la responsabilidad de los profesionales equivocados.

A partir de ahí, todo depende de nuestras prácticas de seguridad, por ejemplo, si acostumbramos utilizar una contraseña para múltiples sitios por la dificultad de memorizar “tantas“, nos enfrentamos a otro problema: recordar en cuántos sitios hemos utilizado ese usuario y contraseña, y cambiarlas todas. Eso es lo que muchos delincuentes intentan, utilizar el usuario y contraseña que han robado de un servicio en otras páginas, idealmente en páginas en las que puedan llevar a cabo transacciones u obtener datos adicionales. El perfil típico del incauto que utiliza la misma contraseña o leves variaciones de ella en todas partes es, sin duda, el que más riesgo corre ante este tipo de problemas.

Considerando la fragilidad de muchos de los servicios en los que has abierto cuentas en los últimos años, lo más probable es que a ti también te hayan robado la contraseña en algún momento, en algún servicio, en alguna página que sufrió alguna intrusión. Puedes intentar comprobar si estás afectado introduciendo tu correo electrónico en Have I been pwned?, una página que recoge muchos de los archivos de los últimos fallos de seguridad publicados. Sin duda, lo mejor es cambiar las malas prácticas, y empezar a utilizar un gestor de contraseñas.

Si utilizamos un buen gestor de contraseñas y somos mínimamente sistemáticos, la parte del problema relativa a la contraseña se soluciona simplemente pidiendo a ese gestor que asigne otra contraseña aleatoria a esa página. Si no lo has hecho ya, hazlo. Si todavía eres de los que piensan una contraseña y la recuerdan o la apuntan, piensa que es una práctica que, por tu bien, tienes que cambiar. Las contraseñas, tal y como las conocemos en el esquema tradicional, tienen que morir.

La administración de parches protege los extremos contra amenazas. Te invitamos a conocer BMC Helix Client Management, una solución para la gestión de activos tecnológicos de tu negocio, con un punto centralizado de implementación de parches para sistemas operativos y aplicaciones, puede asegurarse de que se instalen parches en todos los sistemas para ayudar a aplicar las políticas de seguridad.

Solicita una demostración personalizada para administrar de forma activa o “configura una vez y déjalo funcionar solo”, además, distribuye parches de forma automática y simultánea
Actualiza automáticamente el catálogo de boletines de parches y vulnerabilidades

Por Enrique Dans. Consulta el artículo original en inglés.

Acelera la orquestación de procesos con una plataforma low-code

La orquestación de procesos unifica las tareas individuales para lograr una automatización de extremo a extremo. Descubre más en este post

¿Cuáles son los beneficios de una herramienta de gestión documental?

Una herramienta clave para el futuro empresarial es la gestión documental. En este artículo exploramos los beneficios de una plataforma.

Enfrentándose a la deuda técnica y el papel de una plataforma de low-code

La deuda técnica es el resultado de utilizar a tajos en el desarrollo de software que generan problemas a largo plazo, ¿Cómo se puede superar?

IT Operations Management ¿es la clave para una funcionalidad perfecta?

La gestión de operaciones de TI o IT Operations Management es la clave de la eficiencia para las organizaciones, pero ¿cómo funciona?

IA Generativa en el trabajo y los problemas de privacidad

Las herramientas de IA generativa se están convirtiendo en parte de la vida de las empresas pero conllevan problemas de privacidad y seguridad

4 etapas para lograr una transformación digital exitosa

Exploramos ¿Cómo empezar tu transformación digital si fallar en el intento?, es cuestión de paciencia y respetar las etapas del proceso.

Libérate del caos de las hojas de cálculo y los correos electrónicos con automatización

Abordamos los peligros de gestionar el trabajo con hojas de cálculo y correos electrónicos y algunos desafíos al iniciar la automatización.

ServiceOps: simplifica la complejidad y acelera la innovación con BMC Helix

Conoce ServiceOps, la fusión de la gestión de servicios y operaciones, es un enfoque que está ganando terreno entre los negocios disruptivos.

Impulsar la innovación en la era de la IA con Connected Digital Ops

Connected Digital Ops es un nueva metodología que combina diferentes enfoques para aprovechar la IA en la gestión de operaciones

Elimina el Shadow IT e impulsa el cumplimiento y la seguridad

Shadow IT implica el uso de aplicaciones no autorizadas, que puede implicar enormes riesgos de seguridad y cumplimiento, aprende a mitigarlos