¿Estás seguro que tu contraseña no ha sido robada?

¿Estás seguro que tu contraseña no ha sido robada?

Sí, seguramente a ti y muchos otros también nos han robado (o intentando robar) nuestra contraseña en algún momento. A partir del reciente anuncio de dos nuevas intrusiones que sufrió la cadena hotelera Marriott y el sitio de preguntas y respuestas Quora evidenciaron que la seguridad es una de los cuestiones más importantes de la economía digital, y sobre todo, de la necesidad de desarrollar buenas prácticas en los usuarios para evitar problemas potencialmente graves.

En el caso de Marriott, hablamos de nada menos que información referente a quinientos millones de visitantes a cadenas de hoteles, que incluyen desde nombres y direcciones, hasta números de teléfono, direcciones de correo electrónico, números de pasaporte, identificadores del programa de lealtad, fecha de nacimiento, sexo, datos de estancia, preferencias de comunicación y, en algunos casos, tarjetas de crédito con su fecha de expiración, que bien la información pudiera estar cifrada con AES128, no descartemos la posibilidad de que las claves de cifrado hayan sido robadas también. Un auténtico desastre que podría permitir desde el acceso a otras cuentas en otros servicios, hasta operaciones de robo de identidad.

El robo de contraseñas afecta a millones de usuarios

Por otra parte, la intrusión en Quora afecta a unos cien millones de usuarios; hablamos de contraseñas cifradas, nombre, direcciones de correo, datos posiblemente importados de otras redes sociales vinculadas con la cuenta, y todos los datos de acciones públicas y privadas en Quora, que podrían ser utilizados para una amplia variedad de posibilidades de perfilado en los más diversos aspectos.

Hace unos meses, Facebook también anunció el robo de información que afectaba a treinta millones de usuarios, y muchos otros ejemplos más, por tanto, ¿Qué debemos hacer en estos casos? Nuestra sensibilidad potencial a este tipo de cuestiones depende, fundamentalmente, de nuestras prácticas de seguridad.

Lo primero es averiguar qué información ha sido afectada por el robo, y suponer que esa información estará al alcance de cualquiera que quiera utilizarla para cometer algún tipo de robo o fraude. La respuesta de la compañía en ese sentido es muy importante: en el caso de Marriott, hablamos de un desastre sin paliativos: la compañía notificó el problema a todos sus usuarios mediante correo electrónico, pero lo hizo desde una dirección distinta a la corporativa y completamente absurda, starwoodhotels@email-marriott.com, que podría perfectamente ser la utilizada por algún tipo de esquema de phishing y que, además, tenia un dominio registrado a nombre de otra compañía, cuya página no cargaba, y que no era seguro.

La acción de la compañía pone a los usuarios en peligro, puesto que podrían ser atacados mediante esquemas que intentasen obtener más datos desde correos similares al utilizado para esa notificación, con pequeñas variaciones.

Todo depende de nuestras prácticas de seguridad

Como puede apreciarse, el problema no termina con unas malas prácticas de seguridad, sino que evidencia que toda la seguridad de compañías que gestionan la información de muchísimos usuarios está bajo la responsabilidad de los profesionales equivocados.

A partir de ahí, todo depende de nuestras prácticas de seguridad, por ejemplo, si acostumbramos utilizar una contraseña para múltiples sitios por la dificultad de memorizar “tantas“, nos enfrentamos a otro problema: recordar en cuántos sitios hemos utilizado ese usuario y contraseña, y cambiarlas todas. Eso es lo que muchos delincuentes intentan, utilizar el usuario y contraseña que han robado de un servicio en otras páginas, idealmente en páginas en las que puedan llevar a cabo transacciones u obtener datos adicionales. El perfil típico del incauto que utiliza la misma contraseña o leves variaciones de ella en todas partes es, sin duda, el que más riesgo corre ante este tipo de problemas.

Considerando la fragilidad de muchos de los servicios en los que has abierto cuentas en los últimos años, lo más probable es que a ti también te hayan robado la contraseña en algún momento, en algún servicio, en alguna página que sufrió alguna intrusión. Puedes intentar comprobar si estás afectado introduciendo tu correo electrónico en Have I been pwned?, una página que recoge muchos de los archivos de los últimos fallos de seguridad publicados. Sin duda, lo mejor es cambiar las malas prácticas, y empezar a utilizar un gestor de contraseñas.

Si utilizamos un buen gestor de contraseñas y somos mínimamente sistemáticos, la parte del problema relativa a la contraseña se soluciona simplemente pidiendo a ese gestor que asigne otra contraseña aleatoria a esa página. Si no lo has hecho ya, hazlo. Si todavía eres de los que piensan una contraseña y la recuerdan o la apuntan, piensa que es una práctica que, por tu bien, tienes que cambiar. Las contraseñas, tal y como las conocemos en el esquema tradicional, tienen que morir.

La administración de parches protege los extremos contra amenazas. Te invitamos a conocer BMC Helix Client Management, una solución para la gestión de activos tecnológicos de tu negocio, con un punto centralizado de implementación de parches para sistemas operativos y aplicaciones, puede asegurarse de que se instalen parches en todos los sistemas para ayudar a aplicar las políticas de seguridad.

Solicita una demostración personalizada para administrar de forma activa o “configura una vez y déjalo funcionar solo”, además, distribuye parches de forma automática y simultánea
Actualiza automáticamente el catálogo de boletines de parches y vulnerabilidades

Por Enrique Dans. Consulta el artículo original en inglés.

¿Cómo alcanzar la transformación digital con Low-Code?

Low-Code puede ser una herramienta que te ayude a no fallar en tu intento por alcanzar la transformación digital en tu empresa

Fases y mejores prácticas para la gestión de proyectos de software

En este artículo analizamos la gestión de proyectos de software incluidas cuatro fases para ayudar a tu empresa a escalar sus proyectos.

Implementa tu solución de IA Generativa con éxito

La IA generativa es una de las tecnologías emergentes más interesantes en la actualidad y podría revolucionar muchas industrias.

Primeros pasos para la automatización de servicios empresariales sin dolor

Exploramos cuál es la necesidad de automatización de servicios, cuáles son los desafíos, y cómo podemos hacerlo de manera efectiva sin dolor.

Innovaciones en la IA Generativa de BMC HelixGPT

Conoce las nuevas innovaciones de BMC HelixGPT la nueva herramienta de Inteligencia Artificial Generativa de BMC

Conoce los beneficios del nuevo BMC Helix IT Operation Management

Conoce la nueva versión de BMC Helix IT Operation Management ha mejorada sus capacidades de descubrimiento y visibilidad en el entrono de TI.

Paso a paso para lograr una digitalización exitosa

Para 87% de los CIO’s la digitalización es prioridad. Pero, el éxito de las iniciativas de transformación radica en la etapa de madurez.

Orquestación de flujos de trabajo y aplicaciones en el mercado minorista

Los grandes minoristas aprovechan el poder de la orquestación del flujos de trabajo de datos y aplicaciones para optimizar sus suministros.

Capacidades de DevOps habilitadas por Jobs-as-Code

Analizamos Jobs-as-Code como un enfoque de DevOps que ayuda a definir, programar, administrar y monitorear flujos de trabajo en producción.

Obtén visibilidad profunda del entorno de TI con el nuevo BMC Helix ITOM

BMC Helix Operations Management está repleto de nuevas innovaciones que brindan visibilidad incomparable en tiempo real del entorno de TI.