¿Estás seguro que tu contraseña no ha sido robada?

¿Estás seguro que tu contraseña no ha sido robada?

Sí, seguramente a ti y muchos otros también nos han robado nuestras contraseñas en algún momento.

A partir del reciente anuncio de dos nuevas intrusiones que sufrió la cadena hotelera Marriott y el sitio de preguntas y respuestas Quora evidencian que la seguridad es una de los cuestiones más importantes de la economía digital, y sobre todo, de la necesidad de desarrollar buenas prácticas en los usuarios para evitar problemas potencialmente graves.

En el caso de Marriott, hablamos de nada menos que información referente a quinientos millones de visitantes a cadenas de hoteles, que incluyen desde nombres y direcciones, hasta números de teléfono, direcciones de correo electrónico, números de pasaporte, identificadores del programa de lealtad, fecha de nacimiento, sexo, datos de estancia, preferencias de comunicación y, en algunos casos, tarjetas de crédito con su fecha de expiración, que bien la información pudiera estar cifrada con AES128, no descartemos la posibilidad de que las claves de cifrado hayan sido robadas también. Un auténtico desastre que podría permitir desde el acceso a otras cuentas en otros servicios, hasta operaciones de robo de identidad.

Por otra parte, la intrusión en Quora afecta a unos cien millones de usuarios; hablamos de contraseñas cifradas, nombre, direcciones de correo, datos posiblemente importados de otras redes sociales vinculadas con la cuenta, y todos los datos de acciones públicas y privadas en Quora, que podrían ser utilizados para una amplia variedad de posibilidades de perfilado en los más diversos aspectos.

Tal vez te interese Patch o no Patch: lo último en combatir las vulnerabilidades

Hace unos meses, Facebook también anunció el robo de información que afectaba a treinta millones de usuarios, y muchos otros ejemplos más, por tanto, ¿Qué debemos hacer en estos casos? Nuestra sensibilidad potencial a este tipo de cuestiones depende, fundamentalmente, de nuestras prácticas de seguridad.

Lo primero es averiguar qué información ha sido afectada por el robo, y suponer que esa información estará al alcance de cualquiera que quiera utilizarla para cometer algún tipo de robo o fraude. La respuesta de la compañía en ese sentido es muy importante: en el caso de Marriott, hablamos de un desastre sin paliativos: la compañía notificó el problema a todos sus usuarios mediante correo electrónico, pero lo hizo desde una dirección distinta a la corporativa y completamente absurda, starwoodhotels@email-marriott.com, que podría perfectamente ser la utilizada por algún tipo de esquema de phishing y que, además, tenia un dominio registrado a nombre de otra compañía, cuya página no cargaba, y que no era seguro.

La acción de la compañía pone a los usuarios en peligro, puesto que podrían ser atacados mediante esquemas que intentasen obtener más datos desde correos similares al utilizado para esa notificación, con pequeñas variaciones. Como puede apreciarse, el problema no termina con unas malas prácticas de seguridad, sino que evidencia que toda la seguridad de compañías que gestionan la información de muchísimos usuarios está bajo la responsabilidad de los profesionales equivocados.

A partir de ahí, todo depende de nuestras prácticas de seguridad, por ejemplo, si acostumbramos utilizar una contraseña para múltiples sitios por la dificultad de memorizar “tantas“, nos enfrentamos a otro problema: recordar en cuántos sitios hemos utilizado ese usuario y contraseña, y cambiarlas todas. Eso es lo que muchos delincuentes intentan, utilizar el usuario y contraseña que han robado de un servicio en otras páginas, idealmente en páginas en las que puedan llevar a cabo transacciones u obtener datos adicionales. El perfil típico del incauto que utiliza la misma contraseña o leves variaciones de ella en todas partes es, sin duda, el que más riesgo corre ante este tipo de problemas.

Considerando la fragilidad de muchos de los servicios en los que has abierto cuentas en los últimos años, lo más probable es que a ti también te hayan robado la contraseña en algún momento, en algún servicio, en alguna página que sufrió alguna intrusión. Puedes intentar comprobar si estás afectado introduciendo tu correo electrónico en Have I been pwned?, una página que recoge muchos de los archivos de los últimos fallos de seguridad publicados. Sin duda, lo mejor es cambiar las malas prácticas, y empezar a utilizar un gestor de contraseñas. Si utilizamos un buen gestor de contraseñas y somos mínimamente sistemáticos, la parte del problema relativa a la contraseña se soluciona simplemente pidiendo a ese gestor que asigne otra contraseña aleatoria a esa página. Si no lo has hecho ya, hazlo. Si todavía eres de los que piensan una contraseña y la recuerdan o la apuntan, piensa que es una práctica que, por tu bien, tienes que cambiar. Las contraseñas, tal y como las conocemos en el esquema tradicional, tienen que morir.

Por Enrique Dans. Consulta el artículo original en Forbes.com
No doubt about it: your password’s been stolen”.

Tipos de plataformas low-code

En el siguiente blog analizamos diferentes desafíos que atraviesan las empresas y los tipos de herramientas low-code que pueden ayudarte.

Transformación digital con ayuda de Low-Code

La transformación digital implica muchos desafíos, pero con ayuda de Low-code podemos superar estos problemas y abrir el camino para el cambio

5 consejos para elegir la suite de Gestión de Procesos de Negocio (BPM)

El enfoque de suite de gestión de procesos empresariales ayuda en el ciclo de vida de mejora de procesos como analizamos en este blog.

Plataforma de código abierto low-code, qué es y cuáles son sus ventajas

En el siguiente blog exploramos la definición de las plataformas de código abierto low-code, sus ventajas y desventajas

Plataformas no-code frente a los problemas de TI

Ingresa en nuestro blog para aprender cómo las plataformas no-code ayudan a resolver los problemas en los departamentos de TI

Características de los sistemas de low-code qué los hace mejores

En el siguiente blog hablamos sobre el impacto de los sistemas low-code en el desarrollo de aplicaciones y sus ventajas en los negocios

6 puntos clave para elegir la plataforma RAD adecuada

El siguiente blog analizamos el desarrollo de aplicaciones RAD y las características que debe tener para tu negocio.

No-code: qué es y cómo aplicarlo en el desarrollo sin código

Con la llegada de la programación no-code, diseñar las soluciones que tu empresa necesita es más fácil, descubre cómo lograrlo en este post

Los 6 principales desafíos en adquisiciones que enfrentan las empresas

En este blog analizamos los principales problemas en el área de adquisiciones que enfrentan las empresas de todos los tamaños

7 beneficios de implementar el desarrollo ciudadano

Con el desarrollo ciudadano tu empresa puede eliminar los cuellos de botella y reducir la carga de trabajo de TI. Descubre más en este blog