Esta tarde una preocupante noticia sacudía la red: en un foro de Rusia se habían publicado más de 6 millones de contraseñas cifradas mediante el algoritmo SHA-1 y el autor del mensaje preguntaba al resto de usuarios del sitio web cómo podía descrifrarlas. Tras la revisión de este mensaje por varios expertos en seguridad se llegó a la conclusión que estos casi 6,5 millones de contraseñas procedían de LinkedIn, algo que la red social ha confirmado horas más tarde.
Tras descifrar algunas de las contraseñas (las más débiles), las pruebas apuntaban a que el origen de esta filtración masiva era LinkedIn. Si bien solamente se habían publicado las contraseñas cifradas y no los correos electrónicos de los usuarios, ahora mismo nadie puede asegurar que quien se haya hecho con estas contraseñas no posea también los correos electrónicos de los usuarios y, por tanto, las llaves de acceso a sus cuentas.
Bajo mi punto de vista, este incidente es bastante grave porque, aunque la proporción de afectados sea baja (un 4,6% de los usuarios), deja en entredicho la seguridad de los sistemas de LinkedIn y pone en evidencia la existencia de un tremendo agujero de seguridad. En vista de esta situación, vamos a dedicar unos minutos a analizar cuáles son los riesgos que corremos con esta filtración, cómo evitarla y qué podría pasar en el futuro.
¿Cuáles son los riesgos?
Teniendo en cuenta que LinkedIn es una red social de carácter profesional y, por tanto, ahí mantenemos nuestro CV, nos relacionamos con potenciales clientes, hacemos valer nuestra candidatura y nuestro perfil y, en definitiva, estamos promocionando nuestra marca personal; que alguien se haga con las credenciales de acceso a nuestra cuenta y nos suplante puedeafectar negativamente a nuestra reputación (aunque luego demos las explicaciones pertinentes) y se puede armar un buen lío si alguien se dedica a importunar usando nuestra cuenta.
Pero los riesgos pueden aumentar si, además, utilizamos la misma contraseña para todos los servicios que utilizamos (Facebook, Twitter, Gmail, etc) puesto que si usamos las mismas credenciales, los perfiles que mantengamos en otros servicios también estarán en riesgo y podrían caer como un castillo de naipes.
¿Qué podemos hacer para saber si estamos afectados?
LinkedIn, como medida preventiva tras confirmar que las cuentas publicadas son realmente de usuarios del servicio, ha bloqueado las cuentas afectadas con la idea de que los usuarioscambien las contraseñas por unas mucho más seguras. Los afectados recibirán un correo electrónico indicando que deben cambiar la contraseña debido a esta filtración y se les indicará cómo hacerlo pero no se les enviará, por seguridad, ningún tipo de enlace.
De todas formas, si no estamos seguros y no queremos esperar a que nos llegue o no un correo, un grupo de desarrolladores ha creado una aplicación llamada LeakedIn en la que podemos introducir nuestra contraseña para que la aplicación calcule el hash y lo busque en el listado de los más de 6 millones de contraseñas expuestas. ¿Poner nuestra contraseña en el servicio de un tercero? Aunque alguien podría pensar que la aplicación es una trampa, el cálculo del hash se realiza mediante un javascript y una vez se ha calculado, entonces se envía la contraseña cifrada para realizar la comparación.
Aún así, tampoco es una mala práctica cambiar nuestra contraseña de vez en cuando, a ser posible una contraseña distinta en cada servicio que utilicemos y eligiendo una cadena de caracteres segura. El equipo de Gmail, sensible a que los usuarios suelen mantener las mismas contraseñas en todos sus perfiles, ha publicado en su perfil de Google+ un mensaje en el que insta a los usuarios a mantener contraseñas distintas y activar la verificación en 2 pasos para reforzar la seguridad de nuestra cuenta.
¿Qué hará LinkedIn?
LinkedIn debería tomar este asunto seriamente porque es bastante grave, máxime si le sumamos el agujero de seguridad que se ha encontrado también en su aplicación móvil (tanto en iOS como en Android). La aplicación móvil de LinkedIn se integraba en el calendario del teléfono y se llevaba toda la información de éste, aunque no estuviese vinculada a la aplicación.
Por ahora, se han tomado bastante tiempo en verificar que la filtración de contraseñas (y quién sabe si de correos electrónicos) era real y entre que informaron que estaban investigando hasta que confirmaron que la filtración era real habían transcurrido 6 horas.
Estos dos hechos ponen de manifiesto que la compañía parece no prestar la suficiente atención a la seguridad de la información que maneja y, la verdad, es algo que debería comenzar a preocuparles. No sé si llegarán a explicar cómo ha podido ocurrir todo esto pero los más de 6 millones de afectados se merecen una explicación de los sucedido.
0 comentarios:
Publicar un comentario