CONTRASEÑAS: IMPORTANCIA, SEGURIDAD E INSEGURIDADES QUE SOLO SE VALORAN CUANDO SE HA SUFRIDO UN ATAQUE

La contraseña de seguridad es y sigue siendo un factor crítico y su importancia, por desgracia, sólo se reconoce después de haber sufrido un ataque o detectado una brecha de datos que haya permitido la violación de la información. Es fundamental que la industria de la seguridad TI incida en este aspecto y fomente una concienciación que cambie la mentalidad de usuarios y público en general sobre como gestionar sus nombres de usuario y contraseñas, tal y como explica Jonathan Leopando, de Trend Micro.

Junio está siendo un mes de los peores en cuanto a seguridas y violación de contraseñas. La semana pasada, tres grandes sitios y redes, Linkedin, eHarmony y last.fm, sufrieron importantes fugas de información, que han llevado a la publicación de millones de contraseñas de los usuarios. A principios de esta semana, se reveló que el juego League of Legends también había sufrido su propio capítulo de fallos, que ha supuesto que los datos de los clientes, incluyendo contraseñas, salieran a la luz pública.

¿Qué hemos aprendido con estos incidentes sobre la seguridad de las contraseñas?, se pregunta, Jonathan Leopando, técnico de comunicaciones de Trend Micro: que la gente sigue utilizando contraseñas lamentablemente inseguras. Demasiadas personas siguen utilizando contraseñas muy cortas como 1234, o las palabras que son demasiado cortas o previsibles (por ejemplo: job o LinkedIn). Incluso algunas contraseñas que a primera vista parecen seguras, luego serán simples de adivinar: nombres y combinaciones de sitios como davidlinkedin, javierlinkedin; relacionados con el sitio. También juegos de palabras como leakedin linkedout formaban parte de la lista.

Los atacantes tienen ahora una cantidad abrumadora de potencia de proceso a sus disposición gracias a las GPU, que pueden ser fácilmente convertidas en herramientas para llevar a cabo ataques de fuerza bruta. Esto hace que el almacenamiento seguro de contraseñas sea actualmente un tema de debate que involucra tanto a investigadores de seguridad como a administradores de TI. Sin embargo, esto es algo sobre lo que los usuarios no tienen control.

En la siguiente infografía, Trend Micro ofrece información sobre los detalles relacionados con incidentes de seguridad de contraseñas y otras estadísticas del fraude online. Así, están:

  • No gestionar adecuadamente tus credenciales online es como jugar al póker realizando altas apuestas. Si no juegas bien tus cartas el juego termina. Echa un vistazo a algunos de los riesgos a los que te debes enfrentar cuando tu información personal no es tan privada como creías.
  • Por lo menos, cada usuario gestiona unas 10 cuentas online de media.
  • El ataque llevado a cabo contra Sony en mayo de 2011, en el que se robaron miles de contraseñas y otros datos de los usuarios, supuso para la compañía un coste de unos 171 millones de dólares.
  • El 33% de los usuarios guardan sus contraseñas en un archivo .DOC/.TXT.
  • Los ladrones de datos te robarán a ciegas. Los ladrones de datos como ZeuS están diseñados para obtener y retener información de las redes sociales y otras credenciales de registro de la cuenta.
  • Trend Micro cuenta con 221.000 detecciones de spyware activo.
  • Estados Unidos continúa siendo el país que más phishing aloja.
  • El 10% de los usuarios tiene una única contraseña para todas sus cuentas online.
  • Las amenazas Web ¡siempre suben la apuesta! Abundan los patrones de ingeniería social que tratan de sonsacar las contraseñas y credenciales de los usuarios. Correos electrónicos que supuestamente proceden de grandes compañías, los aka phishing emails se han convertido, de hecho, en algo demasiado común.
  • Paypal fue el sitio que más estafas de phishing sufrió en enero de 2012, con 13.000 URLs falsas.

Estadísticas sobre fraude online

  • La identidad de una persona es robada cada 3 segundos.
  • Los costes de tarjetas de crédito de fraudulentas y las cuestiones relacionadas con tarjetas de crédito suponen para los emisores y propietarios más de 500 millones de dólares al año.
  • Un hacker conocido como “Soldier” robó 3,2 millones de dólares de las mayores compañías estadounidenses en septiembre de 2011 utilizando ZeuS y SpyEye.
  • En 2010, unos 8,1 millones de adultos de Estados Unidos sufrieron la pérdida de un total de 37.000 millones de dólares.

Lo que si pueden hacer los usuarios es mejorar las contraseñas que utilizan. Y las recomendaciones de Trend Micro son las siguientes:

Frases, no palabras: tener una contraseña más larga es una parte esencial de la mejora de las contraseñas de usuario. De diez a doce caracteres es un buen comienzo; para los sitios más sensibles como los bancos, es recomendable emplear contraseñas más largas. Por supuesto, si tus palabras claves son tan largas deberías usar frases claves en vez de palabras. Palabras excesivamente largas como Supercalifragilisticoespialidoso pueden ser un poco difíciles de recordar con precisión.

Lo más seguro es que cometamos algún fallo. Elige frases completamente al azar, o incluso sin sentido, que puedas recordar de alguna manera… de forma creativa y personal, y que se mantengan alejadas de contraseñas potenciales como nombres de películas y otros asuntos de la cultura pop de hoy.

Por ejemplo,”ZombiesWantBrains” probablemente no sería una buena contraseña. Una frase más adecuada, más aleatoria, sería “ComputerSwimmingMelonLamp”.

Reciclar es bueno menos para las contraseñas: Hagas lo que hagas, no recicles contraseñas. Como mínimo, una contraseña descubierta será añadida a la lista de contraseñas conocidas que los atacantes podrían utilizar en primer lugar. Si el nombre de usuario se vio también comprometido, entonces el atacante podría ser capaz de tener una combinación de nombre de usuario + contraseña que utilizará en otros lugares. Resumiendo: no reciclar la misma contraseña en varios sitios.

Por supuesto, estos consejos se basan fundamentalmente en las limitaciones y dificultades que tenemos la mayoría de las personas a la hora de recordar las contraseñas. Gestores de contraseñas, como por ejemplo Trend Micro DirectPass, también pueden ayudar a reducir la carga sobre los usuarios almacenando las contraseñas de estos. Además de almacenar las contraseñas en la nube hacen que estas sean accesibles mediante múltiples dispositivos, ya sean PCs, smartphones o tabletas.

Fuente: http://www.itseguridad.es/