Vulnerabilidad de las cuentas en internet

A finales de mayo, los usuarios de la red social Linked-In recibieron un correo

en el que esa empresa informaba que datos de sus usuarios robados en el
2012 se haban publicado en Internet. Linkedln dijo que se trataba de
direcciones de correo electrnico y contraseas no revel cuntas, pero aclar
que las contraseas estaban codificadas. El lecho de que estuvieran cifradas
deba tranquilizar a la gente; daba a entender que no haba peligro a corto
plazo. Pero sabe cunto le toma a un hacker descifrar los 177 millones de
passwords que hoy sabemos que se robaron?
El primero de junio, el experto en seguridad Jeremi Gosney relat as su
experiencia en una columna publicada en Ars Technica: "Cont con la suerte de
tener en mis manos los datos de Linkedln una semana despus del anuncio.
Usando un nico computador Sagitta HPC Brutalis, dotado con 8 tarjetas
grficas Nvidia GTX Titan X, logr recuperar 85 por ciento de las contraseas el
primer da". Gosney asegura fue el cuarto da ya tena 90 por ciento Je los
passwords; y el sexto, trabajando en llave con otro equipo de gente experta en
romper contraseas, haba descifrado el 98 por ciento.
Esto significa que, si usted no ha tomado medidas para contener el dao
producido por el colosal robo de datos Je Linkedln, corre un riesgo alto de que
le 'hackeen' ms de una cuenta en Internet. Porque apostamos doble contra
sencillo a que usted utiliza su contrasea de Linkedln en ms de un servicio
web.
El 60 por ciento de las personas utiliza las mismas contraseas en varios sitios
web, segn un estudio publicado el ao pasado por Password Boss (un
administrador de contraseas); la razn es la dificultad que tienen para
recordar la gran cantidad de claves con las que se debe lidiar hoy en da. Pese
a ello, 54 por ciento de las personas estn de acuerdo en que este es un mal
hbito que deben cambiar.
El mes pasado tuvimos un buen ejemplo del porqu. A comienzos de junio,
cuando la mayora de usuarios de Linkedln todava no haba entendido la
magnitud del problema, los medios de comunicacin revelaron que fueron
'hackeadas' las cuentas en redes sociales de varias celebridades, entre ellas la
cantante Katy Perry, que temporalmente perdi el control de una cuenta de
Twitter con 90 millones de seguidores. Ellos quedaron asombrados por los
trinos racistas e insultos que supuestamente estaba enviando la artista. Pero lo
ms sorprendente es que Mark Zuckerberg, el fundador y presidente de
Facebook, y un experto en tecnologa, fue otra de las vctimas. No penetraron
en su cuenta de Facebook, pero s tomaron el control de cuentas suyas en
Twitter, Instagram y Pinterest. Rpidamente fue evidente que el robo de datos
en Linkedln, sumado al hecho de reutilizar las contraseas, era la causa de
estos ataques exitosos.

Su seguridad depende de usted

A mediados de mayo se supo que se haban puesto en venta millones de
direcciones de correo y contraseas de Linkedln, que haban sido robadas en
un ataque realizado en el 2012. Pareca una noticia vieja, hasta que se conoci
la cantidad de datos robados. Hace cuatro aos, Linkedln haba dicho que se
haban apoderado de los datos de 6,4 millones de personas, pero en mayo del
2016 qued claro que esa empresa no saba o no inform que en realidad
eran los datos de 177 millones de cuentas, es decir, de la totalidad de los
usuarios que tena Linkedln en el 2012.
Como si eso no fuera suficientemente grave, Linkedln cometi otro pecado
mortal: utiliz una tecnologa dbil que permiti que las contraseas se
descifraran fcilmente. As consiguieron los delincuentes los passwords que
permitieron 'hackear' las cuentas de las celebridades. Y el alcance de estos
errores podra ser mayor, segn Jeremi Gosney, quien dice en Ars Technica:
"Los datos han estado en la Dark Web durante 4 aos.
Si los profesionales en romper contraseas pudimos llevar estos datos al 98
por ciento (de contraseas recuperadas) en seis das, seguramente los que
han tenido aos para trabajar consiguieron un xito similar. Quin sabe para
qu han usado esos datos. Si usted tena una cuenta de Linkedln en el 2012 y
desde entonces ha sido vctima de un intento de 'hackeo' o de un robo de
identidad, esa bien podra ser la razn".
Para los delincuentes que han comprado los datos de Linkedln es muy fcil
tomar ahora el control de otras cuentas, como hicieron con las de Mark
Zuckerberg. Basta con que usen la misma direccin de correo y el mismo
password de un usuario de Linkedln en otros servicios (Facebook, Netflix,
PayPal, Amazon, Twitter).
Luego de estos incidentes, quedaron claras dos cosas. Primero, que la
seguridad de los usuarios depende en buena medida de s mismos.
Como incluso sitios web del nivel de Linkedln tienen fallas de seguridad que
hacen vulnerables los datos privados, el usuario debe evitar el error de usar las
mismas contraseas en ms de un sitio web. Para los delincuentes que han
comprado y descifrado los datos de Linkedln es muy fcil tomar ahora el control
de otras cuentas, como hicieron con las de Mark Zuckerberg y Katy Perry.
Basta con que usen la misma direccin de correo electrnico y el mismo
password de un usuario de Linkedln en otros servicios (Facebook, Netflix,
PayPal, Amazon, Twitter) y las posibilidades de que acierten son altas porque
muchas personas deben haber usado la misma combinacin de datos que
tenan en Linkedln.

Lo segundo es que la seguridad de nuestras cuentas en Internet ahora es ms

dbil. Gosney afirma que un robo de datos de semejante magnitud les da a los
hackers una cantidad enorme de informacin sobre el tipo de contraseas que
usan las personas; esto permite que en adelante los programas que se usan
para violar contraseas (password crackers) sean mucho ms poderosos.
Cuanta ms informacin sobre contraseas del mundo real tienen esos
programas en sus diccionarios y listas de palabras, ms efectivos son. Por eso,
los 177 millones de registros que quedaron al descubierto convierten este en
uno de los robos de informacin ms dainos en la historia de Internet.
Segn Gosney, en los primeros aos de Internet los password crackers soto
contaban con informacin de unos cuantos miles de passwords reales, hasta
que en el 2009 se filtraron en Internet 32 millones de contraseas robadas al
servicio RockYou. Esto, dice Gosney, coincidi con otro gran avance en ese
campo: se empezaron a usar los procesadores grficos (GPU) de los
computadores para descifrar las contraseas, lo que permiti multiplicar por 10
la velocidad en esa tarea frente al rendimiento cuando se usa un procesador
comn. Hoy se emplean computadores que tienen varias GPU muy poderosas
trabajando de forma paralela.

"Gracias a servicios como Linkedln, que fueron negligentes al no emplear

tcnicas seguras de hashing (ms adelante explicaremos ese trmino), los
hackers han tenido oportunidades fantsticas para recoger y analizar
cantidades masivas de datos sobre contra-seas. Cuando todos estos datos

estn disponibles de forma pblica, cualquier password cracker debera ser

capaz de descifrar 80 o 90 por ciento de las contraseas", dice.
A continuacin le explicaremos por qu sus cuentas en Internet son cada da
ms vulnerables y qu puede hacer para disminuir los riesgos.

Algunos sitios protegen mal sus contraseas

No todos los sitios web protegen sus contraseas de la misma forma. Algunos
sitios carecen de seguridad, conocen las contraseas de sus usuarios y las
guardan sin cifrado alguno. Esos sitios, fuera de concurso en mediocridad, son
aquellos que, cuando usted olvida su contrasea, se la mandan en un texto por
correo. Uno pensara que deben quedar pocos sitios que funcionan as hoy en
da, pero un artculo publicado en The Huffington Post en el 2015 alert sobre
la gran cantidad de sitios web que todava guardan las contraseas como texto
simple. Segn The Huffington Post, 2.700 sitios web haban sido reportados
entre el 2011 y el 2015 en Plain Text Offenders (plaintextoffenders.com), un
servicio que expone pblicamente a las compaas que tienen semejante
debilidad (las personas que quieren denunciar esa prctica mandan imgenes
de los correos que reciben con sus contraseas en texto). Lo sorprendente,
dice The Huffington Post, es que en la lista de Plain Text Offenders han
aparecido compaas de la talla de Fedex, The New Yorker, Office Depot,
Sprint, AT&T y Macy's.
Pero dejemos de lado los sitios que siguen en la Edad de Piedra. Los dems
sitios web, los serios, guardan las contraseas de sus usuarios no como textos
planos, sino como una enorme coleccin de hashes. De hecho, cuando un sitio
como Linkedln dice que sus contraseas estn cifradas no se refiere
exactamente a que estn encriptadas, sino a que se han pasado por una
funcin matemtica que las convierte en una serie de caracteres que no tienen
sentido (eso es un hash).
Un artculo de la revista Wired explica que un hash es una funcin matemtica
que trabaja en un solo sentdo: es fcil de ejecutar, pero imposible darle
reversa. Y lo que hace es convertir la contrasea de cada usuario en una
secuencia de nmeros y letras que no tiene parecido alguno con el password
original (un hash es algo as como esto: 410ebj2204gb8bf4). Eso es lo que
guardan los sitios web serios: el hash de su contrasea, ya que ellos en
realidad no conocen su password. Cada vez que

usted introduce su contrasea para ingresar en un servicio web, se genera un

nuevo hash que simplemente se compara con el hash de su password que
tiene guardado el sitio; si coinciden, le permiten entrar a su cuenta. Los hackers
que han robado datos en sitios como Linkedln sustraen eso: los hashes de las
contraseas de los usuarios. Pero hay un problema: no todas las tecnologas
de hashing son igual de fuertes. Algunas son tan dbiles que permiten
averiguar las contraseas originales en unos pocos das, como sucedi con
Linkedln. Otras tcnicas de hashing ofrecen un margen de seguridad superior,
lo cual le da tiempo al sitio para tomar medidas de proteccin, como avisar a
sus usuarios del ataque y forzar un cambio de contrasea la prxima vez que
ingresen al sitio (Linkedln ha estado haciendo eso estos das).
Wired dice que el tipo de hashing que se utilice para cifrar los passwords puede
ser la diferencia entre tener a los delincuentes con un revuelto de textos que
pueden tardar mucho tiempo en descifrar o ver esos hashes convertidos en
contraseas utilizables en cuestin de das u horas.

Cmo las descifran los hackers

Segn Wired, incluso para los hackers es casi imposible darles reversa a los
hashes de las contraseas que han robado. Lo que ellos hacen es utilizar
programas -password crackers-que prueban millones de contraseas que se
pasan por el mismo algoritmo matemtico empleado por el sitio 'hackeado., y
luego los hashes generados se comparan con los que fueron robados; cada
vez que hay una coincidencia, el hacker ha recuperado una contrasea. Eso
sucede a un ritmo de millones por da, como se explic al comienzo de este
artculo.
Por eso es crucial que los sitios web usen tcnicas de hashing fuertes, como
Bcrypt, Scrypt y Argon2, que son recomendadas por los expertos en seguridad.
Linkedln no lo hizo: un artculo del sitio Krebs on Security afirma que la
tecnologa que usaba Linkedln cuando se produjo el robo de datos en el 2012
era SHA-1, que incluso en ese tiempo estaba por debajo del estndar requerido
en Internet. Adicionalmente, los datos no se haban 'salado', lo cual habra
protegido mejor a los usuarios. Salar las contraseas es agregarles de forma
aleatoria datos que son nicos para cada una; esa es la prctica recomendada
hoy en da para los sitios web. Krebs on Security explica que los hashes tienen
la debilidad de ser estticos; es decir, una contrasea siempre producir el
mismo hash empleando la misma tecnologa. "Al agregar un elemento nico o
sal- a la contrasea de cada usuario, los administradores les complican las
cosas a los atacantes que roben los hashes y traten de descifrarlos con
herramientas automatizadas", dice el sitio. El sitio Naked Security, del
fabricante de antivirus Sophos, explica as la seguridad que ofrece el 'salado'
de las contraseas: "Incluso si dos usuarios escogen el mismo password, su
'sal' ser diferente, as que los hashes resultantes sern distintos". Adems,

hay tecnologas de hashing que ejecutan la funcin matemtica con la

contrasea no solo una vez, sino que lo hacen una y otra vez, miles de veces,
generando as un hash final mucho ms difcil de descifrar.
Naked Security dice que al usar tecnologas de hashing como Bcrypt y Scrypt,
que incluyen salado, "se entorpecen los intentos de descifrar las contraseas
empleando listas de diccionario, sin demorar de forma perceptible el ingreso de
los usuarios legtimos a sus cuentas". Krebs on Security afirma que Linkedln
agreg 'sal' a los hashes de sus contraseas, pero lo hizo despus del robo del
2012. "Si usted no ha cambiado su contrasea desde el 2012, su password
puede no estar protegido por el 'salado' ", dice el sitio.

Demasiado vulnerables
Ahora bien, si las nuevas tcnicas de hahing son ms seguras, por qu
decimos al comienzo de este artculo que las cuentas en Internet son cada da
ms vulnerables? La primera razn es que no todos los sitios web usan
tcnicas de hashing fuertes. La segunda: que los hackers hoy tienen
demasiada informacin sobre las contraseas que se emplean en el mundo
real; y eso, combinado con el poder del hardware actual, fortalece los programas que se emplean para quebrar passwords. La tercera: que ya hay
cientos de millones de contraseas en manos de los delincuentes, quienes las
pueden usar para ingresar a las cuentas de los usuarios que no hayan
cambiado sus passwords.
Lee Munson, investigador senior de la firma Comparitech.com, le dijo a la
revista para profesionales de seguridad SC Magazine: "Ya sea que estemos
hablando de Linkedln o de cualquier otra compaa, de tecnologa o no, los
clientes nunca deberan presumir que sus datos estn completamente seguros.
Aunque algunas empresas se toman la seguridad ms en serio que otras, el
hecho es que los atacantes siempre estn un paso adelante, as que el nombre
del juego es mitigacin, no prevencin".
Infortunadamente, el caso de Linkedln es solo uno de varios. El sitio web Troy
Hunt.com destac a finales de mayo que solo durante ese mes se haban
puesto en venta 642 millones de contraseas robadas en cuatro sitios web muy
populares. Aparte de las 177 millones de Linkedln, en mayo se pusieron en
venta 360 millones de contraseas que haban sido robadas de la red social
MySpace en el 2013; sin embargo, esos datos son menos valiosos para los
hackers que los de Linkedln porque estas contraseas haban sido pasadas
todas a minsculas y quedaron truncadas en 10 caracteres.
Otros paquetes de datos que se pusieron en venta en mayo fueron 65 millones
de contraseas del sitio de blogs Tumblr (robadas en el 2013) y 40 millones del
sitio de citas Fling (robadas en el 2011). Troy Hunt, quien es experto en
seguridad y director regional de Microsoft, llama la atencin sobre dos hechos

preocupantes: se trata de robos de hace varios aos (los datos llevaban mucho
tiempo por ah) y los cuatro casos se ubicaron en la lista de los seis mayores
robos de datos reportados en toda la historia en el sitio Have I Been Pwned?
(es un sitio de Hunt del que hablaremos ms adelante). "Esto demuestra que
los proveedores de servicios son incapaces de detectar las violaciones o estn
dispuestos a mantenerlas en secreto aos despus de que han sido
descubiertas", dice sobre el tema Dan Doodin, editor de temas de seguridad de
Ars Technica.
Los expertos en seguridad suelen recomendar el uso de un administrador de
contraseas. Estos son programas que se integran con su navegador web, y
que generan y guardan contraseas muy seguras, que estn muy bien
protegidas y que son diferentes para cada uno de los sitios web que usted
utiliza.

Las consecuencias ya estn a la vista ms all de los ataques a Mark

Zuckerberg y Katy Perry, que son anecdticos. El sitio CSO, que ofrece noticias
sobre seguridad y administracin de riesgos, inform el 20 de junio que los
datos de Linkedln han sido ligados a varios incidentes confirmados, y dijo que
estos "son solo la punta del iceberg, ya que muchas de las organizaciones
comprometidas son proveedores de servicios con acceso a las redes de los
clientes".
CSO dijo que el 18 de junio la empresa Citrix public una alerta sobre un
incidente que forz a esa compaa a resetear las contraseas de todos los
clientes. Al da siguiente, Citrix dijo que poda confirmar que el incidente se
deba a que "los atacantes usaron nombres de usuario y contraseas filtradas
de otros sitios para acceder a las cuentas de GoToMyPC (un software de
acceso remoto de esa empresa)".
El artculo de CSO cita fuentes annimas que informaron de varios casos, en
los que se est trabajando para determinar el alcance de los problemas. Dice
adems que "las organizaciones que han sido blanco de los ataques operan en
manufactura, ventas minoristas y otros sectores. El hilo conductor en cada caso
es la lista de Linkedln, polticas de contraseas genricas, la ausencia de
autenticacin de dos pasos y software de servicios como GoToMyPC, LogMeln
y TeamViewer". Varias empresas se han tomado muy en serio estas
filtraciones, entre ellas Netflix, Reddit y LogMein, que en las ltimas semanas
han enviado a miles de sus usuarios peticiones para que cambien sus
contraseas, por temor a que estn comprometidas en las fugas recientes de
datos.

Y ahora qu hacemos?
Ahora que entiende bien los peligros a los que est expuesto, la primera
medida que debe tomar, si tiene una cuenta de Linkedln, es obvia: cambie
inmediatamente la contrasea en ese sitio web. Adems, tiene que pensar en
qu otros sitios web ha utilizado el mismo password para cambiarlo tambin
all. Recuerde que sus datos (la combinacin de correo electrnico y
contrasea de Linkedln) estn hace rato en manos de delincuentes. Haga los
cambios primero en los sitios web en donde el impacto podra ser mayor. Por
ejemplo, sus cuentas en Amazon, PayPal, iTunes Store y otros servicios que
tienen sus nmeros de tarjeta de crdito. Hay un sitio web muy til que debera
visitar: Have I Been Pwned?

(haveibeenpwned.com). Al introducir un correo electrnico en ese sitio, este le

avisa si servicios web en los que usted usa esa direccin han sufrido robos de
datos. El dao es fcil de contener siempre y cuando esas contraseas no se
utilicen en ningn otro sitio web. Es importante que se cree una contrasea
fuerte: es decir, que no use palabras del mundo real, que sea larga (12 o 14
caracteres hacia arriba) y que incluya maysculas, nmeros y caracteres
especiales. Pero tambin debe ser fcil de recordar. No parece fcil cumplir con
todos esos requisitos (no lo es), pero usted puede crear un mtodo propio que
le garantice que sus contraseas sean fuertes, nicas y fciles de recordar.
Cuanto ms fuerte sea la contrasea, ms tiempo le tomar a un hacker
descifrarla en caso de que haya logrado robar los hashes de tos passwords de
un sitio web. Dedique un tiempo a crear un mtodo y ver que no es tan

complicado como parece. Hay una nota en el portal ENTER.00 en donde

explico cmo hacerlo (bit.ly/lZwBBip).
Lo esencial es que no utilice contraseas obvias, pues esas ya estn en las
listas de palabras o diccionarios que utilizan los hackers para descifrar
contraseas, y que contienen cientos de millones de opciones. Tampoco
debera construir sus contraseas usando los patrones habituales (la
mayscula al comienzo, las minsculas en la mitad y los nmeros o caracteres
especiales al final) porque eso tambin lo tienen en cuenta password crackers
como Hashcat (es uno de los programas ms usados por los expertos y
hackers para descifrar contraseas). Las contraseas deben crearse con
caracteres aleatorios, que no sigan patrones comunes y cuanto ms largas,
mejor. En la nota anexa 'Password crackers: difciles de vencer' entender por
qu es tan importante seguir estas recomendaciones.

No reutilice las contraseas

La otra recomendacin, quiz ms importante, es que NO reutilice las
contraseas, al menos no en los sitios web importantes. As evitar que cuando
un servicio web que usted emplea sea 'hackeado', otras de sus cuentas estn
en peligro. Lo ideal sera tener contraseas nicas para cada sitio, pero eso
parece imposible debido a la enorme cantidad de sitios en los que uno se
registra. Por eso, es crucial que al menos sean nicas las de sus cuentas
importantes: por ejemplo, los sitios en donde maneja su dinero (cuentas
bancarias, fondo de cesantas y pensiones, PayPal, Amazon, iTunes Store,
etc.), sus cuentas de correo electrnico personales y corporativas (y cualquier
correo desde donde se pueda resetear el password de alguno de los servicios
que usa) y sus redes sociales (Linkedln, Facebook, Twitter), entre otras. Debe
dedicar un tiempo a pensar en esa lista.
Usar la verificacin de dos pasos en todas las cuentas de Internet que lo
permitan es la forma ms eficaz de protegerlas. Al activar esa opcin, el acceso
a las cuentas requiere algo que el usuario sabe (su contrasea) y algo que
tiene (su telfono).
Cormac Herley y Dinei Florencio, investigadores de Microsoft, publicaron en el
2014 un reporte en el que dan ese consejo. Ellos dicen que un usuario activo
puede tener ms de 100 cuentas protegidas por contraseas en Internet, y es
ingenuo creer que estas se van a resguardar con 100 passwords fuertes y
nicos. Por eso, dicen, es ms realista que, como parte de una estrategia de
manejo de contraseas, las cuentas se agrupen en las de alto valor y las de
bajo. Y opinan que es razonable que se reutilicen contraseas en las que no
tienen mayor valor ni datos importantes sobre usted. La clave es crear con
cuidado la lista para no reutilizar contraseas en Las cuentas de alto valor.

De todas formas, pueden ser muchas cuentas importantes; entonces, cmo

se evita olvidar tantas contraseas? Algunos expertos recomiendan algo que
puede sonar contraintuitivo, pero que tiene sentido: que las anote en un archivo
protegido por una contrasea muy fuerte. Otra manera es escribir pistas que
nos ayudan a recordar cules eran, y guardar esas pistas en un archivo
encriptado con un password muy fuerte -de casi 40 caracteres-, que jams se
guarda en la nube. Si alguna vez olvidamos una contrasea, miramos ese
archivo y listo. Esto es til porque hay cuentas en las que no se introduce la
contrasea con frecuencia, y es fcil olvidarla.
Si todo esto le suena demasiado complejo, hay otra solucin que suelen
recomendar los expertos en seguridad: usar un administrador de contraseas.
Estos son programas que se integran con su navegador web, y que generan y
guardan contraseas muy seguras, que estn muy bien protegidas y que son
diferentes para cada uno de los sitios web que usted utiliza. Ni siquiera es
necesario que usted sepa esas contraseas porque el programa las introduce
por usted. El nico password que debe recordar es la clave maestra del
administrador, que permite usar todas sus contraseas. LastPass es uno de los
administradores ms conocidos, y en la seccin Tiro al Aire de esta edicin se
habla sobre l.
Son programas seguros? S, pero igual hay riesgos. Tener todas las
contraseas en un mismo sitio equivale a tener todos los huevos en la misma
canasta. Y algunos de estos programas tambin han tenido incidentes de
seguridad, ya que, obviamente, son un blanco apetecido por los hackers. El
ao pasado, por ejemplo, LastPass fue hackeado, y esa compaa, despus de
reconocer el incidente, tuvo que pedir a sus usuarios que cambiaran su
contrasea maestra; pero al parecer el episodio no fue tan grave porque los
datos robados de LastPass tenan una encriptacin muy fuerte. Hay un artculo
sobre ese caso en PC Magazine (bit.ly/28ZL1 kt). Sin embargo, hay una
manera de hacer que ese administrador de contraseas sea mucho ms
seguro: usar la autenticacin de dos pasos. De hecho, usar la verificacin de
dos pasos en todas las cuentas de Internet que lo permitan es la forma ms
eficaz de protegerlas, y la que ms tranquilidad le dar.

Active La autenticacin de dos pasos

Como puede ver, el manejo de incontables contraseas es tan complicado que
lo mejor que puede hacer es agregar una capa adicional de seguridad a sus
cuentas en lnea. Esa capa es la autenticacin en dos pasos, que consiste en
pedirle al usuario que compruebe su identidad con un segundo mtodo,
adems de su contrasea. Generalmente se enva al celular de la persona un
mensaje de texto con un nmero de verificacin, que ella debe introducir
-adems de la contrasea- para poder acceder a su cuenta. Eso significa que

el acceso a las cuentas requiere algo que el usuario sabe (su contrasea) y
algo que tiene (su telfono).
La autenticacin de dos pasos hace que las cuentas sean mucho ms seguras,
ya que un delincuente que quiera acceder a ellas debe tener su nmero de
telfono; es decir, as otra persona haya logrado averiguar su contrasea, no
podr entrar a su cuenta sin su nmero celular. La verificacin de dos pasos
est disponible en los principales servicios web, y es opcional, as que usted
debe activarla manualmente a travs de las opciones de configuracin del sitio.
Al activar esa opcin, le pedirn el nmero de celular al que se deben enviar
los cdigos de verificacin, y un nmero de telfono alternativo en caso de que
ese celular no est disponible.
A partir del momento en que active la 'autenticacin de dos pasos, usted tendr
que escribir el cdigo que le llegue a su celular (varios dgitos) para poder
acceder a su cuenta (el cdigo se le pedir despus de introducir el nombre de
usuario y la contrasea). Los cdigos se le pueden entregar al usuario de
varias maneras: en un mensaje de texto que le llega al celular; mediante una
llamada telefnica al celular; o a travs de una app para el smartphone que
genera los cdigos en el telfono incluso cuando el usuario est desconectado
de la red celular (esto es til cuando est de viaje en otro pas).
El envo de los cdigos o las llamadas a su celular no le generan ningn tipo de
cobro, ni costos de larga distancia. Y los cdigos de seguridad son vlidos una
sola vez (la siguiente vez que se lo pidan el cdigo que le llegar es diferente).
Tener que esperar a que le llegue un cdigo al celular es aburridor (en unas
pocas ocasiones se demora en llegar).
Por eso, los servicios web suelen darle la opcin de indicar que no quiere que
le vuelvan a pedir el cdigo de verificacin para el computador desde el cual
est tratando de acceder (por ejemplo, el PC de su casa, que es el ms
seguro) durante cierto tiempo (30 das es lo habitual). As solo tendr que
introducirlo cuando vaya a acceder desde otro computador.
De otro lado, si emplea su cuenta de correo desde apps mviles en tablets y
telfonos inteligentes, quiz tenga que hacer un procedimiento adicional, pues
el acceso a su cuenta dejar de funcionar. Esas apps no le permiten utilizar los
cdigos de verificacin en cada sesin como s es posible en el navegador
de un PC, por lo que debe generar una 'contrasea de aplicacin', que se
introduce en lugar de la contrasea tradicional en la app mvil.
La buena noticia es que este procedimiento solo se realiza la primera vez en
cada dispositivo mvil, as que ni siquiera tiene que memorizar la contrasea.
Adems, es un proceso sencillo, que se realiza en la misma pgina que
inicialmente le permiti activar la verificacin de dos pasos. Esa contrasea de
aplicacin se puede revocar en cualquier momento (por ejemplo, si usted deja

de utilizar un telfono) y puede generar una nueva cuando quiera (en caso de
que cambie de celular o tablet).
Con la autenticacin de dos pasos podr dormir tranquilo, mientras las
contraseas dejan de ser utilizadas, algo que eventualmente pasar. Cada vez
es ms evidente que este sistema tiene demasiadas debilidades, y por eso
poco a poco se ir remplazando por otros mtodos, como la identificacin
biomtrica.

PASSWORD CRACKERS: DIFCILES DE VENCER

Sin nimo de dejarlo aburrido, debemos mencionar que la publicacin Ars
Technica hizo en el 2013 un experimento que resulta descorazonador: les
dieron a tres hackers (entre ellos Jeremi Gosney, a quien citamos al comienzo
de este artculo) 16 mil hashes de contraseas para medir cunto tiempo les
tomaba averiguarlas. Ellos lograron descifrar entre 62 y 80 por ciento de todos
los passwords en solo una hora, y Gosney lleg al 90 por ciento en 20 horas.
Pero lo que impresiona del experimento es que rpidamente recuperaron
muchas contraseas de 10 a 16 caracteres que uno pensara que son fuertes,
como estas: qeadzcwrsfxv1331, k1arajOhnsOn, Sh1a-labe0uf, Apr!1221973,
Qbesancon321,
momof3g8kids,
Oscar+emmy2,
OYourmom69
y
windermere2313.
Cmo lograron eso? En el caso de Gosney, primero con ataques de fuerza
bruta para las contraseas cortas (de hasta 6 caracteres); en estos ataques se
probaron todas las posibles contraseas que pueden salir al combinar todas las
letras, todos los nmeros y 33 caracteres especiales del teclado. Luego se
usaron ataques de fuerza bruta para contraseas de 7 y 8 caracteres (pero solo
con minsculas o solo con maysculas) y finalmente fuerza bruta para claves
de hasta 12 caracteres (pero basadas solo en nmeros). Sin embargo,
descifrar contraseas ms extensas con la tcnica de fuerza bruta toma
demasiado tiempo (meses e incluso aos), as que se pas a la siguiente
tcnica: ataques de diccionario.
Aqu se prueban rpidamente millones de palabras incluidas en listas que los
hackers pulen y complementan constantemente. Por ejemplo, todas las
palabras incluidas en diccionarios en varios idiomas. Como muchas personas
usan palabras comunes para sus passwords, esta es una tcnica muy efectiva.
Pero lo mejor -para los hackers, no para nosotros- es que los password
crackers como Hashcat permiten aplicar diversos tipos de reglas a las listas de
palabras para que el ataque sea mucho ms efectivo.
Algunas de estas reglas son, por ejemplo, 'poner la primera letra de cada
palabra en mayscula', 'incluir nmeros al final de cada palabra (de un dgito,

de dos, de tres, etc.)', 'poner mayscula a la primera letra y agregar nmeros al

final', 'agregar 123 al final de cada palabra', 'invertir las letras de cada palabra',
'agregar aos al final de cada palabra', 'remplazar cada letra i por el signo de
exclamacin (i), cada cero por la letra O y cada E por 3' y as con cientos de
reglas. Adicionalmente, las listas que usan los password crackers se pueden
alimentar con los millones de contraseas reales que han sido robadas en
varios sitios web, lo cual hace que esos ataques ahora produzcan resultados
muy efectivos y en muy poco tiempo.
Finalmente, se usan tcnicas hbridas, en donde se combinan ataques de
fuerza bruta con las listas de palabras y diccionarios. En estos ataques adems
se analizan los patrones de las contraseas que han sido descifradas en las
primeras etapas, ya que esto le da cierta 'inteligencia' a los intentos que hace el
software en cada ataque posterior.
En el caso especfico de algunas de las contraseas recuperadas, Ars Technica
explica que "las caractersticas que hacen que 'momof3g8kids' y
'Oscar+emmy2' sean contraseas fciles de recordar es precisamente lo que
permite que sean descifradas. Sus componentes bsicos (mom, kids, Oscar,
emmy y los nmeros) son una parte fundamental de las listas para descifrar
passwords, incluso de las ms bsicas. Y el creciente poder del hardware hace
que sea trivial para los programas combinar estos ingredientes en miles de
millones de permutaciones diferentes". Y recuerde que estamos hablando del
2013. En tres aos el poder de cmputo ha aumentado bastante.
Ese artculo de Ars Technica es un poco extenso, pero es una joya que vale la
pena leer si le interesa el tema de seguridad informtica (bit.ly/28Z0dB4).

Presentacion Power Point:

http://es.slideshare.net/AlejandroHidalgo36/presentacion-2-no-reutilice-lascontraseas-65906440

Documento Word:
http://es.slideshare.net/AlejandroHidalgo36/documento-1-algunos-sitiosprotegen-mal-sus-contraseas-65906609

Mapa conceptual:
http://prezi.com/xzq5ujpdswpy/?utm_campaign=share&utm_medium=copy