La cantidad de brechas de información que vimos a lo largo del último año fue alarmante, y en muchas de ellas supimos que se habían filtrado listas de usuarios y contraseñas, que luego eran publicadas en la web. A menudo se trata de ciberdelincuentes tratando de que las víctimas queden expuestas, pero también hay casos en los que publicar listas de credenciales contribuye a que los usuarios tomen conciencia de cuán vulnerables son al elegir claves débiles.
Esta es, en cierta forma, la premisa en base a la que actuó Mark Burnett, quien publicó una lista de 10 millones de contraseñas y nombres de usuario obtenidos a raíz de brechas de seguridad, que recolectó a lo largo de la última década. Sin embargo, esta acción reviste cierta polémica ya que, en general, se suelen publicar solamente contraseñas -con el fin de proteger a los usuarios de la completa autenticación en sus cuentas expuestas por parte de delincuentes informáticos.
"El caso de que yo esté publicando usuarios y contraseñas tiene la intención de no defraudar, facilitar acceso no autorizado a un sistema, robar identidad, ayudar a cualquier delito o dañar algún individuo o entidad. La sola intención es profundizar la investigación con el fin de hacer la autenticación más segura y por consiguiente proteger de fraude y acceso no autorizado", dice la publicación de Burnett.
En ese sentido, tomó ciertas precauciones para evitar que estas credenciales publicadas sean usadas con fines ilegales, como limitar la exhibición de dominios, mezclar los datos obtenidos a lo largo de los años para que no se aten a una sola brecha o empresa afectada, remover palabras clave como nombres de empresa, datos particularmente individuales o números de cuenta, y excluir las cuentas pertenecientes a fuentes militares o gubernamentales.
De todas formas, cree que son contraseñas en desuso en una gran cantidad de casos, por lo que no permitirían la autenticación. Más allá de esto, debemos tener en cuenta casos como el de iDict, la herramienta que permitía perpetrar ataques de fuerza bruta para obtener contraseñas (débiles) de cuentas de iCloud que luego se publicaron en un listado de 500 claves filtradas. Algo similar sucedió cuando se filtraron 5 millones de credenciales de Gmail, y en vistas a casos de este tipo fue que Facebook decidió combatir la publicación de contraseñas robadas.
Esto nos recuerda, básicamente, dos cosas:
1. Que, tarde o temprano y casi inevitablemente, las contraseñas débiles y fácilmente adivinables como "password123" terminan filtrándose en la web de alguna forma u otra. Y es por eso que debes recordar la importancia de contar con contraseñas fuertes y seguras, con un nivel de seguridad robusto que no permita, por ejemplo, el éxito de ataques de fuerza bruta.
Recuerda que son la puerta de entrada a un puñado de servicios y aplicaciones que utilizas a diario, entre las cuales de seguro alguna involucra la tranferencia de información sensible. Revisemos un poco el concepto de "contraseña" que tenemos en nuestro glosario: "Conjunto de caracteres utilizado para validar la identidad de un usuario en un sistema. Se supone que es conocida únicamente por el usuario al que pertenece."
Queda clara la última parte, ¿verdad? Entonces, ¡debes protegerte! Y eso nos lleva al segundo punto.
2. Que cuanto más refuerces las capas de seguridad de tu experiencia online, menos chances tendrán los cibercriminales de comprometer tus cuentas. Así que, la doble autenticación será una aliada infalible en este sentido.
También es interesante tener en cuenta que, en lo que refiere a autenticación, existen alternativas a las contraseñas, que incluyen aplicaciones para medir variables biométricas como el pulso o el andar, y de esta forma ofrecen nuevos niveles de seguridad -o al menos, nuevos retos para los ciberdelincuentes que continuamente buscan la forma de corromper los sistemas.
Por supuesto que si alguna de tus claves está en este listado, deberías cambiarla de inmediato y procurar generar una más fuerte. Recuerda que, para no olvidarlas o confundirlas, puedes almacenarlas en alguna herramienta para gestionar contraseñas.