LinkedIn y el robo de millones de contraseñas
Ayer (jueves 7 de junio) en la tarde una preocupante noticia sacudÃa la red: en un foro de Rusia se habÃan publicado más de 6 millones de contraseñas cifradas mediante el algoritmo SHA-1 y el autor del mensaje preguntaba al resto de usuarios del sitio web cómo podÃa descrifrarlas. Tras la revisión de este mensaje por varios expertos en seguridad se llegó a la conclusión que estos casi 6,5 millones de contraseñas procedÃan de LinkedIn, algo que la red social ha confirmado horas más tarde.
Tras descifrar algunas de las contraseñas (las más débiles), las pruebas apuntaban a que el origen de esta filtración masiva era LinkedIn. Si bien solamente se habÃan publicado las contraseñas cifradas y no los correos electrónicos de los usuarios, ahora mismo nadie puede asegurar que quien se haya hecho con estas contraseñas no posea también los correos electrónicos de los usuarios y, por tanto, las llaves de acceso a sus cuentas.
Bajo mi punto de vista, este incidente es bastante grave porque, aunque la proporción de afectados sea baja (un 4,6% de los usuarios), deja en entredicho la seguridad de los sistemas de LinkedIn y pone en evidencia la existencia de un tremendo agujero de seguridad. En vista de esta situación, vamos a dedicar unos minutos a analizar cuáles son los riesgos que corremos con esta filtración, cómo evitarla y qué podrÃa pasar en el futuro.
¿Cuáles son los riesgos? Teniendo en cuenta que LinkedIn es una red social de carácter profesional y, por tanto, ahà mantenemos nuestro CV, nos relacionamos con potenciales clientes, hacemos valer nuestra candidatura y nuestro perfil y, en definitiva, estamos promocionando nuestra marca personal; que alguien se haga con las credenciales de acceso a nuestra cuenta y nos suplante puede afectar negativamente a nuestra reputación (aunque luego demos las explicaciones pertinentes) y se puede armar un buen lÃo si alguien se dedica a importunar usando nuestra cuenta.
Pero los riesgos pueden aumentar si, además, utilizamos la misma contraseña para todos los servicios que utilizamos (Facebook, Twitter, Gmail, etc) puesto que si usamos las mismas credenciales, los perfiles que mantengamos en otros servicios también estarán en riesgo y podrÃan caer como un castillo de naipes.
¿Qué podemos hacer para saber si estamos afectados? LinkedIn, como medida preventiva tras confirmar que las cuentas publicadas son realmente de usuarios del servicio, ha bloqueado las cuentas afectadas con la idea de que los usuarios cambien las contraseñas por unas mucho más seguras. Los afectados recibirán un correo electrónico indicando que deben cambiar la contraseña debido a esta filtración y se les indicará cómo hacerlo pero no se les enviará, por seguridad, ningún tipo de enlace.
De todas formas, si no estamos seguros y no queremos esperar a que nos llegue o no un correo, un grupo de desarrolladores ha creado una aplicación llamada LeakedIn en la que podemos introducir nuestra contraseña para que la aplicación calcule el hash y lo busque en el listado de los más de 6 millones de contraseñas expuestas. ¿Poner nuestra contraseña en el servicio de un tercero? Aunque alguien podrÃa pensar que la aplicación es una trampa, el cálculo del hash se realiza mediante un javascript y una vez se ha calculado, entonces se envÃa la contraseña cifrada para realizar la comparación.
Aún asÃ, tampoco es una mala práctica cambiar nuestra contraseña de vez en cuando, a ser posible una contraseña distinta en cada servicio que utilicemos y eligiendo una cadena de caracteres segura. El equipo de Gmail, sensible a que los usuarios suelen mantener las mismas contraseñas en todos sus perfiles, ha publicado en su perfil de Google+ un mensaje en el que insta a los usuarios a mantener contraseñas distintas y activar la verificación en 2 pasos para reforzar la seguridad de nuestra cuenta.
¿Qué hará LinkedIn? LinkedIn deberÃa tomar este asunto seriamente porque es bastante grave, máxime si le sumamos el agujero de seguridad que se ha encontrado también en su aplicación móvil (tanto en iOS como en Android). La aplicación móvil de LinkedIn se integraba en el calendario del teléfono y se llevaba toda la información de éste, aunque no estuviese vinculada a la aplicación.
Por ahora, se han tomado bastante tiempo en verificar que la filtración de contraseñas (y quién sabe si de correos electrónicos) era real y entre que informaron que estaban investigando hasta que confirmaron que la filtración era real habÃan transcurrido 6 horas.
Estos dos hechos ponen de manifiesto que la compañÃa parece no prestar la suficiente atención a la seguridad de la información que maneja y, la verdad, es algo que deberÃa comenzar a preocuparles. No sé si llegarán a explicar cómo ha podido ocurrir todo esto pero los más de 6 millones de afectados se merecen una explicación de lo sucedido.
Autor: Â JJ Velasco
Para nosotros es importante y muy valiosa tu opinión sobre este blog !
Déjanos saber cual es y sabremos como mejorar !
Visitenos en :Â http//www.rampapublicidad.com
Siguenos en :Â www.facebook.com/rampapublicidad