domingo, 20 de noviembre de 2016

El colmo de la inseguridad: las páginas que envían la contraseña que creaste, a tu correo

Te acabas de subscribir a un servicio en internet; tuviste que registrarte, indicar tu correo electrónico, quizá un nombre de usuario y elegir una contraseña. ¡Ahí está! Ya tienes en tu bandeja de entrada un mensaje con el alias y la clave que te abren las puertas de tu cuenta en la web. Una palabra secreta que aparece escrita tal y como la habías tecleado, lista para que tú y todo aquel que sepa aprovecharse de la situación la utilicen para acceder.


Por muy inverosímil que resulte, esta paradójica práctica –enviar una contraseña de seguridad sin aplicar ni un solo método para protegerla de posibles ciberdelincuentes− es bastante común en internet. Así lo demuestra el amplio archivo que guarda plaintextoffenders.com, a la que los usuarios pueden enviar capturas de pantalla de los correos delatores para sacar los colores a las webs que no cuidan este aspecto fundamental de su servicio.

Los creadores de este repositorio de culpables son dos desarrolladores israelíes, Igal Tabachnik y Omer van Kloeten, que lanzaron su plataforma en 2011. Actualmente han logrado sacar a la luz más de 3.000 webs, gracias a la ayuda de todos los que han decidido colaborar con la causa, y de paso protestar, enviando una imagen.

Ambos creadores habían sufrido esta práctica en sus propias carnes y querían cambiar las cosas. Por eso crearon su particular muro virtual de la vergüenza. En él figuran desde portales de búsqueda de empleo hasta librerías, pasando por universidades y plataformas que ofrecen contenidos audiovisuales, universidades e incluso tiendas de ropa ‘online’.

No obstante, además de señalar a los culpables, les ayudan a enmendar su error dándole las pautas para mejorar la seguridad a la hora de almacenar y enviar las claves de sus usuarios. Ochenta de ellas han corregido sus fallos, pero el monto de las que están dispuestas a cambiar supone un pequeño porcentaje del total.

Pero, ¿qué problema hay con enviar una contraseña así, escrita en texto claro y perfectamente comprensible para máquinas y humanos? Que la clave se muestre de esta manera a su dueño significa que esa combinación (supuestamente secreta) está además guardada en una base de datos, en un servidor, de la misma manera. Totalmente legible para cualquiera que logre acceder, incluidos cibercriminales y estafadores de la Red.



La falta vulnera los derechos de los usuarios, ya que, a pesar de proporcionarles la cuenta y guardar su clave, los responsables de la web no son dueños de las contraseñas. Siguen perteneciendo a quienes se han registrado y quienes mueven los hilos de la web no tienen por qué conocerlas, ni mucho menos ponerlas en riesgo sin emplear ningún tipo de cifrado que las proteja.

No recicles contraseñas
Ahora, imaginemos que la web en cuestión sufre un ataque. Según confirman algunos estudios, muchos usuarios reutilizan sus claves en distintas plataforma de internet. Así, si los ciberdelincuentes obtuvieran las contraseñas de las personas inscritas en una web, podrían utilizarlas no solo para entrar en esa cuenta (quizá poco importante), sino también en el resto de servicios en los que estuvieran usando la misma clave.


Aparte de enviar la contraseña tras haber rellenado el formulario, otra práctica habitual es mandar la clave sin cifrado después de que el usuario haya indicado a la plataforma que ha olvidado su código. Un atacante conectado a la misma red que este internauta (por ejemplo, en una wifi pública) podría interceptar sus comunicaciones para identificar la combinación de caracteres.

Según Per Thorsheim, el fundador de la conferencia Passwords, la mejor manera de proporcionar la clave a los usuarios es enviarles un enlace que les redirija al apartado de la plataforma donde pueden cambiarla.

Aunque lo cierto es que el número de webs que aplican estas prácticas poco aconsejables ronda el 1 %, la ingente cantidad que existen hoy en día hace que la cifra no sea nada desdeñable. A los de plaintextoffenders.com todavía les queda trabajo por hacer y a los usuarios muchas webs escasamente cautelosas que denunciar.

Mientras tanto, para evitar que los cibercriminales detecten las claves fácilmente puedes seguir algunas pautas y consejos. Una de las fundamentales es que, a la hora de escoger combinación, evites las series, las repeticiones y los datos personales, especialmente vulnerables a las herramientas de ‘hacking’. Combinar grupos de caracteres, elegir contraseñas largas y cambiarlas a menudo son otros de los secretos para que comiences a poner barreras desde el principio. Y si, aun así, recibes un correo con la clave, cámbiala o, directamente, elimina tu cuenta: probablemente no necesites tanto ese servicio como para poner en riesgo la seguridad de tus datos.




Publicar un comentario en la entrada