Usas contraseñas aleatorias que, además, son muy largas, difíciles de adivinar y cambias cada cierto tiempo. En tu correo y todos los servicios que lo soportan tienes activada la verificación en dos pasos. Tienes cuidado con las páginas a las que entras y revisas tu ordenador periódicamente para comprobar que no está infectado. Con todas estas medidas, puede que te creas "intocable" en el mundo digital, pero no te puedes olvidar de una cosa: tú eres tan sólo un eslabón de la cadena.
Que el usuario se proteja al máximo para evitar posibles disgustos es algo necesario y recomendable, pero al final puede no servir de nada si otro eslabón más débil acaba sucumbiendo ante atacantes que saben muy bien lo que buscas. Ya lo hemos visto en el reciente caso de Ashley Madison con la publicación, hace unas horas, de la información personal (nombres, direcciones, correos y otros datos) de la mayoría de sus usuarios. Usuarios que se registraron allí para engañar a sus parejas (o, al menos, tantearlo).
"Filtrando" un modo de vida
La alarma saltaba el pasado día 20 de julio. Un grupo de hackers, autodenominado The Impact Team, decía tener en su poder la base de datos de Ashley Madison. Este sitio web es especialmente popular y polémico por su temática: el facilitar relaciones "discretas" entre personas que ya tienen pareja. ¿Por qué? Los autores del ataque acusaban a la compañía de "engañar" a los usuarios y de cobrarles si estos querían borrar su perfil, a modo de chantaje, aunque ni siquiera pagando eliminaban los datos. Por ello, exigían que todos los sitios web de la empresa fueran borrados.
Ashley Madison no cedió a las amenazas y hace tan sólo unas horas conocíamos el resultado: los datos de sus más de 32 millones de usuarios están en Internet, a disposición de cualquiera que quiera buscarlos y demostrar así que la web no cumplía su parte del trato. Un "hackeo" de estas características siempre es grave, pero aquí estamos hablando de algo más: el sitio web vendía discreción y seguridad a sus miembros para que llevaran a cabo infidelidades. Es poco probable que las contraseñas se acaben descifrando (estaban hasheadas), pero entre la información filtrada hay direcciones y nombres completos.
Todavía es pronto para ver las consecuencias de esta filtración. Inicialmente apareció en la Deep Web, pero ya existen trackers de BitTorrent que la ofrecen para descargar y los archivos ya tienen miles de fuentes. Además, otros usuarios se están animando a hacer sus propias búsquedas y compartirlas en Twitter, aunque el centro neurálgico de toda actividad parece estar siendo 4chan, con numerosas personas buscando a ver si hay algo "jugoso" entre todo lo que se ha publicado y, supuestamente y según afirman algunos, avisando ya a las parejas de algunos de los afectados.
Hackeos a la orden del día
Si esto fuese un simple "hackeo" que afectase a una web concreta, podríamos hablar de un caso aislado. Pero, por desgracia, últimamente no dejan de llegarnos noticias de servicios que han sido comprometidos. ¿Recuerdas cuando el año pasado eBay te mandó cambiar la contraseña? No fue una comprobación al azar, sino la consecuencia de que una auditoría interna de la compañía descubriera que los datos de más de 233 millones de usuarios, incluyendo teléfono, contraseñas y direcciones físicas, habían sido comprometidos.
Otro de los grandes ataques tuvo lugar en 2013 con Adobe como objetivo y dejó al descubierto emails, contraseñas y "pistas" de las contraseñas de sus usuarios. Si ya hablamos de contenido para adultos, y además de Ashley Madison, en febrero de 2012 fue la página YouPorn la que vio cómo el nombre y el usuario de más de 1 millón de cuentas aparecía en la red. En 2014 sufrimos el Celebgate, con la aparición de numerosas fotos de famosas desnudas. Este año le tocaba el turno a Adult Finder.
Los "hackeos" de servicios con filtración de información de usuarios ocurren con demasiada frecuencia ultimamente
Podría seguir repasando servicio tras servicio, pero me eternizaría: Forbes, Yahoo, Gawker, Snapchat, PSN... Aquí podéis ver una lista bastante completa de algunos de los más recientes. Y ojo porque estos problemas de seguridad no afectan únicamente a servicios en los que te registras, sino también podrían darse en la Administración y otros departamentos. En el caso de Estados Unidos, el IRS (que equivaldría a nuestra Hacienda), reconocía hace unos días haber detectado el acceso no autorizado a los datos de 334.000 contribuyentes. Hasta los propios hackers son a veces hackeados.
¿Qué pasa con los correos?
¿Qué ocurriría si alguien pudiese leer tus correos electrónicos? Seguro que alguna vez has compartido información personal a través de ellos que no te gustaría que trascendiese. Si utilizas un dominio propio o tu empresa lo usa para el correo corporativo, más te vale que esté protegido adecuadamente. Además, en muchos casos una dirección de email puede ser el** punto de entrada a una cuenta** de la que no se conozca la contraseña.
En Sony Pictures no se aplicaron demasiado el cuento y toda su red cayó presa de un importante ataque a finales del año pasado. Se filtraron películas, documentos internos y otra información importante. Y sí, no faltaron los propios correos electrónicos de los empleados. En ellos, y además de tratar aspectos confidenciales del negocio, había también algún que otro insulto y crítica hacia actores y otras personalidades del mundo del cine. El escándalo fue tal que la presidenta de la compañía tuvo que abandonar su cargo.
Tampoco los correos están blindados a los ataques: mucho ojo con lo que escribes
"Pero yo uso Gmail o Hotmail...". Ya, bueno, en este caso, y siempre que pongas todo de tu parte para asegurar tu cuenta (contraseña, identificación en dos pasos, etc.), la seguridad final sigue dependiendo de Google, de Microsoft o del proveedor de turno. Hasta el momento ninguno de ellos ha tenido ningún fallo reconocido importantísimo de seguridad, pero eso no significa que estén protegidos al 100%. Mismamente, hace casi dos años un bug en Google hizo que las conversaciones de Hangouts llegaran a destinatarios erróneos, causando todo tipo de dramas entre los usuarios.
Protocolos y certificados
Puede que incluso el fallo de seguridad no se dé directamente en el usuario y tampoco en el servicio. ¿Recordáis la polémica con Heartbleed? Afectaba a la librería OpenSSL, que de aquella utilizaban muchos servicios y aplicaciones. Sus consecuencias fueron menores de las que podrían haber sido por la rápida reacción de algunos servicios pero ¿quién nos dice que no vamos a sufrir un nuevo Heartbleed? ¿Quién nos asegura que no lo estemos sufriendo ya? A fin de cuentas, dicho fallo llevaba dos años en la librería y se desconoce si durante todo ese tiempo alguien se estuvo aprovechando de él.
Otro caso reciente: el de Lenovo. Al fabricante chino le descubrieron metiendo malware en algunos de sus portátiles. Utilizaban un certificado raíz propio para meter anuncios al usuario, lo que podría haber sido explotado con fines maliciosos por cualquiera con conocimientos. ¿Y si hago una instalación limpia cada vez que compro un ordenador? Pues que sepas que también han pasado en eso, y ahora hay quejas de que utilizan otros métodos para seguir instalando sus aplicaciones y seguir enviando información a sus servidores.
Cuando el usuario ya no es el eslabón más débil...
Como usuario de Internet, una de tus mayores preocupaciones debería ser mantener tus cuentas y tu información a salvo. Por ello, es recomendable y casi imprescindible hoy en día que sigas unas pautas de seguridad básicas (cuidando tus contraseñas, sí, pero también protegiendo tu navegación y activando la autentificación en dos pasos siempre que sea posible). Sin embargo, y como hemos visto, esto no es suficiente.
Estos fallos de seguridad son inaceptables para grandes compañías, en las que los clientes confían sus datos sin pensárselo dos veces
Cuando el usuario ya no es el eslabón más débil de la cadena de seguridad, los servicios deberían darse cuenta de que hay algo que están haciendo mal. "Vaya, otra app ha sido hackeada", pensamos cada vez que nos llegan noticias como ésta. "Vaya, otra vez me mandan cambiar la contraseña", nos lamentamos al ver estos avisos. Pero este tipo de problemas no deberían ser una rutina más y nosotros, como usuarios, deberíamos ser muy críticos con este tipo de sucesos. Si hablamos de grandes compañías como eBay, Adobe o cualquiera de las otras, estos fallos son simplemente inaceptables.
Sumemos todo lo que filtran los atacantes a toda la polémica con las filtraciones de la NSA, lo que ya saben de nosotros las redes sociales, los datos que recopilan anunciantes y otros servicios... Privacidad, ¿dónde? Desde luego, y sabiendo todo esto, mejor ser algo paranoicos que lamentar después: en Internet nunca debes fiarte de nadie, ni siquiera de los sitios donde te registras.
En Xataka | Los hackers de Ashley Madison publican los datos de sus más de 32 millones de usuarios
Imagen | EFF Photos
Ver 32 comentarios