La seguridad es uno de los aspectos fundamentales dentro de la informática como de las ciencias de la computación. Grandes cantidades de dinero, de recursos técnicos y humanos se destinan para mantener la inviolabilidad de datos e información sensible tanto a nivel gubernamental como a nivel empresarial.

A nivel usuario los esquemas de protección parecen ser transparentes porque el mismo usuario confía en la seguridad que le da la empresa prestadora del servicio. Pero existe un hoyo negro en donde todos los mecanismos de protección fallan y donde el usuario es el actor principal. En palabras sencillas, el usuario la caga.

La semana pasada empezó a circular en la red la noticia referente a una exposición masiva de una base de datos consistente en cuentas de correo electrónico y contraseñas. No, no hubo un ataque o hackeo masivo hacia alguna compañía, como Yahoo, por ejemplo, que en anteriores meses ha estado envuelta en la mira por sus vulnerabilidades en materia de seguridad. Simplemente es una colección de ataques anteriores, conocidos o no, consistente en aproximadamente 2.7 mil millones de los elementos referidos anteriormente. El nombre de la colección es sencillamente Collection #1.

El descubrimiento de tal colección ocurrió a cargo del fundador de Have I Be Pwned?, una página web cuya función es mostrar si alguna dirección de correo electrónico ha sido comprometida y expuesta. En mi caso resultó que una dirección sí apareció dentro de su base de datos sin consecuencias mayores dado que utilizo esa cuenta para servicios que invaden de publicidad y tonterías. Pero ya entendí porque el spam se regocija con esa cuenta.

¿Qué hacer al respecto? Van unas indicaciones básicas:

  • Revisar si la cuenta ha sido comprometida en Have I Be Pwned?
  • En caso afirmativo cambiar las contraseñas de las cuentas o servicios en riesgo.
  • ¡NO USAR LAS MISMAS CONTRASEÑAS EN DIFERENTES SERVICIOS!
  • ¡NO USAR CONTRASEÑAS ESTÚPIDAS! como se refiere aquí, y en caso de tener una cambiarla ¡INMEDIATAMENTE!
  • Si representa un aspecto complicado el generar y cambiar contraseñas de los sitios de internet y servicios se puede usar un gestor de contraseñas como el mostrado en la página de Have I Be Pwned, 1Password.
  • No abrir enlaces sospechosos que llegan a la bandeja de entrada. Incluso si son de remitentes conocidos observar con detalle el asunto o la dirección.
  • Estar al pendiente de noticias referentes a ataques de seguridad para conocer si algún servicio fue afectado.

Es más que claro que mucho de las fallas y hoyos de seguridad están del lado del usuario al no tener buenas prácticas y que los atacantes se valen de ello para hacerse de información valiosa. Es simple, con toda la información contenida en Collection #1 es más sencillo atacar servicios determinados porque ya se cuenta con un diccionario robusto de millones de cuentas y contraseñas.

Ya estoy cambiando todas mis contraseñas, por si las moscas, con algoritmos propios para generarlas y lo atendiendo los puntos anteriores. Es un desmadre pero prefiero tener el control total a cedérselo a un gestor de contraseñas, que es otra historia.