Curioso. Hoy mismo publicamos en Masticable un artículo en el que reflexionábamos sobre el tipo de mensajes en que creemos que deben centrarse las campañas de las organizaciones, dado el contexto de crisis. Si, normalmente, ya creíamos que las organizaciones sociales deben ser mucho más reivindicativas de lo que son, ahora ya ni te cuento.

Pero no sólo reflexionamos sobre los contenidos de las campañas, también sobre las formas. Nos preguntábamos sobre el uso del famoseo y otras herramientas casposas por el estilo. Curioso, que hoy me encuentro con un artículo que lleva por título la ambigüedad de la libertad en internet, en el que se hacen algunas críticas constructivas sobre ciertas estrategias de activismo, en este caso de Anonymous.

«A Anonymous todavía tiene que ocurrírsele algo distinto al espectáculo; los ciberataques son baratos, fáciles, y pueden atraer a miles de participantes sin exigir mucho de ellos. En ese sentido, pueden ser vistos como una forma de “activismo laxo”, les hace a todos ellos sentirse bien pero no necesariamente hacen que avance la causa que promueven.»

No comparto el 100% del artículo, como era de esperar, pero reconozco que es de las pocas veces que veo un artículo crítico con Anonymous desde el conocimiento y la razón.

«Una campaña online para defender la “libertad de internet” no es lo mismo que una campaña online para recaudar fondos para un candidato presidencial o para las víctimas de un desastre natural; requiere algo más que unos cuantos clics o de donaciones en efectivo.»

La reflexión sobre el activismo en internet está avanzando a una velocidad de vértigo que, para variar, está dejando fuera de juego a la mayor parte de las organizaciones sociales.

Malcolm Harris, un comentarista político que participa activamente en el movimiento de indignados de Wall Street, está siendo juzgado por, supuestamente, desobedecer órdenes policiales. La fiscalía quiere probar que, durante una manifestación en octubre de 2011, la policía le había pedido, a Harris y a otros manifestantes, que no cruzase el puente de Brooklin para no entorpecer el tráfico y que ignoró las órdenes policiales.

Harris y su abogado se han negado a revelar los tweets, basándose en una disposición de la constitución estadounidense que protege contra allanamientos infundados. Sin embargo, el juez respaldó a la fiscalía negando a Harris el derecho a mantener los tweets en secreto.

“El argumento del juez es que Harris, en derecho, no es propietario de sus tweets, y que éstos pertenecen a Twitter. En consecuencia, el tribunal dio órdenes a Twitter, de entregar la información solicitada por la fiscalía.”

La clave de todo está, como plantean en Segu-Info, en quién es propietario de los tweets. Y ahí está la gracia de la respuesta de Twitter:

“Twitter reaccionó remitiendo al tribunal un memorando de 32 páginas (documento PDF en inglés), donde rechaza al requerimiento. En el documento, indica que el razonamiento del juez parte de un precepto equivocado: no es Twitter, sino el propio usuario, que es propietario de los tweets.”

En una nota de prensa de Amnistía Internacional titulada debe respetarse el derecho de reunión y manifestación pacíficas, leo:

«Amnistía Internacional quiere recordar que [...] una “manifestación pacífica” puede incluir conductas que incomoden, dificulten, impidan u obstruyan temporalmente actividades de terceros.»

Esteban Beltrán, director de la organización en España, añade:

«Acampar también puede ser considerado como una legítima manera de protestar. El derecho a la reunión pacífica puede incluir acciones que de manera temporal pueden causar molestias u obstrucciones a los demás.»

Más claro, el agua.

Ayer la noticia arrasaba en la Red: ¡55.000 cuentas de Twitter hackeadas! Lo contaban Alt1040, El País, ABC, o hasta La Razón y se hablaba del tema en Taringa o ForoCoches. La noticia se publicó originalmente en Airdemon, donde se enlazaban directamente las cinco páginas de pastebin en las que se habían publicado las contraseñas: 1, 2, 3, 4 y 5. Sin embargo, poco se habló sobre cómo fueron conseguidas esas contraseñas, sobre cuál fue el agujero de seguridad, si fue un fallo, una filtración, o un robo de datos. Y menos aún sobre lecciones que deberíamos aprender de lo sucedido.

Descargando los ficheros con las contraseñas es relativamente fácil ver que no fueron 55.000, sino 33.991 cuentas las hackeadas, una arriba, una abajo. Haciéndose eco de un comunicado de la empresa de microblogging, El País y ABC reconocían que entre las contraseñas publicadas habían unos “20.000 perfiles duplicados”. Probablemente, digo yo, publicaron el número dado por Twitter sin entenderlo muy bien. Si no, no se entiende que no corrigiesen el titular. Cuando Twitter hablaba de “perfiles duplicados” lo que quería decir es que un alto número de las contraseñas aparecían varias veces en los ficheros publicados.

La muestra se limita a las contraseñas recientemente publicadas. Se excluye el caso particular de la password 315475 utilizada por un spammer para 580 de sus cuentas.

La contraseña de Shannantaqlt, por ejemplo, aparecía 2 veces en el primero de los ficheros publicados y otras 2 en el quinto. Más en detalle, 546 cuentas aparecían 4 veces, 2.856 cuentas aparecían 3 veces, 17.492 cuentas aparecían duplicadas y sólo las 13.097 restantes aparecían una única vez. En cualquier caso, que la cifra fuese más o menos alta, o que muchas de las cuentas publicadas fuesen de spam, es lo de menos. El caso es que, como siempre que se publican una filtración con contraseñas masivas, podemos aprender algo. De hecho, en Airdemon ya apuntaban a la clave del problema cuando decían:

“Unbelievable that Twitter isn’t taking any necessary steps to keep its users data safe. Even after encountering a huge number of hacks in the past including celebrities account. All they need to do is to add a password strength checker during signup while changing passwords. And guide the users to create a strong password. That could save a lot of users frustration.”

que, traducido libremente viene a querer decir que

“Es increíble que Twitter no dé ni un paso para garantizar la seguridad de los datos de sus usuarios. Ni siquiera después del enorme número de hackeos que han sufrido en el pasado, incluyendo a cuentas de gente famosa. Lo único que tienen que hacer es añadir un verificador de robustez de contraseñas en las altas, o cambios de contraseñas y una guía para usuarios sobre cómo crear una contraseña robusta. Ahorrarían un montón de frustraciones.”

De hecho, mirando sólo por encima las contraseñas publicadas, vemos cómo de importante es establecer una buena contraseña. Vamos a empezar por echar un vistazo a las 20 contraseñas que más se repiten:

Resumen de las 20 contraseñas más repetidas entre las publicadas

Destaca, en primer lugar, una contraseña que utilizan casi 600 de las cuentas hackeadas. En ese caso, en particular, se trata probablemente de la contraseña de un grupo de cuentas de spam creadas por un mismo bot (un programita que se dedica a dar de alta cuentas en Twitter y enviar tuits para dar por saco). De resto, no hace falta hacer un estudio muy avanzado para ver que casi 500 personas creyeron que a nadie se le ocurriría probar la contraseña 123456. Me pregunto si tendrán dudas sobre cómo les hackearon la cuenta.

De aquí, creo que se pueden sacar dos conclusiones tan claras como poco innovadoras:

• Usar la misma contraseña para muchas cuentas es una gilipollez.
• Usar contraseñas fáciles es garantía de que te acabarán robando la cuenta.

Sobre lo primero, basta ver que, aún siendo cuentas de spam, bastó encontrar la contraseña de una de ellas para robar las 580 cuentas del tirón. En serio, utilizar la misma contraseña para todo es un peligro. Permíteme un consejo: ten en cuenta que si alguien consigue burlarte una contraseña, lo primero que hará será probarla en todas las redes sociales, cuentas de correo electrónico, o aplicaciones que se le ocurran.

Sobre lo segundo, recuerda que para este tipo de robos suelen usarse ataques por fuerza bruta (o semibruta). Es decir, se usan programas que van probando sistemáticamente contraseñas, una detrás de otra. Y esos robots no son tontos. Lo primero que harán es probar las contraseñas que ves arriba. Si tu contraseña está en esa lista, estás tardando en cambiarla.

Moraleja

Desconfía de consejos manidos y cómodos como “la contraseña ideal es la que usted como usuario puede recordar con facilidad, pero que nadie más pueda dar con ella“. Es falso. La contraseña ideal es la que ni siquiera tú puedes recordar.

Descarga un gestor de contraseñas como KeePassX y utilízalo para generar y guardar una contraseña diferente para cada sitio web en el que te registres. Y recuerda activar la recolección de entropía cada vez que vayas a generar una contraseña.

Si no sabes de qué estoy hablando pero te interesa el tema, intenta leer algo sobre entropía en las contraseñas. Algo como la entropía como una medida de la robustez de las contraseñas, o las passwords robustas NECESITAN entropía.