Ayer la noticia arrasaba en la Red: ¡55.000 cuentas de Twitter hackeadas! Lo contaban Alt1040, El País, ABC, o hasta La Razón y se hablaba del tema en Taringa o ForoCoches. La noticia se publicó originalmente en Airdemon, donde se enlazaban directamente las cinco páginas de pastebin en las que se habían publicado las contraseñas: 1, 2, 3, 4 y 5. Sin embargo, poco se habló sobre cómo fueron conseguidas esas contraseñas, sobre cuál fue el agujero de seguridad, si fue un fallo, una filtración, o un robo de datos. Y menos aún sobre lecciones que deberíamos aprender de lo sucedido.
Descargando los ficheros con las contraseñas es relativamente fácil ver que no fueron 55.000, sino 33.991 cuentas las hackeadas, una arriba, una abajo. Haciéndose eco de un comunicado de la empresa de microblogging, El País y ABC reconocían que entre las contraseñas publicadas habían unos “20.000 perfiles duplicados”. Probablemente, digo yo, publicaron el número dado por Twitter sin entenderlo muy bien. Si no, no se entiende que no corrigiesen el titular. Cuando Twitter hablaba de “perfiles duplicados” lo que quería decir es que un alto número de las contraseñas aparecían varias veces en los ficheros publicados.
La muestra se limita a las contraseñas recientemente publicadas. Se excluye el caso particular de la password 315475 utilizada por un spammer para 580 de sus cuentas.
La contraseña de Shannantaqlt, por ejemplo, aparecía 2 veces en el primero de los ficheros publicados y otras 2 en el quinto. Más en detalle, 546 cuentas aparecían 4 veces, 2.856 cuentas aparecían 3 veces, 17.492 cuentas aparecían duplicadas y sólo las 13.097 restantes aparecían una única vez. En cualquier caso, que la cifra fuese más o menos alta, o que muchas de las cuentas publicadas fuesen de spam, es lo de menos. El caso es que, como siempre que se publican una filtración con contraseñas masivas, podemos aprender algo. De hecho, en Airdemon ya apuntaban a la clave del problema cuando decían:
“Unbelievable that Twitter isn’t taking any necessary steps to keep its users data safe. Even after encountering a huge number of hacks in the past including celebrities account. All they need to do is to add a password strength checker during signup while changing passwords. And guide the users to create a strong password. That could save a lot of users frustration.”
que, traducido libremente viene a querer decir que
“Es increíble que Twitter no dé ni un paso para garantizar la seguridad de los datos de sus usuarios. Ni siquiera después del enorme número de hackeos que han sufrido en el pasado, incluyendo a cuentas de gente famosa. Lo único que tienen que hacer es añadir un verificador de robustez de contraseñas en las altas, o cambios de contraseñas y una guía para usuarios sobre cómo crear una contraseña robusta. Ahorrarían un montón de frustraciones.”
De hecho, mirando sólo por encima las contraseñas publicadas, vemos cómo de importante es establecer una buena contraseña. Vamos a empezar por echar un vistazo a las 20 contraseñas que más se repiten:
| Contraseña | Usada n veces | Frequencia |
|---|---|---|
| 315475 | 580 | 1.71% |
| 123456 | 492 | 1.45% |
| 123456789 | 187 | 0.55% |
| 102030 | 68 | 0.20% |
| 123 | 62 | 0.18% |
| 12345 | 52 | 0.15% |
| 1234 | 44 | 0.13% |
| 101010 | 29 | 0.09% |
| 12345678 | 28 | 0.08% |
| 242424 | 28 | 0.08% |
| 1234567 | 25 | 0.07% |
| 10203 | 24 | 0.07% |
| 654321 | 23 | 0.07% |
| 123123 | 21 | 0.06% |
| 0 | 20 | 0.06% |
| 121212 | 19 | 0.06% |
| 1234567890 | 18 | 0.05% |
| 123321 | 16 | 0.05% |
| sexo | 14 | 0.04% |
| 12345678910 | 13 | 0.04% |
Resumen de las 20 contraseñas más repetidas entre las publicadas
Destaca, en primer lugar, una contraseña que utilizan casi 600 de las cuentas hackeadas. En ese caso, en particular, se trata probablemente de la contraseña de un grupo de cuentas de spam creadas por un mismo bot (un programita que se dedica a dar de alta cuentas en Twitter y enviar tuits para dar por saco). De resto, no hace falta hacer un estudio muy avanzado para ver que casi 500 personas creyeron que a nadie se le ocurriría probar la contraseña 123456. Me pregunto si tendrán dudas sobre cómo les hackearon la cuenta.
De aquí, creo que se pueden sacar dos conclusiones tan claras como poco innovadoras:
- Usar la misma contraseña para muchas cuentas es una gilipollez.
- Usar contraseñas fáciles es garantía de que te acabarán robando la cuenta.
Sobre lo primero, basta ver que, aún siendo cuentas de spam, bastó encontrar la contraseña de una de ellas para robar las 580 cuentas del tirón. En serio, utilizar la misma contraseña para todo es un peligro. Permíteme un consejo: ten en cuenta que si alguien consigue burlarte una contraseña, lo primero que hará será probarla en todas las redes sociales, cuentas de correo electrónico, o aplicaciones que se le ocurran.
Sobre lo segundo, recuerda que para este tipo de robos suelen usarse ataques por fuerza bruta (o semibruta). Es decir, se usan programas que van probando sistemáticamente contraseñas, una detrás de otra. Y esos robots no son tontos. Lo primero que harán es probar las contraseñas que ves arriba. Si tu contraseña está en esa lista, estás tardando en cambiarla.
Moraleja
Desconfía de consejos manidos y cómodos como “la contraseña ideal es la que usted como usuario puede recordar con facilidad, pero que nadie más pueda dar con ella“. Es falso. La contraseña ideal es la que ni siquiera tú puedes recordar.
Descarga un gestor de contraseñas como KeePassX y utilízalo para generar y guardar una contraseña diferente para cada sitio web en el que te registres. Y recuerda activar la recolección de entropía cada vez que vayas a generar una contraseña.
Si no sabes de qué estoy hablando pero te interesa el tema, intenta leer algo sobre entropía en las contraseñas. Algo como la entropía como una medida de la robustez de las contraseñas, o las passwords robustas NECESITAN entropía.
1 respuesta ↓
1 mr.d4rk p41n // Jul 19, 2012 at 7:37 pm
es solo para probar
Dejar un comentario