Malcolm Harris, un comentarista político que participa activamente en el movimiento de indignados de Wall Street, está siendo juzgado por, supuestamente, desobedecer órdenes policiales. La fiscalía quiere probar que, durante una manifestación en octubre de 2011, la policía le había pedido, a Harris y a otros manifestantes, que no cruzase el puente de Brooklin para no entorpecer el tráfico y que ignoró las órdenes policiales.

Harris y su abogado se han negado a revelar los tweets, basándose en una disposición de la constitución estadounidense que protege contra allanamientos infundados. Sin embargo, el juez respaldó a la fiscalía negando a Harris el derecho a mantener los tweets en secreto.

“El argumento del juez es que Harris, en derecho, no es propietario de sus tweets, y que éstos pertenecen a Twitter. En consecuencia, el tribunal dio órdenes a Twitter, de entregar la información solicitada por la fiscalía.”

La clave de todo está, como plantean en Segu-Info, en quién es propietario de los tweets. Y ahí está la gracia de la respuesta de Twitter:

“Twitter reaccionó remitiendo al tribunal un memorando de 32 páginas (documento PDF en inglés), donde rechaza al requerimiento. En el documento, indica que el razonamiento del juez parte de un precepto equivocado: no es Twitter, sino el propio usuario, que es propietario de los tweets.”

En una nota de prensa de Amnistía Internacional titulada debe respetarse el derecho de reunión y manifestación pacíficas, leo:

«Amnistía Internacional quiere recordar que [...] una “manifestación pacífica” puede incluir conductas que incomoden, dificulten, impidan u obstruyan temporalmente actividades de terceros.»

Esteban Beltrán, director de la organización en España, añade:

«Acampar también puede ser considerado como una legítima manera de protestar. El derecho a la reunión pacífica puede incluir acciones que de manera temporal pueden causar molestias u obstrucciones a los demás.»

Más claro, el agua.

Ayer la noticia arrasaba en la Red: ¡55.000 cuentas de Twitter hackeadas! Lo contaban Alt1040, El País, ABC, o hasta La Razón y se hablaba del tema en Taringa o ForoCoches. La noticia se publicó originalmente en Airdemon, donde se enlazaban directamente las cinco páginas de pastebin en las que se habían publicado las contraseñas: 1, 2, 3, 4 y 5. Sin embargo, poco se habló sobre cómo fueron conseguidas esas contraseñas, sobre cuál fue el agujero de seguridad, si fue un fallo, una filtración, o un robo de datos. Y menos aún sobre lecciones que deberíamos aprender de lo sucedido.

Descargando los ficheros con las contraseñas es relativamente fácil ver que no fueron 55.000, sino 33.991 cuentas las hackeadas, una arriba, una abajo. Haciéndose eco de un comunicado de la empresa de microblogging, El País y ABC reconocían que entre las contraseñas publicadas habían unos “20.000 perfiles duplicados”. Probablemente, digo yo, publicaron el número dado por Twitter sin entenderlo muy bien. Si no, no se entiende que no corrigiesen el titular. Cuando Twitter hablaba de “perfiles duplicados” lo que quería decir es que un alto número de las contraseñas aparecían varias veces en los ficheros publicados.

La muestra se limita a las contraseñas recientemente publicadas. Se excluye el caso particular de la password 315475 utilizada por un spammer para 580 de sus cuentas.

La contraseña de Shannantaqlt, por ejemplo, aparecía 2 veces en el primero de los ficheros publicados y otras 2 en el quinto. Más en detalle, 546 cuentas aparecían 4 veces, 2.856 cuentas aparecían 3 veces, 17.492 cuentas aparecían duplicadas y sólo las 13.097 restantes aparecían una única vez. En cualquier caso, que la cifra fuese más o menos alta, o que muchas de las cuentas publicadas fuesen de spam, es lo de menos. El caso es que, como siempre que se publican una filtración con contraseñas masivas, podemos aprender algo. De hecho, en Airdemon ya apuntaban a la clave del problema cuando decían:

“Unbelievable that Twitter isn’t taking any necessary steps to keep its users data safe. Even after encountering a huge number of hacks in the past including celebrities account. All they need to do is to add a password strength checker during signup while changing passwords. And guide the users to create a strong password. That could save a lot of users frustration.”

que, traducido libremente viene a querer decir que

“Es increíble que Twitter no dé ni un paso para garantizar la seguridad de los datos de sus usuarios. Ni siquiera después del enorme número de hackeos que han sufrido en el pasado, incluyendo a cuentas de gente famosa. Lo único que tienen que hacer es añadir un verificador de robustez de contraseñas en las altas, o cambios de contraseñas y una guía para usuarios sobre cómo crear una contraseña robusta. Ahorrarían un montón de frustraciones.”

De hecho, mirando sólo por encima las contraseñas publicadas, vemos cómo de importante es establecer una buena contraseña. Vamos a empezar por echar un vistazo a las 20 contraseñas que más se repiten:

Resumen de las 20 contraseñas más repetidas entre las publicadas

Destaca, en primer lugar, una contraseña que utilizan casi 600 de las cuentas hackeadas. En ese caso, en particular, se trata probablemente de la contraseña de un grupo de cuentas de spam creadas por un mismo bot (un programita que se dedica a dar de alta cuentas en Twitter y enviar tuits para dar por saco). De resto, no hace falta hacer un estudio muy avanzado para ver que casi 500 personas creyeron que a nadie se le ocurriría probar la contraseña 123456. Me pregunto si tendrán dudas sobre cómo les hackearon la cuenta.

De aquí, creo que se pueden sacar dos conclusiones tan claras como poco innovadoras:

• Usar la misma contraseña para muchas cuentas es una gilipollez.
• Usar contraseñas fáciles es garantía de que te acabarán robando la cuenta.

Sobre lo primero, basta ver que, aún siendo cuentas de spam, bastó encontrar la contraseña de una de ellas para robar las 580 cuentas del tirón. En serio, utilizar la misma contraseña para todo es un peligro. Permíteme un consejo: ten en cuenta que si alguien consigue burlarte una contraseña, lo primero que hará será probarla en todas las redes sociales, cuentas de correo electrónico, o aplicaciones que se le ocurran.

Sobre lo segundo, recuerda que para este tipo de robos suelen usarse ataques por fuerza bruta (o semibruta). Es decir, se usan programas que van probando sistemáticamente contraseñas, una detrás de otra. Y esos robots no son tontos. Lo primero que harán es probar las contraseñas que ves arriba. Si tu contraseña está en esa lista, estás tardando en cambiarla.

Moraleja

Desconfía de consejos manidos y cómodos como “la contraseña ideal es la que usted como usuario puede recordar con facilidad, pero que nadie más pueda dar con ella“. Es falso. La contraseña ideal es la que ni siquiera tú puedes recordar.

Descarga un gestor de contraseñas como KeePassX y utilízalo para generar y guardar una contraseña diferente para cada sitio web en el que te registres. Y recuerda activar la recolección de entropía cada vez que vayas a generar una contraseña.

Si no sabes de qué estoy hablando pero te interesa el tema, intenta leer algo sobre entropía en las contraseñas. Algo como la entropía como una medida de la robustez de las contraseñas, o las passwords robustas NECESITAN entropía.

Esta semana, explotaba en prensa la noticia: el Rey Juan Carlos ha tenido que ser operado tras romperse la cadera cazando elefantes en Botsuana. Y las redes no han tardado en empezar a pedir a WWF/Adena que le destituya como Presidente Honorífico. Parece ser, que hay quien no concibe que un cazador presida una organización conservacionista. Sin embargo, hay algunos datos que habría que conocer antes de hablar mucho del tema.

El escándalo no es nuevo. En 1960 el Rey ya posaba orgulloso junto a su trofeos de caza en Angola. En 2004, organizaciones animalistas acusaban al Rey de cazar nueve osos y lobo en Rumanía. En 2006, se acusó al Rey de cazar un oso amaestrado y borracho en Rusia. La historia viene de largo y WWF/Adena la conocía. Para muestra, un botón, aquí un comentario que tozudo hizo en un artículo de Público, en 2009:

Adena (Asociación para la Defensa de la Naturaleza), ¿a qué espera para destituirlo como presidente honorífico? Hace algunos años que les envié una carta al respecto, sin contestación. Cuando lo del oso, contacté por teléfono exigiendo el cese y me colgaron. Animo a todos los del foro que envíen correo pidiendo el cese del Borbón. Ahí está la dirección y el correo: http://www.wwf.es / info@wwf.es.

El Rey Juan Carlos es Presidente de Honor de WWF/Adena desde su fundación, en 1968. En otras palabras, la organización lleva 44 años al tanto de las actividades de caza de su Presidente de Honor, Juan Carlos I, recibiendo quejas al respecto y, al mismo tiempo, afirmando que “S.M. El Rey D. Juan Carlos I, realiza una amplia y eficaz labor en favor de la conservación de la naturaleza“.

¿Que cómo es posible? Empecemos por echar un vistacín a la misión de la organización:

WWF trabaja por un planeta vivo y su misión es detener la degradación ambiental de la Tierra y construir un futuro en el que el ser humano viva en armonía con la naturaleza:

• Conservando la diversidad biológica mundial.
• Asegurando que el uso de los recursos naturales renovables sea sostenible.
• Promoviendo la reducción de la contaminación y el consumo desmedido.

¿Ves, en algún lado, alguna referencia a los derechos de los animales? ¿o al maltrato animal? ¿No, verdad? La explicación es sencilla: WWF/Adena es una organización conservacionista, no una organización animalista. La diferencia es simple. El conservacionismo busca proteger los ecosistemas y proteger especies de su extinción. El animalismo busca evitar el sufrimiento innecesario de los animales. En otras palabras, a WWF/Adena se la trae al pairo el sufrimiento animal.

Ante el aluvión de críticas que les están llegando, WWF/Adena ha tratado de reaccionar y dicen que “harán llegar las críticas que han recibido al Rey“. Pero no nos dejemos engañar. El responsable del programa de conservación de especies de WWF/Adena, Luis Suárez, defiende que la caza de elefantes es “una actividad legal y que en muchos casos puede ser una herramienta de conservación“. ¿Impresentables? En mi opinión, sí.

Después de 44 años manteniendo al Rey como presidente honorífico y defendiendo la caza con argumentos tan cutres, WWF/Adena ha dejado bien claro el tipo de organización que es. En lugar de pedirles que destituyan al Rey de su cargo de Presidente Honorífico, mi propuesta es que les castiguemos con el más absoluto y rotundo boicot. Hay otras organizaciones que sí merecen nuestro apoyo:

• Libera: sobre las consecuencias de matar a un elefante adulto.
• El Pacma: condena la cacería de elefantes del Rey.
• Equanimal: denuncia que el rey de España mata elefantes con la total aceptación de la organización que preside, Adena-WWF.
• Igualdad animal: denuncia que WWF justifica la caza legal de elefantes.

Hace cosa así como un año publiqué, por estos lares, un post sobre Cómo hacer una copia de seguridad de la base de datos de enlaces de seriesyonkis.com. La idea era hacer un pequeño programita, en Ruby, que rastreaba toda la página web buscando los enlaces y los guardaba en nuestro ordenador. Publiqué el código fuente del programita porque tenía la idea de facilitar que cualquiera pudiese modificarlo y adaptarlo para descargarse los enlaces de cualquier sitios de enlaces.

Ayer me topé con la noticia de que, sin tener en cuenta las más de 200 páginas web que nos autoinculpamos el primer día de funcionamiento de la ley Sinde-Wert, habían sido ya denunciadas 25 páginas web ante la Comisión de la Propiedad Intelectual. Entre ellas, están Elitetorrent, Bajui, Foroxd, Gratisjuegos, Seriespepito y Pordescargadirecta. Y me llamó bastante el caso de Elitetorrent, porque había leído ya -vía @dbravo- un artículo en el que se explica que su webmaster, ahora denunciado ante la “Comisión Sinde-Wert”, había ganado ya por las vías civil y penal. Bastante indignante.

Pues el caso es que ayer mismo, me vi a mí mismo utilizando el script que hice en su moemnto para seriesyonkis y modificándolo para salvar los torrents de elitetorrent.net. Si escribir este post me lleva unos 15 ó 20 minutos, modificar el script para descargar los torrents de elitetorrent, me llevó cerca de 30. Eso sí, la descarga tardó un pelín más. El script, también en Ruby, podéis descargarlo desde aquí: get-elitetorrent.rb. Para ejecutarlo desde un linux, debería bastar con:

sudo apt-get install ruby
ruby get-elitetorrent.rb

Eso debería generar una carpeta en local con los 12.518 torrents. En BitShare.com podéis descargaros elitetorrent.net.zip (de 205,9Mb), con el script y todos los torrents. Teniéndolos en tu ordenador, basta con abrir la carpeta en la que están todos los .torrent y pulsar “botón derecho -> abrir con” y elegir tu aplicación de torrent favorita para iniciar la descarga.

Y, por favor, no os olvidéis de que lo de que podamos ver series gratis, o no, es lo de menos. Lo preocupante es que la ley Sinde-Wert abre puertas a coartar la libertad de expresión y prensa sin pasar siquiera por la vía judicial.