Archivo de la etiqueta: linkedin

(In)seguridad en las contraseñas

Un articulo de Oscar Abendan (AV-PH)

El mes de junio se está convirtiendo en un mes muy malo para la seguridad de las contraseñas. La semana pasada tres sitios principales – Linkedin, eHarmony y last.fm – han sufrido importantes fugas que han publicado millones de contraseñas de los usuarios en línea. A principios de esta semana, se reveló que el juego League of Legends también ha sufrido su propio capitulo de fallos, que ha supuesto que los datos de los clientes – incluyendo contraseñas – salieran a la luz pública.

¿Qué hemos aprendido con estos incidentes sobre la seguridad de las contraseñas? Que la gente sigue utilizando contraseñas lamentablemente inseguras. Demasiadas personas siguen utilizando contraseñas muy cortas como 1234, o las palabras que son demasiado cortas o previsibles (por ejemplo:  job  o LinkedIn). Incluso algunas contraseñas que a primera vista parecen seguras luego serán simples de adivinar (nombres y combinaciones de sitios como davidlinkedin, boblinkedin; relacionados con el sitio. También  juegos de palabras como leakedin linkedout formaban parte de la lista).

Los atacantes tienen ahora una cantidad abrumadora de poder de computación a sus disposición gracias a las GPU, que pueden ser fácilmente convertidas en herramientas  para llevar a cabo ataques de fuerza bruta. Esto hace que el almacenamiento seguro de contraseñas sea actualmente un tema de debate que involucra tanto a investigadores de seguridad como a administradores de TI. Sin embargo, esto es algo sobre lo que los usuarios no tienen control.

Lo que si pueden hacer los usuarios es mejorar las contraseñas que utilizan. He aquí nuestros consejos para hacerlo:

  •  Frases, no palabras. Tener una contraseña más larga es una parte esencial de la mejora de las contraseñas de usuario. De diez a doce caracteres es un buen comienzo; para los sitios más sensibles (como los bancos) es recomendable contraseñas más largas. Por supuesto,  si tus palabras claves son tan largas deberías usar frases claves en vez de palabras. Palabras excesivamente largas como Supercalifragilisticoespialidoso pueden ser un poco difíciles de recordar con precisión. Lo más seguro es que cometamos algún fallo. Elige frases completamente al azar (incluso sin sentido) que puedas recordar de alguna manera… de forma creativa y personal, y se mantengan alejadas de contraseñas potenciales, como películas y otros asuntos de la cultura pop de hoy. Por ejemplo,” ZombiesWantBrains” probablemente no sería una buena contraseña. Una frase más adecuada, más aleatoria, sería “ComputerSwimmingMelonLamp”.
  • Reciclar es bueno menos para las contraseñas. Hagas lo que hagas, no recicles contraseñas. Como mínimo, una contraseña descubierta será añadida  a la lista de contraseñas conocidas que los atacantes podrían utilizar en primer lugar. Si el nombre de usuario fue también comprometido, entonces el atacante podría  ser capaz de tener una combinación de nombre de usuario + contraseña que utilizará en otros lugares. Resumiendo: no reciclar la misma contraseña en varios sitios.

Por supuesto, estos consejos se basan fundamentalmente en las limitaciones de la mayoría de las personas que tienen dificultades para recordar las contraseñas. Gestores de contraseñas, tales como DirectPass también puede ayudar a reducir la carga sobre los usuarios almacenando las contraseñas de estos. Además de almacenar las contraseñas en la nube hacen que estas sean accesibles mediante múltiples dispositivos, ya sean PCs, smartphones o tabletas.

¿LinkedIn? ¡No, gracias!

Artículo original de Rik Ferguson (Director of Security Research & Communication, Trend Micro)

ACTUALIZACIÓN: parece que el gobierno holandés ya se está cuestionando si este nuevo comportamiento incumple su legislación sobre protección de datos.

Después de leer esta publicación, la primera “víctima” de la publicidad social ha dado un paso adelante (resulta ser compañero mío) y ha escrito en Twitter hace unos días:

Clic para ampliar

Artículo original
_________________________________________________

En mi recorrido periódico por las opciones y la configuración de mis cuentas en las redes sociales en las que deposito mis datos, descubrí unas nuevas “funciones” en LinkedIn que me sacaron de mis casillas. En un movimiento que recuerda mucho a otra red social *ejem*Facebook*ejem*, LinkedIn ha decidido introducir publicidad segmentada y “publicidad social”.

Vaya, qué sorpresa, publicidad en un sitio Web” puede que sea tu primera reacción. Pero, ¿esperarías encontrar tu nombre, tu foto y tu información personal en esos anuncios? Si la respuesta es no y eres un usuario de LinkedIn, mejor que te conectes hoy mismo y eches un vistazo a tu nueva configuración predeterminada.

Tras iniciar sesión en LinkedIn, mira la esquina superior derecha y verás tu nombre en un menú desplegable, sitúa el ratón sobre tu nombre y selecciona “Configuración” en el menú que aparece. Aquí es donde puedes renunciar a estas nuevas “funciones”.

Clic para ampliar la imagen

Una vez que se han seleccionado los controles de privacidad se pueden desmarcar las casillas que han permitido que tu información personal se utilice sin tu consentimiento.

Clic para ampliar la imagen

Y, ya metidos en faena, espero que te animes a echar un vistazo al resto de opciones de configuración de la cuenta. Seguro que encontrarás más cosas que querrás desactivar, como esta perlita (en la sección Grupos, compañías y aplicaciones)…

Clic para ampliar la imagen

LinkedIn ha añadido estas nuevas funciones y las ha activado en cada uno de sus 120 millones de usuarios sin ningún tipo de notificación, incluso cuando en mi perfil tenía seleccionada la opción de recibir correos con novedades sobre funciones (otra opción predeterminada). He llamado a la Oficina del Comisionado de información del Reino Unido (un órgano público independiente para fomentar el acceso a la información oficial y proteger la información personal) y me han confirmado que esto constituiría una violación de la ley de protección de datos si los datos se almacenaran y procesaran en el Reino Unido.

Aún a riesgo de repetir el consejo de ayer, tened mucho cuidado con la información que compartís en la red. No solo no podemos fiarnos de los desconocidos, parece que tampoco podemos confiar en que las redes sociales mantengan la confidencialidad de nuestros datos o que envíen una notificación cuando decidan compartirlos. Y recuerda: no me refiero solo a LinkedIn…