MADRID, 23 May. (Portaltic/EP) -
eBay, la compañía de comercio electrónico, ha informado estos días de un ciberataque en su base de datos, que contenía información personal de los usuarios -nombres, contraseñas, emails, fechas de nacimiento, direcciones postales y números de teléfono-. La reciente noticia ha reabierto el debate, y la preocupación, sobre la vulnerabilidad de los sistemas de seguridad en la Red.
Ante la noticia de eBay, el equipo de expertos de Softonic ha analizado el caso en un artículo muy completo sobre la seguridad en la Red y las claves para evitar el robo de datos personales. Por su parte, el vicepresidente de Investigación de Seguridad de Trend Micro, Rik Ferguson, ha propuesto a eBay cinco cuestiones sobre el incidente e invita a reflexionar sobre la necesidad de que las empresas apuesten por una ciberseguridad más inteligente.
Las contraseñas son un sistema de identificación muy conveniente y fácil de aplicar a cualquier sistema informático, ya que los sistemas operativos tienen una gran facilidad para almacenar y manipular cadenas de texto como las usadas por las contraseñas. Sin embargo, la contraseña de texto es también una medida débil, ya que suelen crearse combinaciones fáciles de recordar y breves, con lo que adivinarlas u obtenerlas a través de programas especiales es un asunto sencillo.
Años de concienciación sobre la calidad de las contraseñas no han servido de mucho. Cuando una página web o una aplicación establece unos estándares mínimos de longitud y variedad (mayúsculas, números, caracteres especiales), el usuario suele repetir la misma contraseña "segura" que ya ha utilizado en otros sitios, con lo que un hacker tendría acceso a muchas cuentas de golpe.
Los expertos en seguridad recomiendan usar reglas mnemotécnicas -técnicas para facilitar el recuerdo- consistentes en usar variantes de una misma clave segura, en asociar cada carácter a una palabra o usar frases de canciones o poemas a modo de contraseña larga. Otra forma de evitar dificultades es emplear un gestor de contraseñas como DashLane, que además de recordar las claves a cambio de introducir una clave maestra, permite generar contraseñas muy fuertes al instante y asociarlas a las cuentas.
LAS ALTERNATIVAS A LAS CONTRASEÑAS
Los problemas asociados a las contraseñas de texto motivan la aparición de sistemas de identificación alternativos. Actualmente, existe una gran variedad de sistemas que se emplean como sustitutos o complementos de las contraseñas y que podrían dividirse en cuatro grupos:
- Claves conocidas. Las contraseñas son un tipo básico de clave cognitiva: son algo que el usuario sabe de memoria. Pero la memoria no solo se limita a las palabras, también es posible recordar caras, patrones geométricos, dibujos y hechos vitales con igual o mayor facilidad, puesto que resultan más significativos. Al asociarse con recuerdos y emociones, estas claves se recuerdan casi sin esfuerzo.
Los patrones de seguridad de Android y los dibujos trazados sobre fotos de Windows 8 son dos ejemplos de claves cognitivas más fáciles de recordar que las clásicas contraseñas, y más robustas frente a intentos de robo.
- Claves físicas. La llave de casa es un tipo de contraseña física que se lleva a todas partes, igual que la tarjeta de crédito. La ventaja de un sistema de identificación así es que no es necesario recordar una clave compleja, ya que la que el usuario lleva consigo físicamente es lo bastante compleja como para proteger datos u objetos.
En informática, las claves físicas se han usado tradicionalmente como sistema de protección anti copia. Actualmente, gracias a los teléfonos móviles, se usan como complemento de seguridad en lo que viene a llamarse "verificación en dos pasos", esto es, el uso conjunto de una contraseña tradicional junto con un código enviado al teléfono.
- Claves biométricas. Las huellas dactilares, ojos, voz y cara se utilizan en ordenadores equipados con sensores biométricos como sistema de autentificación. Android, con su reconocimiento facial, e iOS 7, con su lectura de huellas, son dos ejemplos de ello.
Sobre el papel, los sistemas de identificación biométricos parecen tenerlo todo para sustituir las contraseñas: no implican recordar nada, no se pueden robar y generan claves complejas. En la práctica, sin embargo, estos sistemas tienen pegas importantes: a mayor precisión, menor posibilidad de simulación, pero también menor fiabilidad a la hora de "escanear" al usuario.
- Claves de conducta. El lugar en el que se encuentra el usuario, lo que hace o su reputación son fragmentos de información que pueden servir para complementar los sistemas de identificación clásicos. Muchos de estos mecanismos son automáticos: por ejemplo, una página puede impedir el acceso con contraseña si detecta que se está efectuando desde un lugar poco habitual o desde una dirección de baja reputación.
La clave para la máxima seguridad se encuentra en combinar diferentes tipos de identificación. Ninguno de los sistemas mendionados ofrece una seguridad total por sí solo. La mejor manera de aumentarla es usar más de un factor de identificación.
CINCO PREGUNTAS A EBAY
El vicepresidente de Investigación de Seguridad de Trend Micro, Rik Ferguson, ha planteado cinco preguntas concretas, y en primera persona, a eBay sobre la seguridad de los datos que los clientes han confiado a la compañía de comercio electrónico. Se trata de preguntas que, si bien la posibilidad de ser respondidas queda en el aire, al menos suscitarán una reflexión sobre la protección bajo la que se encuentran los datos de los usuarios de la Red.
Las cinco preguntas han sido recogidas bajo el título "¡Ey, eBay! Tengo cinco preguntas para ti" y se muestran a continuación:
1- Si toda esa información sensible se almacena en una sola base de datos, ¿por qué no está cifrada? De hecho, ¿por qué no se puede cifrar incluso a través de múltiples bases de datos? Observo con disgusto que, "toda la información financiera de PayPal está cifrada" ¿aún se está ejecutando un sistema a dos niveles?
2- Si vas a decirme que estaba cifrada, pero que el atacante no tiene acceso a las credenciales de la base de datos robada, ¿por qué no existía ninguna autenticación de dos factores para tener acceso a las "joyas de la corona"?
3- ¿Por qué sólo existen credenciales comprometidas para acceder a la red corporativa? Una vez más ¿qué pasa con el multifactor?
4- ¿Por qué ha tardado tres meses una organización con los recursos de eBay en darse cuenta de que se ha accedido de forma indebida a los datos, por no hablar del robo? ¿Dónde están los sistemas de detección de incumplimiento?
5- ¿Cómo estaba "cifrada" mi contraseña? Quiero detalles. Quiero saber qué algoritmo y cómo lo alteraste. Quiero saber las posibilidades reales que hay de que mi contraseña pueda ser forzada para evaluar mi nivel de exposición y aconsejar lo mejor posible a los demás.
Enlace relacionado:
- EBay sufre un ataque y pide a sus usuarios que cambien de 'password'
Andalucía
Aragón
Cantabria
Castilla-La Mancha
Castilla y León
Catalunya
Extremadura
Galicia
Islas Canarias
Islas Baleares
Madrid
País Vasco
La Rioja
C. Valenciana
Navarra
Asturias
Murcia
Ceuta y Melilla
