LinkedIn y el robo de millones de contraseƱas, ĀæquĆ© debes saber?
- Ramiro Parias
- 8 jun 2012
- 3 Min. de lectura
LinkedIn y el robo de millones de contraseƱas
Ayer (jueves 7 de junio) en la tarde una preocupante noticia sacudĆa la red: en un foro de Rusia se habĆan publicado mĆ”s de 6 millones de contraseƱas cifradas mediante el algoritmo SHA-1 y el autor del mensaje preguntaba al resto de usuarios del sitio web cĆ³mo podĆa descrifrarlas. Tras la revisiĆ³n de este mensaje por varios expertos en seguridad se llegĆ³ a la conclusiĆ³n que estos casi 6,5 millones de contraseƱas procedĆan de LinkedIn, algo que la red social ha confirmado horas mĆ”s tarde.
Tras descifrar algunas de las contraseƱas (las mĆ”s dĆ©biles), las pruebas apuntaban a que el origen de esta filtraciĆ³n masiva era LinkedIn. Si bien solamente se habĆan publicado las contraseƱas cifradas y no los correos electrĆ³nicos de los usuarios, ahora mismo nadie puede asegurar que quien se haya hecho con estas contraseƱas no posea tambiĆ©n los correos electrĆ³nicos de los usuarios y, por tanto, las llaves de acceso a sus cuentas.
Bajo mi punto de vista, este incidente es bastante grave porque, aunque la proporciĆ³n de afectados sea baja (un 4,6% de los usuarios), deja en entredicho la seguridad de los sistemas de LinkedIn y pone en evidencia la existencia de un tremendo agujero de seguridad. En vista de esta situaciĆ³n, vamos a dedicar unos minutos a analizar cuĆ”les son los riesgos que corremos con esta filtraciĆ³n, cĆ³mo evitarla y quĆ© podrĆa pasar en el futuro.
ĀæCuĆ”les son los riesgos? Teniendo en cuenta que LinkedIn es una red social de carĆ”cter profesional y, por tanto, ahĆ mantenemos nuestro CV, nos relacionamos con potenciales clientes, hacemos valer nuestra candidatura y nuestro perfil y, en definitiva, estamos promocionando nuestra marca personal; que alguien se haga con las credenciales de acceso a nuestra cuenta y nos suplante puede afectar negativamente a nuestra reputaciĆ³n (aunque luego demos las explicaciones pertinentes) y se puede armar un buen lĆo si alguien se dedica a importunar usando nuestra cuenta.
Pero los riesgos pueden aumentar si, ademĆ”s, utilizamos la misma contraseƱa para todos los servicios que utilizamos (Facebook, Twitter, Gmail, etc) puesto que si usamos las mismas credenciales, los perfiles que mantengamos en otros servicios tambiĆ©n estarĆ”n en riesgo y podrĆan caer como un castillo de naipes.
ĀæQuĆ© podemos hacer para saber si estamos afectados? LinkedIn, como medida preventiva tras confirmar que las cuentas publicadas son realmente de usuarios del servicio, ha bloqueado las cuentas afectadas con la idea de que los usuarios cambien las contraseƱas por unas mucho mĆ”s seguras. Los afectados recibirĆ”n un correo electrĆ³nico indicando que deben cambiar la contraseƱa debido a esta filtraciĆ³n y se les indicarĆ” cĆ³mo hacerlo pero no se les enviarĆ”, por seguridad, ningĆŗn tipo de enlace.
De todas formas, si no estamos seguros y no queremos esperar a que nos llegue o no un correo, un grupo de desarrolladores ha creado una aplicaciĆ³n llamada LeakedIn en la que podemos introducir nuestra contraseƱa para que la aplicaciĆ³n calcule el hash y lo busque en el listado de los mĆ”s de 6 millones de contraseƱas expuestas. ĀæPoner nuestra contraseƱa en el servicio de un tercero? Aunque alguien podrĆa pensar que la aplicaciĆ³n es una trampa, el cĆ”lculo del hash se realiza mediante un javascript y una vez se ha calculado, entonces se envĆa la contraseƱa cifrada para realizar la comparaciĆ³n.
AĆŗn asĆ, tampoco es una mala prĆ”ctica cambiar nuestra contraseƱa de vez en cuando, a ser posible una contraseƱa distinta en cada servicio que utilicemos y eligiendo una cadena de caracteres segura. El equipo de Gmail, sensible a que los usuarios suelen mantener las mismas contraseƱas en todos sus perfiles, ha publicado en su perfil de Google+ un mensaje en el que insta a los usuarios a mantener contraseƱas distintas y activar la verificaciĆ³n en 2 pasos para reforzar la seguridad de nuestra cuenta.
ĀæQuĆ© harĆ” LinkedIn? LinkedIn deberĆa tomar este asunto seriamente porque es bastante grave, mĆ”xime si le sumamos el agujero de seguridad que se ha encontrado tambiĆ©n en su aplicaciĆ³n mĆ³vil (tanto en iOS como en Android). La aplicaciĆ³n mĆ³vil de LinkedIn se integraba en el calendario del telĆ©fono y se llevaba toda la informaciĆ³n de Ć©ste, aunque no estuviese vinculada a la aplicaciĆ³n.
Por ahora, se han tomado bastante tiempo en verificar que la filtraciĆ³n de contraseƱas (y quiĆ©n sabe si de correos electrĆ³nicos) era real y entre que informaron que estaban investigando hasta que confirmaron que la filtraciĆ³n era real habĆan transcurrido 6 horas.
Estos dos hechos ponen de manifiesto que la compaƱĆa parece no prestar la suficiente atenciĆ³n a la seguridad de la informaciĆ³n que maneja y, la verdad, es algo que deberĆa comenzar a preocuparles. No sĆ© si llegarĆ”n a explicar cĆ³mo ha podido ocurrir todo esto pero los mĆ”s de 6 millones de afectados se merecen una explicaciĆ³n de lo sucedido.
Autor: Ā JJ Velasco
Para nosotros es importante y muy valiosa tu opiniĆ³n sobre este blog !
DĆ©janos saber cual es y sabremos como mejorar !
Visitenos en :Ā http//www.rampapublicidad.com
Siguenos en :Ā www.facebook.com/rampapublicidad