Google comete un grave error de ciberseguridad
mayo 22, 2019
Google reconoce que lleva desde 2005 almacenando contraseñas corporativas sin cifrar
Por David Ortiz.
Google admite que una implementación de G Suite de hace más de una década guardaba una copia de las contraseñas de al menos parte de los usuarios de este servicio en texto plano.
Tras el avance en seguridad informática que se ha producido en los últimos años, con la proliferación de métodos de acceso cada vez más robustos, sigue llamando la atención cuando uno de mayores gigantes de internet cae todavía en prácticas obsoletas. Le pasó a Facebook e Instagram hace un par de meses con cientos de millones de contraseñas, y ahora es Google quien reconoce que, desde 2005 ha estado almacenando contraseñas de sus cuentas corporativas en texto plano.
Aunque Google admite que «no hay evidencia de accesos impropios o malintencionados de las contraseñas afectadas», que son un subconjunto del total de estos clientes del servicio G Suite, también son los primeros en reconocer que «esta práctica no está a la altura» de sus estándares.
Por tanto, si no usas la suite corporativa de Google, que da servicio a multitud de empresas con servicios tan básicos como el e-mail, no tienes de qué preocuparte. Afirman estar además trabajando con los administradores de los servicios afectados para asegurarse de que los usuarios restablecen sus contraseñas.
Google se ha puesto en contacto con los administradores de los servicios afectados para instarles a que cambien las contraseñas manualmente. En caso de no hacerlo, el sistema reseteará estas cuentas automáticamente.
El cifrado de contraseñas, clave
Es cifrado es fundamental para la seguridad, puesto que cualquiera con acceso a las bases de datos internas –tanto un atacante como un trabajador de la propia Google– podría haber estado leyendo parte de ellas durante nada menos que 14 años. Es importante recordar que estas se encuentran inaccesibles desde fuera, y están en un entorno privado y también cifrado al que únicamente tienen acceso los administradores.
Las contraseñas se almacenan generalmente tras ser procesadas, de forma que una contraseña que se procesa siempre de la misma forma, obtendrán siempre el mismo hash o clave final que almacena Google que es extremadamente difícil de revertir. En este caso se estaba almacenando una copia extra en la consola de administración, en la que podía ser leída la clave de los usuarios.
Fuente: hipertextual.com, 22/05/19.
______________________________________________________________________________
Vincúlese a nuestras Redes Sociales:
LinkedIn YouTube Facebook Twitter
______________________________________________________________________________
.
.
El peligro de las contraseñas repetidas
agosto 8, 2016
El hackeo de contraseñas lleva a las empresas a tomar medidas de seguridad
En los últimos meses, los hackers se han apoderado de las cuentas en Twitter de los presidentes ejecutivos de Facebook Inc., Mark Zuckerberg, de Google, Sundar Pichai, y del propio Twitter Inc., Jack Dorsey.
Tras bambalinas, equipos de seguridad de cada gran empresa de tecnología, y muchas firmas pequeñas, están actuando rápidamente para evitar que otros corran la misma suerte.
Algunos de los ejecutivos aparentemente volvieron a usar contraseñas que habían sido robadas en ataques anteriores a LinkedIn, Myspace y otros sitios; otros han sido víctimas de software que usa las contraseñas viejas para adivinar las nuevas.
Casi 2.000 millones de contraseñas viejas pueden ser vistas por apenas US$2 cada una en una base de datos llamada LeakedSource, dirigida por operadores anónimos. Los investigadores dicen que entre 1% y 8% de los nombres de usuario y contraseñas de LinkedIn funcionarán en otros servicios, lo que les da a los piratas informáticos una forma de apoderarse de otras cuentas. Entretanto, LinkedIn cambió las contraseñas de sus usuarios y corrigió una vulnerabilidad de seguridad que permitió que le robaran datos en 2012. La empresa está en proceso de ser adquirida por Microsoft Corp. , en un pacto de US$26.200 millones que se espera que se cierre a finales del año.
Los ataques de los hackers crean un dilema para los operadores de otros populares servicios web. Pueden pedirles a todos sus usuarios que cambien las contraseñas y arriesgarse a perder clientes, o pueden no hacer nada y correr el riesgo de que las cuentas sean hackeadas.
“Si cambian las contraseñas para sus usuarios, la percepción podría ser completamente negativa, sin importar qué tan bien lo expliquen”, dice Alex Holden, fundador y director de seguridad de información de Hold Security LLC, que ayuda a las compañías a identificar credenciales robadas en los sitios de piratería. “Si incluso 0,1% de estos usuarios entra en pánico y decide llamar al servicio al cliente el mismo día, crearía una pesadilla”.
Carbonite Inc., que ofrece servicios de respaldo de archivos en línea, eligió pedirles a sus 1,5 millones de usuarios que cambiaran de contraseña. La empresa también analizó los datos hackeados y les pidió a los clientes cuyas credenciales aparecían en la base de datos que confirmaran sus identidades para acceder a sus cuentas.
Carbonite actuó con decisión debido a las serias consecuencias de las medidas a medias, dice Norman Guadagno, vicepresidente de marketing de la empresa. “Cuando usted tiene una cuenta de Carbonite, o cualquier servicio de respaldo, y tiene el nombre de usuario o la contraseña para esa cuenta, tiene acceso a todo”, explica.
Twitter, Facebook, Yahoo Inc. y otros eligieron otro camino. En vez de obligar a todos los usuarios a cambiar sus contraseñas, analizaron las credenciales robadas e instaron o forzaron a los usuarios afectados a cambiar sus contraseñas. Durante el último año, compañías como Yahoo pusieron en práctica sistemas de analítica de datos y de alerta para los clientes que les permite un procesamiento metódico de grandes volúmenes de información y a la vez proteger a los clientes que reutilizan sus contraseñas pese a ese tipo de advertencias. La semana pasada, el equipo de seguridad de Yahoo respondió a un reporte según el cual 200 millones de nombres de usuarios y sus contraseñas estaban a la venta en foros de piratas informáticos. Un portavoz de Yahoo dijo que la compañía estaba al tanto de la exposición y estaba “trabajando para determinar los hechos”.
InfoArmor Inc., una firma especializada en inteligencia de identidades, analizó la semana pasada la base de datos en cuestión y cree que no se trata de una nueva base de datos de contraseñas de Yahoo. “Es una mezcla de basura de terceros”, dijo Andrew Komarov, director de inteligencia de InfoArmor.
Analizar los datos toma tiempo. Yahoo tiene mil millones de usuarios. Su equipo de seguridad comenzó a examinar la base de datos de LinkedIn el 18 de mayo. Algunos de los nombres de las cuentas y las contraseñas estaban cifrados. Los empleados de Yahoo tuvieron que descodificar y buscar si alguno correspondía a sus propios usuarios.
Ocho días después, el 26 de mayo, Yahoo envió una nota a un número no revelado de usuarios afectados, indicándoles que cambiaran sus contraseñas.
“Hay una cantidad enorme de actividad frenética ocurriendo en los negocios orientados al consumidor para mantener seguros a nuestros usuarios”, dijo en junio Alex Stamos, director de seguridad de Facebook, a una comisión de ciberseguridad de la Casa Blanca en una audiencia en Berkeley, California.
Uno de los problemas de este enfoque es que los usuarios podrían ignorar los mensajes en los que se les indica que cambien sus contraseñas. Werner Vogels, director de tecnología de Amazon.com, perdió el control de su cuenta de Bitly Inc., el sitio usado para acortar enlaces de direcciones web, después de ignorar un mensaje para cambiar su contraseña, confirmó él mismo en un mensaje en Twitter.
La cuenta de Twitter de Brendan Iribe, presidente ejecutivo de Oculus, la unidad de realidad virtual de Facebook, fue un blanco fácil porque volvió a usar una vieja contraseña de Myspace, indicó “Lid”, el hacker que asegura haber tomado control de la cuenta del ejecutivo por unas cuantas horas el mes pasado. Lid envió varios mensajes no autorizados, incluyendo uno en el que se autoproclamaba como el nuevo presidente ejecutivo de Oculus. Lid se abstuvo de revelar su nombre verdadero. Oculus confirmó la secuencia de los hechos.
Las grandes bases de datos de nombres y contraseñas de usuario aparecen periódicamente a disposición del mejor postor en sitios web del mercado negro. Sin embargo, en los últimos meses, “el abuso de datos parece estar incrementándose”, dijo en junio en una entrevista Bob Lord, director de seguridad de información de Yahoo.
Los usuarios de Twitter prominentes usualmente recuperan el control de sus cuentas en cuestión de horas, causando poco daño más allá de unas cuantas vergüenzas. Sin embargo, los profesionales de seguridad dicen que volver a usar contraseñas puede exponer a las redes corporativas o al creciente número de servicios empresariales en línea.
Las compañías les dicen a los empleados que no repitan sus contraseñas corporativas en servicios como LinkedIn, pero es imposible constatar si esto sucede. Eso es algo preocupante, dice Cormac Herley, investigador con Microsoft. “Podría pasar que algún tercero tenga una brecha de seguridad y esencialmente yo quedo vulnerable si mis empleados han repetido sus contraseñas”, señala.
Fuente: The Wall Street Journal, 07/08/16.
Más información:
Evite el Phishing
En busca de la contraseña perfecta
La agonía de las contraseñas de Internet
Cómo blindar su contraseña contra los hackers
.
En busca de la contraseña perfecta
agosto 5, 2014
Cómo la búsqueda de una contraseña perfecta se puede volver una paranoia.
Por Lisa Pollack.
Después de un largo período de incubación, me temo que la paranoia digital de mi novio me ha infectado totalmente. Todo comenzó cuando empecé a sufrir de una persistente sensación de incompetencia con respecto a cuántas veces había reutilizado la misma contraseña de ocho caracteres en múltiples sitios web. Mi novio es un desarrollador de software y la seguridad en línea es una de sus especialidades, así como sorber el mismo café durante varias horas mientras leo en un bar es mi especialidad. Sabía que el utilizar la misma débil contraseña una y otra vez era un riesgo de seguridad, pero era tan práctico y tentador como almorzar todos los días en un restaurante en lugar de llevar comida preparada de mi casa a la oficina.
Junto con estos sentimientos yo tenía sensaciones de duda con respecto a los permisos que había concedido a las aplicaciones descargadas desde la tienda de Google Play a mi teléfono inteligente. Enviar mensajes SMS no parece ser algo que tenga que hacerse por medio de un juego y, al permitirle a la aplicación hacerlo por mí, podría haberle abierto la puerta a ladrones virtuales. Los programadores de la aplicación podrían hacer que mi teléfono enviara mensajes a números de tarificación adicional que ellos habían programado. Debí limitarme a descargar el Sudoku y nada más.
El malestar por compartir demasiado en Facebook es, me he dado cuenta, el más fácil de los problemas de paranoia digital de sanar. Al ver cuán inexactos son los anuncios “personalizados” en Facebook la sensación de persecución se evapora al instante: no bebo Starbucks ni loca, no quiero una tarjeta de crédito y yo no voy a adoptar un niño. Es simplemente ridículo imaginar que quiera tomar un café que sabe como si lo hubieran hervido 10 veces.
Pero es la insuficiencia en materia de contraseñas lo que me estaba causando la mayor molestia, así que decidí hacer algo al respecto. Gracias a las investigaciones de mi novio, descargué un gestor de contraseñas que almacena todas tus contraseñas en una bóveda en línea. La bóveda sólo se puede acceder por medio de una única contraseña maestra que, si se establece correctamente, es tan larga y complicada que memorizar tractos de Los Cuentos de Canterbury parece cosa de niños. Y aunque yo no quiero dar la impresión de que la longitud es una medida importante para todo en la vida, me he dado cuenta que mi contraseña maestra es más larga que la de mi novio.
Lo que hace que esta solución sea efectiva es que el tener contraseñas almacenadas estimula a restablecerlas aleatoriamente en los distintos sitios web. De esa manera, mi novio explicó, si la seguridad de un sitio determinado se ve comprometida, el daño es limitado. Los criminales cibernéticos no podrán tener acceso a mi cuenta de PayPal porque comprometieron la base de datos de AirBnB, a pesar de que podrán cancelar nuestra estancia en un ático encantador durante nuestras vacaciones, pero realmente dudo que exista gente tan malvada …
Los gerentes de contraseñas también ofrecen la posibilidad de “añadir accesorios”, y como detesto hacer las cosas a medias, me interesé en ello. Mi novio pidió un “dongle” – llamado un “YubiKey” – para poner en su llavero, mientras yo opté por descargar una aplicación en mi teléfono llamado “Google Authenticator». Ambas metodologías permiten una medida de seguridad adicional conocida como «autenticación de dos factores», pero mi accesorio me permite aparentar ser un agente de la CIA en lugar de un conserje. Los códigos generados por la aplicación de Google, los cuales se registran periódicamente en el administrador de contraseñas, se autodestruyen cada 30 segundos, así que se ve aún más intrigante.
A pesar de que todo esto ha aliviado mi sensación de inseguridad con respecto a las contraseñas, también ha tenido un efecto secundario inesperado. Cuando veo a un colega entrar una contraseña de siete caracteres de memoria, no puedo evitar pensar cuán pintoresco luce. Todas mis contraseñas, excepto la contraseña maestra, tienen entre 12 y 15 caracteres y se generan aleatoriamente. Hasta saber de memoria más de varias contraseñas parece algo anticuado. Mi nivel de esnobismo digital ha crecido tanto y tan rápidamente, que mi obsesión por un buen café parece algo pueril.
El virus “Heartbleed Bug”, que comprometió el método de cifrado utilizado en aproximadamente dos tercios de todos los sitios web, empeoró aún más las cosas. La vulnerabilidad, descubierta en abril, permitió a los “hackers” robar información de un número incalculable de sitios web. Yo había almacenado alimentos antes de la hambruna y agua antes de la sequía – ¡y estaba lista cuando el Apocalipsis digital llegó!
Esto ha fortalecido mi determinación por protegerme digitalmente aún más. ¿Debería quizás pensar en una instalación de almacenamiento en la nube más segura? O instalar un sistema operativo diferente en mi teléfono que me permita descargar una nueva aplicación para tener opciones de privacidad todavía más granulares? Fue entonces que me di cuenta: mi paranoia digital se había convertido en una enfermedad crónica. Y me temo que pueda ser contagiosa.
Fuente: The Financial Times, 2014.
——————————————————-
Más información:
La agonía de las contraseñas de Internet
Evite el Phishing
La agonía de las contraseñas de Internet
agosto 3, 2014
La agonía de las contraseñas de Internet.
Por Christopher Mims.
La contraseña de mi cuenta de Twitter, que tengo desde 2007 y en la que he publicado más de 51.000 tuits, es «christophermims». Sin embargo, saber eso no lo ayudará a hackearla. Es más, publico mi contraseña para enfatizar un punto: la contraseña finalmente está muriendo, si queremos que así sea.
Antes de explicar por qué estoy tan confiado en la irrelevancia de la contraseña que hasta estoy dispuesto a revelar la mía, hablemos sobre lo que está sucediendo, al menos en una etapa de prueba, en el campus corporativo de Google: la autenticación basada en aparatos.
Google trabaja en un protocolo todavía sin nombre que permite que uno se conecte a sus cuentas en línea desde cualquier aparato al autenticar su identidad con el teléfono inteligente. Esto podría ser un código que le envían, o incluso un «anillo inteligente».
En junio, Google mostró una versión de este plan, en el cual la laptop de un usuario puede ser desbloqueada con la sola presencia de su celular. Podría parecer que reemplazar un aparato de autenticación que guarda en su cabeza (contraseña) con otro que guarda en su bolsillo (como un teléfono) es una tontería, pero considere: la contraseña puede ser obtenida por hackers, mientras usted puede desactivar el teléfono ni bien desaparece.
Si usted tiene un iPhone o uno de los teléfonos más nuevos de Samsung que funcionan con el sistema operativo Android, de Google, bloquear su teléfono de forma remota es simple. Así que incluso si un ladrón roba el aparato que brinda acceso a sus cuentas, usted puede desactivarlo fácilmente. Además, su teléfono ya está bloqueado (o debería estarlo) con un PIN o incluso un sensor de huellas digitales.
Si quiere tener un bosquejo de un futuro sin contraseñas, sólo tiene que desactivar una función de seguridad común en todos los principales servicios en la web. Está disponible en todos los gigantes de Internet, incluida cada cuenta ofrecida por Google, Yahoo, Microsoft, Facebook, Twitter y decenas de otros servicios. Sin embargo, encuestas sugieren que la mitad del público no sabe que esa función existe. Se llama autenticación de dos factores. Y si alguna vez retiró dinero de su cuenta bancaria en un cajero automático, ya lo experimentó.
Las contraseñas son una clase terrible de autenticación de un solo factor, en el cual el único factor que lo identifica es la contraseña misma. Si escuchó que las contraseñas más largas y complicadas son mejores que las cortas, eso es sólo parcialmente cierto. Es así porque, debido a nuestras memorias limitadas, casi todos reusamos contraseñas en múltiples cuentas.
A Google no le gusta dar detalles sobre este tipo de cosas, pero es muy probable que una de las formas más comunes en que se vulneran las cuentas de Gmail sea que los hackers consigan una base de datos de contraseñas de un tercero —como los 145 millones de claves de eBay que fueron vulneradas este año— y las pruebe en las direcciones de correo electrónico con las que están relacionadas.
Sea honesto: ¿usted usa una contraseña única para cada uno de sus correos electrónicos y sitios de banca en línea?
Actualmente, la autenticación de dos factores resuelve el problema de la inseguridad de las bases de datos de contraseñas. El primer factor podría ser algo que sabe —como una contraseña— y el segundo es un objeto que tiene. En el caso de un cajero automático, lo que sabe es su clave personal, y el objeto que tiene es la tarjeta de débito.
La autenticación basada en un aparato para su e-mail o cuentas bancarias en línea funciona de forma algo distinta: lo que sabe es una contraseña, y lo que tiene es un smartphone. En la mayoría de las implementaciones de autenticación de dos factores, cuando intenta conectarse a través del método usual, el sitio web le pide que ingrese un código (habitualmente de seis dígitos) que le acaba de enviar por mensaje de texto. Como nadie más en el mundo tiene su número de teléfono, y el sistema internacional para enviar mensajes de texto es, según expertos, casi imposible de hackear, el resultado es un sistema de ingreso mucho más seguro que una contraseña sola.
Pero hay más: la autenticación a través de un mensaje de texto (o en algunos casos una aplicación en su teléfono inteligente) es mucho mejor que una contraseña sola que, de cierto modo, convierte a la contraseña en obsoleta. Es verdad que incluso la autenticación de dos factores puede ser vulnerada por un puñado de métodos, pero todos esos métodos son iguales de efectivos más allá de la longitud y características de su contraseña. Por eso, ya hay empresas trabajando en servicios de autenticación de dos factores.
Eso no quiere decir que la autenticación de dos factores, y su prima más avanzada, la autenticación basada en un aparato, sea una panacea. La seguridad es una carrera armamentística, y si una buena cantidad de personas adoptan estos nuevos métodos, los hackers encontrarán sus debilidades. Pero mientras tanto, si quiere experimentar un futuro donde ya no tenga que recordar decenas de contraseñas, ni depender de un servicio que lo haga por usted, active la función de dos factores en las cuentas que más le importan.
Fuente: The Wall Street Journal, 18/07/14.