Por si había alguna duda de la creciente inseguridad fruto de la débil custodia de datos o claves de acceso y la certeza de que esto nos afectará más temprano que tarde, recientemente hemos conocido la brecha sufrida por una red profesional tan popular a nivel mundial como LinkedIn, con el robo y publicación en la web de millones de contraseñas de sus usuarios y que ha provocado la ya considerada como mayor merma en la reputación de la compañía desde su existencia.
Hay que aclarar que el fallo es doble: Por un lado se realizó un ataque con éxito que provocó el robo de un número indeterminado de contraseñas de usuario, y a continuación -y más preocupante-, se descifraron más de seis millones de las contraseñas robadas, que se han publicado en diversas páginas web.
Las consecuencias para el usuario también son dobles:
Por un lado la privacidad de sus datos en LinkedIn estácomprometida. Por defecto debe considerar que toda la información residente en LinkedIn es ahora de dominio público y además verificar que dichos datos no han sido alterados de forma interesada. Por mucha prisa que nos hayamos dado en cambiar la clave de acceso a LinkedIn no sabemos cuándo se realizó el robo de claves, puede que mucho antes de su publicación…
Por otro lado, y dada la costumbre de utilizar las mismas claves de acceso para múltiples servicios web, puede que otros servicios como correo o banca online se hayan visto comprometidos, y de igual forma, durante un plazo de tiempo indeterminado, y puede que considerable.
Esta situación ha dañado la imagen de LinkedIn, y plantea dudas sobre si ha hecho lo suficiente para salvaguardar la información privada de sus usuarios.
LinkedIn es un blanco muy atractivo para el robo de datos porque este sitio almacena información personal sobre 160 millones de profesionales, entre los que se incluyen reconocidos líderes empresariales. La compañía adoptó algunas medidas para proteger las contraseñas en caso de robo, pero el hecho de que se usara un cifrado muy débil (unsalted hash) es preocupante y claramente insuficiente.
En este sentido, o las empresas van mucho más allá y adoptan tecnologías más modernas de cifrado aplicándolas de manera sistemática para proteger tanto la información denominada hard data (por ejemplo, transacciones financieras) como la información soft data (contraseñas u otras credenciales) o se repetirán estas situaciones cada vez con consecuencias más graves.
Por otra parte, los gobiernos deberían salvaguardar los derechos de los usuarios obligando a las empresas de servicios online a declarar en menos de 24h cualquier brecha de seguridad que sufran, dando así oportunidad a los usuarios de tomar medidas correctivas de forma inmediata, dado que ocultando o demorando la comunicación de estos hechos favorece a los ciberdelincuentes al poder utilizar su botín sin que el usuario sepa que su seguridad ha sido comprometida.
¿Cómo defenderse? Como empresa, con acceso robusto de dos factores (claves dinámicas) y cifrado. Toda empresa que maneje datos sensibles debería aplicar cifrado robusto y almacenar de las claves de forma segura fuera del servidor, en una “caja fuerte digital” (HSM). Es la única forma de garantizar que los datos no puedan ser utilizados en caso de ataque y robo de datos. Escenario por cierto, cada vez más probable. Es importante mejorar la seguridad del acceso de usuarios con autenticación fuerte de dos factores.
Como usuario, si usamos claves de acceso simples (tan sólo usuario y pasword), debemos usar claves complejas, almacenarlas de forma segura (mejor con cifrado) y no pretender memorizarlas. Por lo tanto, es mejor usar preferentemente servicios que usen claves de un solo uso o autenticación fuerte (generador de claves: “token” más contraseña sencilla). El principio de seguridad de dos factores “algo que tienes más algo que sabes” aún es válido y seguro frente a las amenazas actuales.
