Hablamos en un post anterior «Gestores de contraseñas: si o no«, de lo crítico que es nuestra contraseña de acceso a los distintos sistemas digitales que utilizamos a diario, ya sean personales o corporativos, de la necesidad de que ésta tenga cierta complejidad, y además de que sea distinta entre todos los servicios, y por tanto, recomendamos el uso de gestores de contraseñas que nos faciliten la vida para lograr estos objetivos, ya que de otro modo se antoja bastante imposible.
Otra recomendación, es activar el doble factor de autenticación siempre que sea posible, esto está orientado a que además de la contraseña, sea necesaria otra acción para entrar en el sistema, que suele comprender recibir un código directamente en nuestro smartphone, o a través de sms y correo electrónico. De este modo las posibilidades de que nuestras cuentas se vean comprometidas disminuyen muchísimo. La activación de estos servicios para Google, Apple.. o incluso entidades bancarias está muy extendido, y su uso es muy sencillo.
Desgraciadamente con todo y con esto, la concienciación en este sentido siempre es complicada, entre otras cosas porque el peligro es muy intangible, y porque hay que reconocerlo, el sistema de autenticación mediante contraseña es farragoso. Probablemente en el futuro, este método que es ahora universal, se haya sustituido por otra cosa más práctica y además más segura, pero a día de hoy es lo que hay, y debemos tratar de usarlo de la mejor manera posible.
Un recurso de concienciación muy útil es https://haveibeenpwned.com/, del que también hablamos en el artículo sobre sextorsión: «Sextorsión, qué es y como nos afecta«, y es que al final todo está muy relacionado: seguridad, contraseñas, phishing, sextorsión, robo de datos….
Hay muchas alternativas a https://haveibeenpwned.com/, todas más o menos con el mismo funcionamiento, puedes introducir tu e-mail, ya sea corporativo o personal, y ver si se ha visto comprometido alguna vez en algún robo de información en internet.
Este tipo de servicios también permiten configurar alertas, para que te avisen si en un momento dado se ve comprometida tu cuenta, y además es posible a nivel de uso corporativo, ver un resumen de las cuentas de tu dominio listadas en brechas de seguridad: https://haveibeenpwned.com/DomainSearch. Si por ejemplo no dispones en la empresa de una política de caducidad de contraseñas, esto puede ayudar a localizar brechas de seguridad en tu sistema.
En todo caso, hay que tener en cuenta que estos servicios tratan de hacer el bien, y no el mal, es decir, simplemente señalan si tu cuenta de correo se ha visto comprometida en un incidente de seguridad, y el origen de este incidente, que puede ser un robo de datos a facebook, una brecha de seguridad en dropbox o lo que sea.
Pero hay que ser muy conscientes, de que en la dark web, lo que anda deambulando son las contraseñas comprometidas tal cual, y están alcance de cualquiera. Para tratar de concienciarnos dejamos el siguiente recurso: http://pwndb2am4tzkvold.onion.ws/ dónde podremos buscar por e-mail o incluso por dominio de empresa, y ver listados de cuentas comprometidas, con su contraseña en texto claro, sin más.
Ese es el daño, y la realidad de lo que hay ahí fuera. El enlace anterior puede asustar un poco en cuanto a lo que muestra, pero es que con un navegador web como tor orientado a la internet oscura, el acceso a este tipo de información es mucho más completo y actualizado, y el uso es super sencillo, no se necesita ser un super hacker ni nada por el estilo para obtener listados de este tipo, e información personal crítica de millones de personas.
Con lo anterior, es más fácil hacer entender el por qué de las molestias de caducidad y cambio de contraseña periódica, historial de contraseñas o complejidad de las mismas. El objetivo es tratar de mantener los sistemas lo más seguros posibles.
