¿Necesitamos algo más que las contraseñas para proteger nuestra información?
Es recomendable utilizar soluciones integrales de seguridad que brinden doble autentificación y que permiten mitigar considerablemente los ataques informáticos
Caracas, 4 de julio de 2013- Números, letras, símbolos y nada que tenga que ver con fechas de nacimiento, cédula de identidad o nombres de mamá, papá o la pareja son las recomendaciones que escuchamos constantemente cuando vamos a crear una contraseña, sea en nuestro teléfono móvil, banca online o redes sociales. Pero seguramente en algún momento se ha preguntado: ¿Esto realmente es necesario?, ¿de verdad me está protegiendo?, ¿con esto voy a evitar que me roben información, que realicen alguna transacción bancaria?
Camilo Gutiérrez Amaya, Especialista de Awareness & Research de ESET Latinoamérica, (compañía líder en detección proactiva de amenazas), asegura que la respuesta es afirmativa, pero no es la única medida de seguridad que se debe tener en cuenta para proteger nuestra información. “Las contraseñas son nuestras llaves de acceso a una cantidad de dispositivos y servicios que nos protegen -en parte- de ataques generados por ciberdelincuentes, si las usamos correctamente. De hecho al emplearlas estamos colocando una primera barrera, pero como en todos los actos delictivos, esta barrera puede ser violentada y acceder a lo deseado”.
Recomendación
-
Para que una contraseña sea segura debe ser fácil de recordar y difícil de adivinar
- Debe ser larga, como mínimo 10 caracteres
- Debe estar conformada por caracteres alfanuméricos
- Se debe utilizar una clave distinta para cada servicio que se usa
- No compartirlas ni almacenarlas en lugares inseguros
Esta información Gutiérrez Amaya la dio a conocer en el evento ESET Security Day 2013, celebrado en el mes de junio en un importante hotel capitalino, donde se dieron citas diversos expertos en el área de seguridad de la información. Durante su ponencia explicó que existen cuatro tipos de ataques principales con los cuales pueden ser vulneradas contraseñas: “la fuerza bruta, malware, phishing y ataques a servidores”.
Los ataques de fuerza bruta -también conocidos como ataques de diccionario- buscan aprovechar la simplicidad de las claves secretas al momento de crearlas. Si son contraseñas muy predecibles, o fáciles de adivinar, los ciberdelincuentes las determinan probando combinaciones y, cuando lo han logrado, obtienen toda la información que desean.
“Por ejemplo, contraseñas como el nombre de la persona más 12345 o una secuencia de número 9, 8, 7, 6, 5 son la carnada perfecta para los ciberdelincuentes. Un caso reciente muy famoso fue el de la cuenta oficial de Twitter de Burger King. Aparentemente descubrieron que la contraseña utilizada era ´whopper` (nombre del producto estrella de la cadena) y, al vulnerarla, hicieron publicidad del principal competidor de la marca: Mc Donalds”, asegura.
Los segundos ataques son generados a través de malware o códigos maliciosos, que pueden estar desarrollados para hacer daño, robar información e, incluso, hasta datos bancarios. Hay diferentes códigos maliciosos, uno de ellos son los de tipo Keylogger, que registra todo lo que el usuario va tecleando en su dispositivo, lo almacena en un archivo y es enviado al ciberdelincuente.
Otro ejemplo de un código malicioso que tuvo mucha repercusión en 15 países de Latinoamérica a finales de 2011 y durante el 2012 fue el caso Dorkbot. Es un gusano informático que convierte el dispositivo infectado en parte de una botnet y que una vez que infectaba las computadoras de las víctimas, robaba las contraseñas directamente del sistema y permitía el acceso a la información almacenada en las mismas.
“Dorkbot afectó a más de 80 mil equipos en la región. Su modus operandi era a través de redes sociales o email, donde enviaba links para la descarga de algún video y cuando el usuario hacía click se infectaba la computadora. De esta manera, la información quedaba a disposición del delincuente, incluyendo el nombre de usuario y claves, entre otros”, explica el Especialista en Awareness & Research de ESET Latinoamérica.
La tercera forma de ataque es llamada phishing. Ocurre mediante correos electrónicos que llegan a muchas personas y dicen ser de una entidad conocida de confianza (normalmente bancarias, compañías de telefonía celular o empresas comerciales). A través de ese correo falso le dicen que hay algún problema de seguridad y que haga click en un link que lo llevará a una página supuestamente de la empresa, donde podrá resolver el problema. Cuando se enlaza con el hipervínculo se llega a una página falsa que es controlada por el ciberdelincuente. Es decir, toda la información que registre el usuario en ese momento estará disponible para esa persona.
Gutiérrez explica que independientemente de la seguridad que los usuarios tengan de manera personal, ellos almacenan su información cuando se registran a un servicio, aquí también se pueden generar ataques. “Si las empresas que prestan ese tipo de servicio no cuidan de forma adecuada esa información, corren riesgo de que se vean vulnerable, porque si un ciberdelincuente entra a ese servidor puede bajar la base de datos y obtener los nombres de los usuarios, esto es lo que conocemos como ataques a servidores. Incluso pueden utilizar las GPU (unidades de procesamiento gráfico) de los computadores que tienen una capacidad en paralelo bastante alta para descifrar las claves que estén encriptadas. A través de ellas han logrado descifrar claves de seis caracteres en cinco segundos. Incluso en diciembre de 2012, en Oslo se detectaron contraseñas de ocho caracteres en menos de seis horas”.
El especialista afirma que para poder combatir y evitar ser víctima de cualquiera de estos ataques es necesario tomar medidas más allá de las contraseñas. Se necesitan implementar soluciones de seguridad e incluso dependiendo del servicio utilizar un segundo factor de autenticación; esta puede ser la combinación entre algo que el usuario sabe (como una contraseña) y algo que este posee (como una credencial especial enviada al dispositivo). De esta manera será posible mitigar considerablemente los ataques informáticos.
Acerca de ESET
Fundada en 1992, ESET es una compañía global de soluciones de seguridad que provee protección de última generación contra amenazas informáticas. La empresa cuenta con oficinas centrales en Bratislava (Eslovaquia), con centros de distribución regionales en San Diego (EE.UU.), Buenos Aires (Argentina), y Singapur, con oficinas en Sao Paulo (Brasil), México DF (México), Praga (República Checa) y Jena (Alemania). ESET ® cuenta con centros de investigación de malware en Bratislava, San Diego, Buenos Aires, Singapur, Praga, Košice (Eslovaquia), Cracovia (Polonia), Montreal (Canadá), Moscú (Rusia) y una amplia red de socios en más de 180 países.
Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.
Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.
ESET cuenta también con un largo historial de reconocimientos por parte de prestigiosos laboratorios de la industria: su solución ESET NOD32 logra más premios de Virus Bulletin que ningún otro producto antivirus disponible, detectando consistentemente todos las muestras activas (In-the-Wild) sin generar falsos positivos.
Por otra parte, ESET Latinoamérica cuenta con ESET Security Services, a través de la cual se ofrecen servicios de seguridad de la información a empresas de la región. Los mismos tienen como fin evaluar de manera objetiva el estado de todos los aspectos de la seguridad de la información en las compañías, desde los técnicos hasta los legales y normativos.
La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio.
ESET Latinoamérica es una compañía socialmente responsable que entiende el RSE como una forma de gestión alineada al negocio trabajando con todos sus públicos: educando y protegiendo a la comunidad, cuidando el medio ambiente, beneficiando y desarrollando a sus colaboradores; trabajando y reconociendo a sus Partners y Distribuidores en la región. Con estas iniciativas, ESET Latinoamérica busca dar a conocer sus valores institucionales y devolver a la comunidad parte de lo que ella entrega para que la compañía pueda desarrollarse y seguir creciendo.