James Thew - Fotolia

Lo básico Póngase al día con nuestro contenido introductorio.

Brecha masiva en Friend Finder Network provoca debate sobre seguridad de las contraseñas

Expertos debatieron varios aspectos de la seguridad de las contraseñas después de la brecha de Friend Finder Network, que dejó expuestas 400 millones de cuentas de usuarios.

La mayor brecha de datos de 2016 expuso más de 400 millones de cuentas de usuarios y provocó un debate entre expertos sobre las mejores prácticas de seguridad por contraseña.

Friend Finder Network, que abarca una serie de sitios de citas y entretenimiento para adultos como AdultFriendFinder y Penthouse, fue atacada en octubre, lo que provocó una brecha de poco más de 412 millones de cuentas de usuarios en seis dominios, y la exposición de contraseñas de cuentas de clientes, direcciones de correo electrónico y direcciones IP desde el último inicio de sesión de un usuario. Los datos filtrados también incluyeron casi 16 millones de cuentas que parecen haber sido eliminadas por los usuarios, pero que no habían sido purgadas de los servidores de la compañía.

El mes pasado, un hacker llamado 1x0123 en Twitter –cuya cuenta ha sido suspendida– publicó capturas de pantalla de AdultFriendFinder mostrando la forma de explotar una vulnerabilidad de inclusión de archivos locales, permitiendo que un atacante incluyera archivos ubicados en otra parte del servidor en la salida de una aplicación determinada.

De las más de 400 millones de cuentas de usuarios expuestas de Friend Finder Network (FFN), alrededor de 125.6 millones tenían contraseñas almacenadas en texto plano, y 282 millones de contraseñas almacenadas usando el algoritmo obsoleto SHA-1, que compañías como Google, Mozilla y Microsoft han dejado de soportar o han programado para ser desaprobado.

Rick Holland, vicepresidente de estrategia para la firma de conciencia de ciberseguridad Digital Shadows, dijo que las adquisiciones de cuentas, el spear phishing y la extorsión son solo algunos de los riesgos que el personal corporativo podría enfrentar por esta brecha.

"Las credenciales expuestas de los sitios de citas para adultos tienen un valor especial para los ciberdelincuentes, dado su potencial para extorsionar a las víctimas. La mayoría de los suscriptores a estos servicios quieren permanecer en el anonimato, y no quieren que sus empleadores o familias sepan", dijo Holland a SearchSecurity. "Es probable que haya una cantidad significativa de credenciales que podrían ser aprovechadas con fines maliciosos. Las empresas deben supervisar de forma proactiva los vertederos de credenciales pertinentes a las cuentas de su organización, y estar dispuestos a obligar al cambio de contraseñas en caso de que las credenciales no hayan sido expuestas en el pasado”.

Otros expertos hicieron eco del sentimiento de que las empresas deberían tener cuidado con la seguridad de las contraseñas, a raíz de una violación tan masiva de datos. Stephen Coty, principal evangelista de seguridad de Alert Logic, dijo que las empresas no solo deben centrarse en si su propio dominio se encuentra en la brecha.

"Esta es una muy buena oportunidad para que las compañías obliguen al restablecimiento de la contraseña", dijo Coty a SearchSecurity. "Puede descargar el botadero de datos y coincidir con los dominios de dirección de correo electrónico de la empresa, pero es posible que no vea a los usuarios que utilizan su correo electrónico personal y todos utilizan la misma contraseña".

Daniel Messier, director de servicios de asesoría de IOActive, dijo que a los usuarios se les debería recordar la seguridad de su contraseña con todas las cuentas en línea. "Puede incluso ir un paso más allá con el cracking proactivo de cuentas y las notificaciones a los usuarios de que necesitan hacer mejores contraseñas, tanto en su sitio, como en cualquier otro lugar también", dijo Messier. "En este punto, la debilidad de la contraseña y el problema de compartir es un problema importante de seguridad en internet".

Amichai Shulman, CTO de Imperva, no estuvo de acuerdo con los otros expertos y dijo a SearchSecurity que forzar los restablecimientos de contraseñas podría resultar oneroso.

"Si restableciéramos las contraseñas cada vez que ocurre una brecha grande, paralizaríamos las operaciones cotidianas, así que no tomaría ese drástico paso a menos que sospechara que una buena proporción de mis usuarios empresariales se vieron afectados", dijo Shulman. "Un mejor enfoque es enviar un mensaje a la gente a que considere cambiar su contraseña si tienen una razón para creer que están afectados".

Transparencia del cifrado

El uso de FNN del algoritmo obsoleto SHA-1 para cifrar los datos de los usuarios fue criticado rotundamente, pero los expertos discreparon sobre el valor de los sitios web que son transparentes respecto al cifrado utilizado.

"Creo que deberían ser transparentes. Los obligaría a tener que subir su juego", dijo Coty. "Lo malo sería que los atacantes potenciales sabrían qué encriptación están usando. Pero, ¿eso es malo? [Los hackers] podrían concluir que no vale la pena si tardarán demasiado en obtener los datos cifrados".

Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi, dijo que los socios comerciales y los usuarios no deberían estar ciegos al cifrado utilizado por otros.

"Las empresas y los gobiernos deberían estar orgullosos de declarar los niveles de cifrado y las protecciones utilizadas para asegurar los datos de los clientes. Pero, en lugar de eso, las organizaciones están admitiendo esencialmente que están aceptando niveles más bajos de seguridad y mayor riesgo", dijo Bocek a SearchSecurity. "Muchas empresas no saben si erradicaron todos los certificados vulnerables de SHA-1. Desafortunadamente, aprenderán una lección costosa cuando los navegadores dejen de confiar finalmente en los certificados SHA-1 en cuestión de meses".

Shulman dijo que la transparencia puede no ser útil si los usuarios no entienden la tecnología.

"Durante todo mi tiempo en el negocio de la seguridad de la información, nunca he visto a los usuarios evitar sitios que tienen una encriptación débil o algoritmos de reducción obsoletos", dijo Shulman. "Además, la mayoría de los usuarios no saben lo que es un algoritmo de reducción y por qué se debe utilizar para la protección por contraseña”.

Messier dijo que la transparencia no ayuda si la seguridad con contraseña no es una prioridad para una organización. "Es poco probable que [la transparencia] ayude. Cualquier sitio capaz de descubrir y comunicar su estrategia de protección también es capaz de utilizar algoritmos fuertes", dijo Messier. "La cuestión, en la mayoría de los casos, es que la empresa simplemente no prioriza la seguridad, no contrata a las personas adecuadas, o no da a esas personas la capacidad de realizar los cambios que deben hacerse".

Un análisis de las contraseñas en la brecha de FNN por LeakedSource.com, que recopila y analiza datos violados, encontró más de dos millones de instancias de contraseñas que eran una serie de números secuenciales, QWERTY, QWERTYUIOP o la palabra "contraseña". Un número de expertos dijo que la seguridad de las contraseñas se podría mejorar mucho con el uso de un administrador de contraseñas.

"Los usuarios necesitan ser entrenados y frecuentemente recordados de la importancia de esto. Las políticas de TI pueden ser aplicadas para cambiar o actualizar las contraseñas regularmente", dijo Stu Sjouwerman, CEO de KnowBe4, a SearchSecurity. "Y un gestor de contraseñas elimina la necesidad de recordar contraseñas complicadas, por lo que es fácil para el usuario mantenerse seguro".

Coty dijo que los usuarios necesitan dejar de tratar de recordar contraseñas complejas y adherirse a frases.

"Tenemos que empezar a pensar en frases y cajas fuertes de contraseñas donde solo necesitamos una contraseña maestra", dijo Coty. "Como fan de los Cowboys, podría tener 'Wh0 Misses D@n M@rino Number 16'; jugador y número equivocado para un fan de Cowboys, y para añadir complejidad adicional convertir la o en un 0 o una a en una @. No pienses en contraseñas complejas, difíciles de recordar. Recuerde frases fáciles de películas, libros, filósofos o insultos políticos”.

Bocek y John Bambenek, gerente de sistemas de amenazas de Fidelis Cybersecurity, dijeron que la industria necesita eliminar las contraseñas a favor de la autenticación multifactor.

"Hay herramientas que requieren que las personas usen contraseñas seguras que podrían haber sido implementadas", dijo Bambenek a SearchSecurity. "Sin embargo, hemos notado que cuanto más fuertes son los requerimientos de contraseñas, mejores son los usuarios en evadir controles. La contraseña es la peor forma de autenticación jamás utilizada".

Próximos pasos

Quizás quiera leer también:

La gestión de la información móvil comienza con el cifrado y la protección por contraseña

¿La gestión de contraseñas afecta la conformidad PCI DSS?

Pobre seguridad de IoT podría derribar la red eléctrica, advierte investigador

El debate de la puerta trasera para el cifrado gubernamental es matizado en RSAC

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close