James Thew - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Error de contraseñas de Twitter subraya la necesidad de un cambio en la industria

Twitter reveló que un error en sus sistemas dio como resultado que algunas contraseñas se almacenaran en un registro en texto claro, lo que subraya la necesidad de métodos de autenticación alternativos, dicen los comentaristas de la industria.

Twitter ha aconsejado a sus usuarios que cambien sus contraseñas después de descubrir que una falla en los sistemas había dado lugar a que se escribieran algunas contraseñas en un registro interno antes de que se completara el proceso de cifrado.

"Recientemente identificamos un error que almacenaba contraseñas desenmascaradas en un registro interno", dijo la compañía a los usuarios. "Hemos solucionado el error y nuestra investigación no muestra indicios de incumplimiento o mal uso por parte de nadie".

Twitter no ha revelado cuántas contraseñas se vieron afectadas, pero de acuerdo con la BBC, se entiende que el número es "sustancial" y que estuvieron expuestas durante "varios meses".

Twitter también descubrió el error hace algunas semanas y lo ha informado a algunos reguladores antes de decidirse a hacerlo público y advertir a los usuarios.

Aunque no se conoce ninguna infracción, esto ha subrayado nuevamente la importancia de que las organizaciones sigan las mejores prácticas y la necesidad real de un método de autenticación alternativo a las contraseñas.

Por lo menos, los comentaristas de la industria dicen que Twitter no debería simplemente dar a los usuarios la opción de habilitar la autenticación de dos factores (2FA), sino que debería habilitarla como la predeterminada.

Aunque el enmascaramiento de contraseñas usando la función hash bcrypt es loable, Twitter no siguió las mejores prácticas, dijo Ambuj Kumar, cofundador y CEO de Fortanix.

"Como resultado, las contraseñas se escribieron en archivos de registro de texto plano, exponiéndolas a cualquier persona que tuviera acceso a los archivos de registro", dijo.

Aunque Twitter afirma que ha eliminado las contraseñas y está implementando planes para evitar que vuelva a ocurrir, Kumar dijo que no hay garantía, por lo que los usuarios deben seguir los consejos de Twitter para cambiar sus contraseñas en Twitter y en cualquier otro lugar donde hayan usado la misma contraseña.

"Muchas organizaciones usan sistemas de copia de seguridad y crean varias copias de los mismos archivos en varios discos duros y sistemas, por lo que queda la pregunta de si Twitter eliminó todas las copias de todos los sistemas, o si hay una copia en algún sistema interno que aparecerá muchos años más tarde, cuando las personas se hayan olvidado de este incidente", dijo.

La industria de seguridad en su conjunto debería establecer estándares más altos para asegurar información confidencial como contraseñas, agregó Kumar.

El director técnico del Centro Nacional de Ciberseguridad del Reino Unido (NCSC), Ian Levy, ha nombrado la identidad y la autenticación como una de las principales áreas que los innovadores en seguridad cibernética deberían tratar de abordar.

"Tenemos que deshacernos de las contraseñas", dijo Levy. "No funcionan y no hacen lo que las personas piensan que hacen. No funcionan para las personas, mucho menos para la seguridad. Necesitamos mejores formas de autenticación".

Mike Banic, vicepresidente de marketing de Vectra, dijo que Twitter es una de muchas aplicaciones móviles y basadas en la web que no requieren autenticación de dos factores como predeterminada, aunque los usuarios de Twitter pueden habilitar 2FA cambiando la configuración predeterminada.

Dijo que la importancia de 2FA se demuestra por el hecho de que la violación de los datos de la Oficina de Administración de Personal de EE.UU. comenzó con los cibercriminales utilizando credenciales robadas para posar como empleados legítimos de un contratista de OPM que realiza investigaciones de antecedentes.

Heather Howland, vicepresidenta de marketing de Preempt, dijo que el error de contraseña de Twitter destaca la necesidad de que los equipos de seguridad de TI puedan encontrar de manera proactiva contraseñas débiles.

"Los empleados a menudo vuelven a usar contraseñas para uso personal y comercial", dijo. "Forzar cambios de contraseña regulares para todos se ha vuelto ineficaz, por lo que será más eficaz encontrar mejores formas de identificar las contraseñas débiles en tiempo real y aplicar actualizaciones de contraseñas contextuales cuando realmente se necesiten".

Ryan Wilk, vicepresidente de éxito de clientes en NuData Security, una compañía de Mastercard, dijo que es hora de que las organizaciones vayan más allá de las vulnerabilidades de las medidas de seguridad menos confiables que puedan tomar y adopten un enfoque de defensa en capas que incorpore formas de autenticación altamente confiables.

"Las contraseñas son información estática que pueden ser fácilmente reutilizadas por posibles ladrones, y los expertos aconsejan que ya no se trata de si, sino de cuándo se van a robar las contraseñas de una organización o persona, especialmente ahora que hemos ingresado la era de mega-brechas”.

Contraseñas estáticas poco confiables

"Desafortunadamente, mucha gente todavía no comprende cuán poco confiables son las contraseñas estáticas como un mecanismo de seguridad efectivo. De hecho, muchos continúan reutilizando sus nombres de usuario y contraseñas en muchos sitios, incluso llegando a reutilizar sus nombres de usuario de empleados con cuentas abiertas para uso personal. Como resultado, cuando una cuenta es pirateada, todas sus cuentas quedan vulnerables, junto con la valiosa información de su empleador".

Wilk agregó: "El uso de contraseñas para controlar el acceso a la cuenta es más un artefacto pintoresco de una era más simple que una medida de seguridad efectiva. Las contraseñas estáticas son fáciles de robar y reutilizar, dejando al usuario y la organización vulnerables a robos de cuentas y hurtos".

Según Wilk, las organizaciones deberían implementar biometría pasiva y análisis de comportamiento que utilicen la singularidad de las interacciones del usuario con dispositivos y servicios para construir un perfil de identidad digital, permitiendo a las organizaciones asegurarse de que el usuario es quien dice ser, y no un estafador utilizando una contraseña robada.

Michael Magrath, director de normas y estándares globales en VASCO Data Security, dijo que la dependencia de las organizaciones en un único secreto compartido para proteger la información personal identificable (PII) ha sido muy lucrativa para los piratas informáticos.

"Aunque ninguna solución de seguridad es 100% segura, en 2018 las organizaciones que no implementan el sistema de autenticación basado en riesgos esperan bailar entre las gotas de lluvia, aunque la mayoría de los sitios web orientados al consumidor no ofrecen alternativas al nombre de usuario, contraseña y un conjunto estrecho de preguntas de desafío que a menudo se pueden responder con búsquedas en Facebook", dijo.

Pero eso puede estar cambiando, dijo Magrath. "La Alianza Fido y el World Wide Web Consortium (W3C) anunciaron recientemente el protocolo de autenticación web (WebAuthn) de FIDO para la etapa de recomendación de candidato (CR), precursor de la aprobación final de un estándar web", dijo. "El W3C ha invitado a los servicios en línea y a los desarrolladores de aplicaciones web a implementar WebAuthn, y Google, Microsoft y Mozilla han prometido soporte".

De acuerdo con Magrath, WebAuthn también puede admitir varios inicios de sesión biométricos, incluidos el reconocimiento facial y de voz, las huellas dactilares y el escaneo del iris.

"Permite a los usuarios registrar métodos de autenticación biométricos o de segundo dispositivo sin contraseña con el servicio, reemplazando así la contraseña", dijo.

"Es probable que las contraseñas se usen para la eternidad de algún aspecto o forma, pero la contraseña de la computadora tal como la conocemos puede estar en soporte vital. Su tiempo claramente ha llegado y se ha ido".

Twitter ha publicado estos consejos sobre la seguridad de la cuenta:

  • Cambie su contraseña en Twitter y en cualquier otro servicio donde haya usado la misma contraseña.
  • Use una contraseña segura que no reutilice en otros servicios.
  • Habilite la verificación de inicio de sesión, también conocida como autenticación de dos factores. Esta es la mejor acción que puede tomar para aumentar la seguridad de su cuenta.
  • Use un administrador de contraseñas para asegurarse de que está usando contraseñas fuertes y únicas en todas partes.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close