Un informe reciente afirma que un grupo ruso de delincuentes informáticos robó 1,200 millones de nombres de usuario y contraseñas de 420,000 sitios web. Las fugas reportadas afectarían a una gran variedad de organizaciones que van desde empresas en la lista de Fortune 500 hasta pequeñas sitios y negocios. Los sitios afectados no fueron identificados y muchos de ellos todavía se encuentran vulnerables ante estos ataques.
El grupo presuntamente logró obtener estos datos mediante el uso de botnets para probar sitios web en busca de vulnerabilidades. El informe señala que cuando uno de los equipos infectados de la botnet visita un sitio web, los atacantes fuerzan el equipo para realizar un ataque de inyección SQL en el sitio y ver si contiene vulnerabilidades. Si el sitio es vulnerable, entonces los atacantes toman nota de la página web y regresan después para robar información de la base de datos del sitio.
Al parecer los atacantes no han vendido muchos de los datos robados en línea, sino que han usado la información para enviar mensajes de spam en las redes sociales. Aún así, esta información podría tener un valor importante para los cibercriminales, ya que si las personas utilizan una misma contraseña en varios sitios, los atacantes podrían utilizar la información robada para comprometer cuentas adicionales y obtener más información sensible sobre las víctimas.
El problema de las contraseñas
Este incidente reportado demuestra una vez más que el sistema de contraseñas actual de muchos sitios es débil, por ello para los usuarios es fácil utilizar las mismas contraseñas en muchos sitios web o crear contraseñas sencillas y/o fáciles de adivinar. Como resultado, si un atacante logra obtener acceso a las credenciales de inicio de sesión del usuario por incumplimiento, vulnerabilidad o error de una página web, potencialmente podrían utilizar los mismos datos para obtener acceso no autorizado a otras cuentas del mismo usuario en otros sitios de Internet.
Incluso las noticias dadas a conocer recientemente sobre las principales vulnerabilidades no ha sido suficiente para convencer a la mayoría de los usuarios de cambiar sus contraseñas. Un reciente informe del Centro de Investigación Pew indicó que menos de cuatro de cada diez personas que tenían conocimiento sobre la vulnerabilidad Heartbleed cambiaron sus contraseñas en respuesta al riesgo generado por este incidente.
En lugar de culpar al usuario, sería mejor que las organizaciones busquen una mejor forma de autenticación para los servicios en línea. Y, teniendo en cuenta la rapidez con la que la tecnología de consumo y empresarial ha ido evolucionando en los últimos años, este puede ser el momento perfecto para actuar.
Autenticación móvil
La proliferación de los teléfonos inteligentes ha contribuido al aumento de la popularidad de la autenticación de doble factor. Así, muchos sitios Web, una vez que un usuario inicia sesión con su contraseña, le envían por correo electrónico, mensaje SMS o aplicación móvil un segundo código de autenticación temporal para verificar la autenticidad del usuario. Esto significa que incluso si la contraseña de un usuario se ve comprometida, un atacante tendría que obtener, además, acceso al segundo método de autenticación para entrar en la cuenta del usuario afectado.
El siguiente paso para iniciar una sesión de forma segura apunta a la autenticación biométrica. Si bien esta tecnología ha existido desde hace un tiempo, Apple la hizo masiva al incorporar un sensor de huella digital en su iPhone 5S el año pasado. Así, los usuarios pueden desbloquear su teléfono o autenticar las compras de iTunes colocando su dedo en el botón de inicio. Otros fabricantes de teléfonos inteligentes implementaron también esta característica en sus dispositivos y, en junio, Apple abrió la función para todas las aplicaciones, ayudando a que esta tecnología se extendiera aún más.
La autenticación biométrica en los teléfonos inteligentes no es sólo sobre las huellas dactilares. Un ejecutivo de Samsung dijo recientemente que la compañía está buscando fabricar dispositivos que detecten el iris del usuario para identificarlo.
El futuro de la autenticación
La autenticación no se detendrá ahí, ya que los investigadores están buscando continuamente nuevas formas de revolucionar el sistema. El año pasado, Regina Dugan, responsable del grupo de Tecnología y Proyectos Avanzados de Google, sugirió que un tatuaje o píldora ingerida, podría autenticar a un usuario. Acto siguiente, el usuario sólo tiene que tocar su dispositivo - o incluso su coche o puerta de entrada - para desbloquearlo.
Una empresa que salió de la Universidad de Oxford también está trabajando en un nuevo sistema de autenticación. El Sistema de Oxford BioChronometrics mide innumerables comportamientos diferentes que un usuario realiza cuando interactúa con sus dispositivos. Esto podría incluir la forma en que el usuario inclina su teléfono cuando escribe, su velocidad de desplazamiento, sus movimientos al usar un mouse y más. El sistema en cuestión combinaría esta información para crear electrónicamente los "Atributos Definidos Naturales (EDNA)" de un usuario, que después de usarían para autenticar al usuario.
El científico de la Universidad de Cambridge Frank Stajano cree que tiene otra respuesta al problema de las contraseñas en forma de un aura electrónica. En este sistema, el usuario lleva un accesorio o tiene un implante debajo de la piel que genera un aura electrónico. Esta aura se extendería a dos o tres pies alrededor del cuerpo de una persona y sus señales sólo permitirían usar los dispositivos de trabajo que le pertenecen al usuario. Como resultado, una persona podría desbloquear su coche con un llavero de control remoto dentro de este campo, pero si el dispositivo de llave cae fuera de este campo, no va a funcionar. Stajano también está trabajando en un dispositivo llamado el pico, mismo que almacena una innumerable cantidad de contraseñas diferentes para servicios en línea. Este dispositivo sólo funcionaría dentro del aura electrónica.
La protección de tu información
Puede pasar algún tiempo antes de que estos ambiciosos proyectos de autenticación se hagan realidad. Mientras tanto, Symantec recomienda a los usuarios a proteger su información en línea con las siguientes acciones:
- Usar siempre contraseñas seguras y asegurar que no repitan para que cada sitio o servicio tenga una contraseña única.
- Habilitar la autenticación de dos factores en los sitios web que tengan esta opción.
- En el caso de empresas el Servicio de Validación y Protección de ID de Symantec permite a las empresas poner en práctica tanto la autenticación de doble factor como la autenticación sin token y basada en riesgo.
- Considerar el uso de un administrador de contraseñas, tales como Norton Identity Safe, que permite almacenar de forma segura contraseñas diferentes para servicios en línea.