28 sept 2020

Have I been Pwned? Hacking para niños

Have I been Pwned se ha convertido en un servicio estándar dentro del mundo cyber. Para los que no lo conozcáis, se trata de un sitio web que hace una búsqueda sobre filtraciones de datos de usuario (e-mails y contraseñas). Basta con poner un e-mail para que nos indique si ha aparecido en alguno de los data leaks que ellos tienen registrados. Un servicio simple y útil. Sin embargo, me llamó la atención que en las últimas actualizaciones de Google Chrome, y más recientemente en iOS 14, se ha implementado un sistema similar que comprueba que nuestras credenciales no han aparecido en estas filtraciones.


Password leak protection on Chrome


Password leak protection on iOS 14

En principio, parece una herramienta inocua que nos ayuda a proteger nuestra vida digital. Pero después de ver ambos, me puse en modo ITSec, y se me ocurrió la eterna pregunta de... "¿Y si...?".

Aunque Have I been Pwned dispone de una API para integrar su servicio en nuestras APPs, doy por hecho que tanto Google, como Apple, utilizan una base de datos propia. Sin embargo, es cuestión de probar un poquito para darse cuenta de que prácticamente disponen de los mismos leaks.

Creo que es bueno que existan servicios como éste. Asustar un poquito de vez en cuando al usuario medio nunca viene mal para protegerle. De hecho, yo sigo en mi campaña personal por hacer que la gente que me rodea no relacionada con el mundo IT comience a usar gestores de contraseñas.

Que Have I been Pwned nos avise de que nuestras credenciales se han filtrado está bien. El problema viene cuando comienza a darnos información de dónde y cuándo se ha producido ese leak. A día de hoy no es muy difícil encontrar estos leaks, la mayoría son públicos, sobre todo si ha pasado bastante tiempo desde el mismo. Esto facilita enormemente desde el punto de vista de un atacante la obtención de estas contraseñas. Es tan fácil como ir a la web, poner el correo del que queramos comprobar la información y esperar a que nos diga dónde y cuándo se han filtrado.

Una vez tenemos esta información, basta con usar la mejor herramienta de hacking que existe, "Google" (o en su defecto, tu motor de búsqueda preferido, osease Google :P), y encontrar el leak, que generalmente estará enlazado en algún foro de dudosa procedencia. Una vez tenemos la información del mismo, basta con buscar el usuario para obtener la contraseña en plano.

Desde mi punto de vista, es bueno que tanto Google, como Apple, tomen iniciativas de este tipo, pero por otro lado, no creo que sea necesario el exceso de información para un posible atacante. El problema es que muchas veces no somos conscientes de la gravedad de la situación hasta que es demasiado tarde.

Decálogo del password seguro:

  • Siempre hemos de tener un password distinto para cada servicio.
  • Los password han de ser no solo largas, si no también con un amplio set de caracteres. Es un engorro, pero llegará un momento en el que diréis, bendito el día en que puse este password del infierno.
  • Es evidente que no podemos recordarlos todos, usad un gestor de contraseñas como Keepass. En su defecto, por cuestiones de comodidad, podréis servicios multiplataforma (1Password, Lastpass...) o los propios integrados en vuestros sistemas como el de Chrome o Apple Keychain.
  • Evitad contraseñas que tengan que ver con vosotros, con vuestros familiares, fechas, nombres, productos, palabras de diccionario, etc. Los gestores permiten generarlas aleatoriamente. Cuanta menos influencia personal tenga el password, más compleja será la tarea para el atacante.
  • Cambiad las contraseñas cada cierto tiempo, atendiendo a la importancia del servicio. Los gestores de contraseñas también nos facilitan esta tarea. De hecho, la mejor opción que podemos seguir es que los gestores nos generen contraseñas largas y aleatorias que no seamos capaces de recordar, para obligarnos a nosotros mismos a utilizarlos.
De todas formas, estoy seguro de que si estás leyendo ésto, es que es lector asiduo de Flu Project y, por tanto, ya cumples todas las recomendaciones del decálogo ¿verdad?. Por lo que lo único que te pido es que prediques la parábola de Keepass y ayudes a tus familiares y amigos a fortificar un poco más su vida digital :)


No hay comentarios:

Publicar un comentario