A principios de semana, mi colega Chris de Threatpost redactó un artículo sobre cómo Dropdox ha forzado un reseteo de contraseñas para los usuarios que no la habían cambiado desde 2012. En el momento de publicar su artículo, Dropbox lo calificó como “una simple medida de prevención”.
En 2012, Dropbox fue víctima de una brecha de seguridad que causó malestar y spam a los usuarios del servicio. Cuatro años después, el alcance total de la brecha verá la luz después de que se descubriera en la red el caché de las credenciales de un usuario. Anoche, Motherboard avisó de que las bases de datos que están llegando se están vendiendo son reales y comprometen la seguridad de más de 68 millones de cuentas de Dropbox.
En el artículo, Motherboard destacó que Dropbox no había encontrado pruebas de accesos maliciosos a cuentas. De los más de 68 millones de cuentas, unos 32 millones están protegidas con bcrypt; el resto utilizan el algoritmo SHA-1.
¿Qué significa esto?
De acuerdo con el artículo de Motherboard, los datos de Dropbox no están en las mayores webs de mercado negro, en teoría porque cuando las contraseñas se protegen de forma segura, pierden valor para los delincuentes. Dado que esta historia continúa en desarrollo, te sugiero que estés pendiente de Threatpost: darán cobertura rápida en el caso de que cambien las cosas.
¿Qué deberías hacer?
En su conjunto, esta brecha es solo otra para añadir a la lista de las brechas de seguridad sufridas por las grandes webs. Se une a LinkedIn, MySpace, Tumblr, OKCupid y Spotify (dos veces), entre otras. Las credenciales de las cuentas resultan valiosas para los delincuentes y sabemos qué hacen los hackers, así que, como ciudadanos del mundo digital, debemos ser más listos cuando se trate de proteger nuestras vidas digitales. Como en cualquier filtrado de datos, vamos darte cinco consejos esenciales para la seguridad en la red.
1. Utiliza contraseñas seguras y cámbialas con frecuencia. ¿Estamos todos de acuerdo con que tener la misma contraseñas durante cuatro años no es buena idea? Aparte de eso, las contraseñas deberían ser seguras y fáciles de recordar (para practicar con la creación de contraseñas seguras, prueba nuestro verificador de contraseñas).
Also, for tips on creating secure but memorable passwords, please see http://t.co/Q6qWwHUF9v #carphonewarehouse #Kaspersky #securepasswords
— David Emm (@emm_david) August 10, 2015
También es importante cambiar con regularidad las contraseñas de sitios importantes, como la banca online, Facebook, LinkedIn y tu e-mail personal principal. Si crees que crear, cambiar y recordar todas tus contraseñas parece una tarea ardua, considera utilizar una herramienta de gestión como Kaspersky Password Manager.
2. Borra las cuentas antiguas. Cuando en mayo hablamos del caso de MySpace, en nuestro chat interno bromeábamos preguntándonos si la gente todavía usaba MySpace. Pues no mucha, pero siguen existiendo muchas cuentas durmientes. Los usuarios configuraron sus cuentas a principios de los años 2 000 y las olvidaron cuando aparecieron servicios más deslumbrantes como Twitter y Facebook que relevaron al mandamás de las redes sociales.
Una acción importante sería borrar todas las cuentas que no utilizas activamente. La razón es porque no las estás gestionando de forma activa y, por tanto, no cambias con regularidad sus contraseñas, por lo que podrías estar poniéndote en riesgo, en especial si tienes las costumbre de reutilizar contraseñas.
3. A propósito: no reutilices contraseñas. Ya lo he dicho en varias ocasiones, pero se merece un punto propio. Di no a la reutilización de contraseñas. Claro que te facilitará las cosas, pero ten en cuenta que cabe la posibilidad de que los delincuentes roben la contraseña que usaste para unirte a la comunidad de My Little Pony y la usen para acceder a tu banca online.
4. Activa el doble factor de autentificación. Muchos de los servicios de la red mejoran su seguridad al ofrecer el doble factor de autentificación. Utilizan la verificación de aplicaciones o los mensajes de texto para asegurarse de que la persona que intenta acceder a la cuenta es la persona autorizada para su uso (Dropbox ofrece esta opción).
What is two-factor authentication and where should you enable it? http://t.co/WSvDc9oSvb #passwords #privacy #security
— Kaspersky (@kaspersky) June 9, 2014
Antes de conectarte a servicios, piénsatelo dos veces. ¿Es necesario usar el inicio de sesión de otro servicio o crear otra cuenta? La respuesta depende de cada usuario, pero la cuestión es seria.
En resumen, la brecha de Dropbox es una revelación y un importante ejemplo de cómo los delincuentes continúan en la caza de las identidades digitales. Recomendamos a todos que sigan estos consejos de forma regular para comprobar la higiene en seguridad. Usamos algunos sistemas de seguridad y candados para nuestras vidas terrestres, tan solo debemos tener más cuidado con nuestras vidas digitales.