El Ejercito Electrónico Sirio (SEA, por sus siglas en inglés) volvió a la carga con un nuevo golpe. Esta vez, el ataque estuvo dirigido a los registros de la cuentas de más de un millón de lectores y colaboradores de Forbes, la prestigiosa revista estadounidense especializada en Economía y Negocios. Un total de 1.071.963 personas resultaron afectadas cuando la base de datos que contenía las direcciones de email y las contraseñas de todos usuarios fue expuesta públicamente y compartida online por los cibercriminales. Además, tres artículos de Forbes fueron destrozados y el blog de la compañía fue tirado abajo también. Pero ¿Cómo fue SEA capaz de golpear la poderosa infraestructura de Forbes?
Se cree que Forbes guardaba la información de los usuarios en un formato portable PHP. Esencialmente, esto significa que cada contraseña y la salt -utilizada para frenar a los atacantes- eran ejecutadas desde un algoritmo MD5. Este algoritmo es una popular función hash que usualmente se utiliza para verificar la legitimidad de los datos. Según se supo, Forbes corría 8.192 duplicaciones de MD5 en el hash y luego almacenaba los resultados en su base de datos.
La SEA tomó esta información almacenada y emprendió un perverso juego de adivinanzas. Los criminales probaron diariamente contraseñas aleatorias como “ABCD”, produciendo así un hash que luego fue referido a la base de datos de Forbes. Cuando se logró dar con la clave, las contraseñas quedaron expuestas.
Aunque las contraseñas poseen una encriptación unidireccional, Forbes les solicitó a sus lectores que cambien su información de login:
La dirección de email de cada uno de los usuarios registrados en Forbes.com fue expuesta. Por favor tenga cuidado de aquellos mails que simulen venir de Forbes, debido a que podrían estar siendo utilizados para ataques phishing. Ya hemos notificado a las fuerzas de seguridad. Tomamos esta situación con suma seriedad y nos disculpamos con los miembros de nuestra comunidad por este inconveniente.
El principal problema aquí es que la mayoría de las personas tiende a utilizar los mismos nombres de usuario y contraseña para todas sus cuentas. Por lo tanto, cualquier lector de Forbes cuya información fue expuesta públicamente –y que utiliza esos mismos datos para sus demás cuentas- está ahora en riesgo de un ataque en todas las plataformas.
Es por esto que siempre intentamos advertirte de este tipo de situaciones. Si utilizas los mismos datos para todas tus cuentas y una de éstas es atacada, el resto también estará en riesgo y los cibercriminales están muy conscientes de este hecho. Es muy importante que utilices una administrador de claves como password manager, que te permite almacenar contraseñas de alta complejidad para cada una de tus cuentas online, asegurándote así que, si una de tus cuentas es hackeada, la información que almacenas en las demás permanezca a salvo.
Traducido por: Guillermo Vidal Quinteiro