{"id":596,"date":"2013-05-02T20:16:58","date_gmt":"2013-05-02T20:16:58","guid":{"rendered":"http:\/\/kasperskydaily.com\/mexico\/?p=596"},"modified":"2022-03-27T12:57:17","modified_gmt":"2022-03-27T18:57:17","slug":"sera-mejor-cambiar-las-contrasenas-living-social-ha-sido-hackeado","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/sera-mejor-cambiar-las-contrasenas-living-social-ha-sido-hackeado\/596\/","title":{"rendered":"Ser\u00e1 Mejor Cambiar las Contrase\u00f1as. Living Social Ha Sido Hackeado."},"content":{"rendered":"

Living social inform\u00f3 durante el fin de semana a sus millones de usuarios que los maliciosos hackers han comprometido el sistema y computadoras del popular sitio de cupones, exponiendo nombres, direcciones de email, fechas de nacimiento y contrase\u00f1as encriptadas de un n\u00famero indeterminado de miembros de Living Social.<\/p>\n

\"lsocial_title\"<\/a><\/p>\n

La buena noticia es que, seg\u00fan Living Social, las contrase\u00f1as de los usuarios han sido encriptadas. En otras palabras, las contrase\u00f1as estaban salvadas en un formato encriptado que har\u00eda muy dif\u00edcil \u2013 aunque no imposible \u2013 que los atacantes encontraran sentido a los datos de contrase\u00f1as a los que consiguieran acceso. La compa\u00f1\u00eda tambi\u00e9n declar\u00f3 que los atacantes no accedieron a una base de datos separada, en donde se encuentran alojados los datos de las tarjetas de cr\u00e9dito y formas de pago de los clientes.<\/p>\n

Nuevamente, las contrase\u00f1as encriptadas (busca m\u00e1s abajo la explicaci\u00f3n) son dif\u00edciles, pero no imposibles, de corromper. Si posees una cuenta<\/a> en Living Social, entonces deber\u00edas seguir este enlace inmediatamente y cambiar tu contrase\u00f1a. Un dato m\u00e1s importante es que, si has utilizado esa misma contrase\u00f1a para otros sitios, entonces deber\u00edas tambi\u00e9n cambiar la contrase\u00f1a<\/a> en estos otros sitios.<\/p>\n

Casi se est\u00e1 llegando al punto en donde los atacantes deben comprometer la informaci\u00f3n de pagos, buscar contrase\u00f1as de texto planas (sin encriptar) u otra cosa humillante, que pudiera importarle a alguien, en un servidor hackeado. Consumidores, organizaciones que deber\u00edan estar protegiendo los datos de los clientes, y hasta algunos profesionales de la seguridad, est\u00e1n cada vez m\u00e1s insensibilizados a este tipo de violaciones a la seguridad. No sol\u00eda ser as\u00ed. Al principio, nadie hablaba de la fuga de datos, entonces fue m\u00e1s dif\u00edcil barrer estas brechas debajo de la alfombra, y las compa\u00f1\u00edas tuvieron que esclarecer estas situaciones. Ahora vemos qu\u00e9 tan comunes son estas fugas de datos, y es bastante dif\u00edcil contener la ira en el rostro cuando hablamos de brechas diarias.<\/p>\n

Somos concientes de esto porque todos leemos acerca del phishing. De hecho, tal vez leamos acerca de la caza de phishing y otros ataques de ingenier\u00eda social tan a menudo como leemos acerca de la fuga de datos. En general, los ataques de ingenier\u00eda social, dependen de que el atacante posea cierto nivel de conocimiento sobre sus objetivos.<\/p>\n

\u00bfDe d\u00f3nde crees que los ingenieros sociales sacan las direcciones de email para los ataques de phishing? \u00bfC\u00f3mo saben cu\u00e1les son los gustos e intereses de sus potenciales v\u00edctimas, para poder mandar los emails con los ataques exitosamente? \u00bfPor qu\u00e9 estos hackers son tan buenos adivinando contrase\u00f1as y preguntas de reseteo de contrase\u00f1as?<\/p>\n

Mucha de esta informaci\u00f3n se obtiene de informaci\u00f3n verificada de las fugas de datos. Para ser justos, mucho de esto es obtenido tambi\u00e9n de la forma abierta que tienen los usuarios de publicar informaci\u00f3n personal propia en las redes sociales, pero ese es un tema para otro d\u00eda. Las personas a menudo utilizan su direcci\u00f3n de mail corporativa para varios servicios online, y cuando las bases de datos para esos servicios se ven comprometidas, los atacantes obtienen contactos de mail de organizaciones de alto nivel a los que pueden intentar de estafar con mails de phishing. Las fechas de nacimiento tambi\u00e9n pueden ser valiosas, porque los usuarios a menudo las utilizan en sus contrase\u00f1as, o en sus preguntas de recuperaci\u00f3n de contrase\u00f1as. Obviamente, si son craqueadas, los hashes de contrase\u00f1as expuestas pueden causar serios problemas a los usuarios que insisten en compartir contrase\u00f1as<\/p>\n

Si te interesa, y supongo que es el caso debido al hecho de que est\u00e1s leyendo un blog dise\u00f1ado para educar a los usuarios acerca de la seguridad, Living Social ha proporcionado una explicaci\u00f3n sorprendentemente excelente de lo que com\u00fanmente se conoce como \u201d salting and hashing \u201d en la secci\u00f3n FAQ de la notificaci\u00f3n de la fuga de datos:<\/p>\n

\u201cLas contrase\u00f1as de LivingSocial fueron hasheadas con SHA1utilizando un salt aleatorio de 40 byte. Lo que esto significa es que nuestro sistema tom\u00f3 las contrase\u00f1as ingresadas por nuestros usuarios y utiliz\u00f3 un algoritmo para cambiarlas a un hilo de datos \u00fanico (esencialmente creando una huella digital de datos \u00fanica) \u2013 ese es el hash. Para agregar una capa extra de protecci\u00f3n, el salt estira las contrase\u00f1as y les agrega complejidad. Hemos cambiado nuestroalgoritmo de hashing de SHAI a bcrypt\u201d.<\/i><\/p>\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Living social inform\u00f3 durante el fin de semana a sus millones de usuarios que los maliciosos hackers han comprometido el sistema y computadoras del popular sitio de cupones, exponiendo nombres,<\/p>\n","protected":false},"author":13,"featured_media":600,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[92,234,271,34,38],"class_list":{"0":"post-596","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-contrasenas","9":"tag-hack","10":"tag-hackeo","11":"tag-malware-2","12":"tag-seguridad"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sera-mejor-cambiar-las-contrasenas-living-social-ha-sido-hackeado\/596\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/contrasenas\/","name":"contrase\u00f1as"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/596","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=596"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/596\/revisions"}],"predecessor-version":[{"id":24471,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/596\/revisions\/24471"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/600"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=596"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=596"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=596"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}