El gigante tecnológico recuerda que las contraseñas llevan asociadas varios problemas, como la vulnerabilidad a los hackeos, la facilidad con que se olvidan o la dificultad para administrar varias a la vez.
Ciudad de México, 17 de septiembre (RT).- Microsoft anunció este miércoles que sus usuarios ya no tendrán que introducir ninguna contraseña para acceder a las cuentas de cualquiera de sus productos, e incluso se comprometió a ayudarles para deshacerse de todas esas claves.
Las contraseñas son uno de los objetivos principales de los piratas informáticos, y las claves débiles son el punto de entrada en la mayoría de los hackeos contra cuentas empresariales y de consumidores, recuerda Microsoft. Además, las contraseñas generadas automáticamente son “casi imposibles” de recordar y necesitan ser cambiadas con frecuencia, por lo que los usuarios, por regla general, crean sus propios códigos secretos, que en muchos casos son vulnerables.
Además, debido a lo sencillo que resulta olvidar las contraseñas, muchas personas prefieren dejar de utilizar determinado servicio para evitarse quebraderos de cabeza intentando recuperarla, argumenta la compañía. Para librarse de todos esos problemas, el gigante tecnológico ha desarrollado una función que conduce a un “futuro sin contraseñas”.
I’m passwordless with my Microsoft corporate account, and now with my personal Microsoft account as well: “The passwordless future is here for your Microsoft account” https://t.co/fev4zD3BJg
Para prescindir de las contraseñar, habremos de hacer uso de la aplicación Microsoft Authenticator, Windows Hello y vincularla a una cuenta personal de Microsoft. A continuación, deberemos iniciar sesión y dirigirnos a la opción Seguridad > Opciones de seguridad avanzada > Opciones de seguridad adicionales, para activar allí la opción Cuenta sin contraseña. Por último, siga las instrucciones en pantalla y apruebe la notificación que aparecerá en la aplicación.
Para iniciar la sesión en las aplicaciones o servicios de Microsoft, al usuario se le enviará una clave de seguridad o un código de verificación por SMS o al correo electrónico. La nueva función se implementará en las próximas semanas. Microsoft destaca que esta herramienta es opcional, y que siempre se podrá regresar a las tradicionales contraseñas.
Si tienes que resetear tu contraseña en uno de estos servicios o simplemente vas a abrirte una cuenta en un sitio y quieres que el password sea seguro, aquí tienes unos consejos.
Por Cesar Otero
Ciudad de México, 1 mayo (AS México).- Puede que seas uno de los 160 mil usuarios/as afectados por el hackeo que Nintendo ha sufrido en sus cuentas de usuarios. O que sufrieras el robo de credenciales en la Epic Games Store, o el de la semana pasada de Aptoide, o el de HTCMania anteriormente. Tanto si tienes que resetear tu contraseña en uno de estos servicios, de otros que hayan sufrido igual suerte, o simplemente vas a abrirte una cuenta en un sitio y quieres que el password sea seguro, aquí tienes unos consejos y un par de herramientas de Google para concebir la contraseña definitiva:
HERRAMIENTAS DE GOGLE
REVISION DE CONTRASEÑAS
Pendiente siempre de la seguridad, en Google procuran ayudar siempre a sus usuarios con funciones como la de restablecer de manera automática la contraseña en tu cuenta de Google “si creemos que ha estado expuesta en un robo de información. Esta medida de seguridad reduce el riesgo de que secuestren tu cuenta por un factor de 10”.
Pero el gigante de la Red quiere ofrecer estas mismas protecciones ante robo de información para tus cuentas, más allá de los sitios y las aplicaciones de Google. Es aquí donde entra la nueva herramienta de Google llamada Revisión de contraseña, una extensión para el navegador Chrome.
Si Google detecta que un nombre de usuario y contraseña en un sitio que usas en la web es una de los 4 mil millones de credenciales que coinciden con la base de datos que Google tiene sobre contraseñas que han sido comprometidas, la nueva extensión activará una advertencia y te recomendará que cambies tu contraseña.
En Google procuran ayudar siempre a sus usuarios con funciones como la de restablecer de manera automática la contraseña en tu cuenta. Foto: AS México
Según Google, “Construimos la Revisión de contraseña para que nadie, incluido Google, pueda conocer los detalles de tu cuenta. Para lograr esto, desarrollamos unas técnicas de protección de privacidad con la ayuda de los investigadores sobre criptografía en Google y la Universidad de Stanford”.
GOOGLE PASSWORD CHECKUP
La extensión Password Checkup se creó pensando en la privacidad. Nunca registra información sobre tus cuentas, contraseñas ni dispositivos que puedan identificarte. Google registra sólo información anónima sobre el número de búsquedas que incluyen una credencial no segura, si una alerta dirige a un cambio de contraseña, y el dominio utilizado para mejorar la cobertura del sitio web. Si quieres probarla, puedes descargar Password Checkup de Google desde este enlace.
CREAR CONTRASEÑAS
NO RECICLES CONTRASEÑAS
Como hemos señalado antes, un error muy frecuente es utilizar la misma clave para múltiples cuentas o aplicaciones. Aunque cuesta, es mejor crear una para cada cuenta, plataforma y dispositivo, y que la contraseña de Netflix no sea la misma de Amazon, de Gmail o de la PlayStation Store.
NO CREES CONTRASEÑAS EN FUNCIÓN DEL TECLADO
Muchos usuarios usan el teclado como guía para recordar contraseñas fácilmente, por ejemplo las mencionadas en ese Top Ten de pass a evitar como “123456” o “qwerty”. Debemos usar el sentido común y evitar conceptos demasiado evidentes. Un ejemplo de esto puede ser el uso de palabras como “contraseña” o “admin”. También debemos evitar los datos personales. ya que estos son aún más fáciles de descifrar por medio de técnicas de ingeniería social o entre los mismos conocidos.
NO USES EXPRESIONES HECHAS
Aunque a alguno/a le cueste creerlo, entre otro de los errores más comunes es el uso como contraseñas de frases como “teamo”, “iloveyou”, “teodio”, etc. Sí, se usan, y por tanto son fáciles de adivinar y siempre formarán parte de ese ‘pack básico’ de passwords al que un hacker echará mano cuanto intente hackear una cuenta.
CUIDADO CON LOS HOBBIES
Una contraseña es algo personal, así que tendemos a personalizarla en base a rasgos de nuestra vida y elementos que nos rodean. Algunos usuarios suelen usar el nombre de sus marcas, deportes, equipos o bandas de música favoritas como passwords. Pero claro, seguramente poner de pass “HarleyDavidson”, “Nike”, “NCAA” o “30SecondsToMars” no sea buena idea, aunque algunas permitan mezclar números con letras y mayúsculas con minúsculas.
De por sí, “30SecondsToMars” es muy fácil de acertar. Pero no por ello debemos renunciar a usar este nombre si somos fans de Jared Leto, sino simplemente retorcarla cambiando letras por números y alternando mayúsculas – minúsculas. Y así, “30SecondsToMars” se convierte en “3Os3C0ndSt0m4Rs”, un pass mucho más robusto, ¿verdad?
EVITA LOS PATRONES SENCILLOS
Hacer que la primera letra esté en mayúscula seguida de 4 o 5 en minúscula o usar uno o dos números y finalizar con un carácter especial como un punto o signo de exclamación, como “Perro26!”, tampoco ayuda mucho. Al igual que hemos dicho antes, la clave es ponérselo lo más difícil posible a un hacker. Y de esta manera sería mejor “p3rR026” sin duda.
La fuga de información fue descubierta por la organización SITE Intelligence Group, que se dedica a monitorear la actividad en línea de grupos extremistas y terroristas. Entre los afectados se mencionan la Organización Mundial de la Salud (OMS), los Institutos Nacionales de la Salud de EU (NIH), los Centros para el Control y Prevención de Enfermedades de EU (CDC) y la Fundación Gates.
Ciudad de México, 24 de abril (RT).- Cerca de 25 mil direcciones de correo electrónico y contraseñas vinculadas a distintas organizaciones nacionales e internacionales que luchan contra la pandemia del coronavirus fueron obtenidas por ciberactivistas de extrema derecha.
La fuga de información fue descubierta por la organización SITE Intelligence Group, que se dedica a monitorear la actividad en línea de grupos extremistas y terroristas. Entre los afectados se mencionan la Organización Mundial de la Salud (OMS), los Institutos Nacionales de la Salud de EU (NIH), los Centros para el Control y Prevención de Enfermedades de EU (CDC) y la Fundación Gates.
Los expertos indicaron que los datos aparecieron inicialmente publicados en el foro anónimo 4chan, y fueron compartidos entre el domingo pasado y este lunes por grupos de ideología neonazi y supremacistas blancos en otras plataformas en línea, entre ellas Twitter y la aplicación de mensajería instantánea Telegram.
Esos ciberactivistas compartieron teorías de conspiración sobre el SARS-CoV-2, en particular, vinculándolo al virus del sida, y su propósito de filtrar los datos de las organizaciones era lanzar una “campaña de acoso”, señaló Rita Katz, la directora ejecutiva de SITE, según cita The Washington Post.
“La distribución de estas supuestas credenciales de e-mail fueron tan solo otra parte de una iniciativa de varios meses en la extrema derecha de convertir la pandemia del COVID-19 en un arma”, explicó. Y añadió: “Cabe recordar los objetivos de estas listas: el NIH, el CDC, la OMS — estas son exactamente el tipo de organizaciones que los neonazis y los supremacistas blancos han estado atacando en medio de la crisis”.
Desde la OMS confirmaron a Daily Mail la fuga de dos mil 712 direcciones de correo electrónico registradas en sistemas y aplicaciones externas, aunque solo 457 de esas cuentas están actualmente activas. El equipo de seguridad informática de la organización verificó que ninguna de las cuentas fue comprometida y se aseguró de reiniciar las correspondientes contraseñas como medida de precaución.
Quien maneje este dominio tendría acceso a un flujo interminable de contraseñas, correos electrónicos y otros datos personales pertenecientes a grandes corporaciones. Esto, gracias una antigua ruta predeterminada de los sistemas Windows que las empresas han utilizado por décadas.
Ciudad de México, 12 de febrero (RT).- Ha salido a la venta uno de los dominios más peligrosos de Internet, que en manos equivocadas podría poner en riesgo los datos de cientos de miles de sistemas de empresas en todo el mundo.
Se trata de corp.com, un dominio que fue adquirido en 1994 por el empresario tecnológico Mike O’Connor junto con otros tan básicos como: bar.com, cafes.com, place.com y television.com. Aunque a lo largo de los años O’Connor vendió muchos de ellos, hasta ahora se había negado a subastar el que, quizás, sea el más sensible de todos, explica el blog Krebs On Security.
Quien maneje el dominio en cuestión tendría acceso a un flujo interminable de contraseñas, correos electrónicos y otros datos personales pertenecientes a grandes corporaciones. Esto, gracias una antigua ruta predeterminada de los sistemas Windows que las empresas han utilizado por décadas.
Se trata de la manera en que el sistema operativo de Microsoft maneja los dominios dentro de una red local. Windows valida los nombres a través de un servicio conocido como Active Directory, cuya ruta predeterminada desde las primeras versiones es denominada “corp”. Muchas compañías mantuvieron esa configuración sin modificarla.
Por ejemplo, si un empleado intenta acceder a los datos de su compañía, cuyo dominio interno sea “corp”, desde un lugar público —un restaurante, un centro comercial, etc.— es posible que su computadora intente extraer los datos desde corp.com en lugar de desde los propios sistemas internos de su empresa. Por tanto, los dominios destinados a ser utilizados exclusivamente en una red interna podrían solaparse con otros de la Internet abierta.
UN VERTEDERO DE DESECHOS
Así, quien controle corp.com podría interceptar pasivamente las comunicaciones privadas de cientos de miles de computadoras que terminan siendo llevadas fuera del entorno corporativo que utiliza esta designación de “corp” para su dominio en Active Directory. Un estudio de tráfico corporativo en 2019 encontró que más de 375 mil computadoras con Windows intentaron enviar información de dominio de corp.com, incluidos intentos de iniciar sesión en redes corporativas internas y de acceder a archivos compartidos en esas redes.
El precio inicial de venta de corp.com es de 1.7 millones de dólares. O’Connor afirmó que espera que Microsoft sea el comprador, ya que esta dirección representa un peligro para sus productos a nivel de seguridad. Sin embargo, teme que el gigante informático rechace hacerlo y el dominio sea finalmente adquirido por ciberdelincuentes.
“Básicamente estoy subastando un vertedero de desechos químicos porque no quiero pasarlo a mis hijos y que carguen con él. Mi frustración aquí es que a los buenos no les importa”, confiesa O’Connor.
Los interesados en las claves podían descargarse la información desde la plataforma weleakinfo.com, a cambio del pago de una tarifa.
La Haya, 17 ene (EFE).- La Policía holandesa ha anunciado este viernes la detención, en una operación internacional, de un joven de 22 años como sospechoso de haber puesto a la venta online alrededor de 12 mil millones de nombres de usuarios y contraseñas robadas.
Los interesados en las claves podían descargarse la información desde la plataforma weleakinfo.com, a cambio del pago de una tarifa, ha especificado la policía en un comunicado.
El joven fue detenido el pasado miércoles bajo la sospecha de haber “jugado un papel facilitador en lo que respecta al delito cibernético” y en la investigación han colaborado equipos de ciberdelincuencia de la Agencia Nacional del Crimen (Reino Unido), el FBI (EU) y el Bundeskriminalamt (Alemania).
Después del arresto, los agentes registraron dos residencias en la ciudad holandesa de Arnhem y localizaron “un equipo profesional” en la casa del sospechoso, al que se acusa de “poseer y ofrecer nombres de usuarios y contraseñas robadas”.
Como parte de la investigación internacional, otra persona de 22 años ha sido detenida en Irlanda del Norte, mientras que la web utilizada por los sospechosos para ofrecer en venta los datos ha sido eliminada por el FBI.
Al ser una investigación que aún sigue en marcha, la Policía holandesa ha declinado informar sobre los países afectados por el robo de contraseñas.
Los ciberdelincuentes suelen cambiar regularmente de servidor para evitar ser rastreados, lo que hace que un caso como este requiera de la cooperación de diferentes países, además de la participación en la investigación de organismos internacionales como Europol, Eurojust o Interpol.
La empresa Splashdata dio a conocer el top 20 de las contraseñas con las que podrías correr riesgo de sufrir un ciberataque .
Por Alicia Ruiz Fernández
Ciudad de México, 29 de diciembre (TICbeat/SinEmbargo).- Las contraseñas que utilizamos en nuestros correos electrónicos, en las redes sociales, en los bancos o en cualquier plataforma en la que exponemos nuestros datos personales, son primordiales para que no suframos un ciberataque. Pero hay diversas contraseñas que si estás utilizando aumentan las probabilidades de que tus datos corran peligro.
Si tu contraseña forma parte de esta lista del top 20 de las peores contraseñas de 2018 para utilizar debido a la baja seguridad que aportan según el informe anual de SplashData, deberías plantearte cambiarlas si no quieres sufrir un ciberataque contra tus datos. Esta es la lista del top 20 de peores contraseñas de 2018, empezando por la que menos seguridad aportan:
Muchas personas utilizan estas contraseñas porque afirman que no pueden recordar otras contraseñas más largas. Con esta lista SplashData pretende enviar un mensaje claro a sus usuarios: que deben proteger sus datos con contraseñas mejores.
Si alguna de tus contraseñas se encuentra en la lista, deberías cambiarla y seguir ciertas recomendaciones para tu nueva contraseña. Cuando necesites utilizar contraseñas largas, una buena opción es utilizar una frase de un libro o una película, ya que los ciberdelincuentes suelen utilizar herramientas automáticas para adivinar contraseñas con lo cual esto puede hacer más difícil que adivinen tu contraseña.
“No use palabras que se pueden encontrar en el diccionario. Las herramientas de descifrado de contraseñas disponibles gratuitamente en línea a menudo vienen con listas de diccionarios que probarán miles de nombres y contraseñas comunes. Si tiene que usar palabras de diccionario, intente agregarles un número, así como la puntuación al principio o al final de la palabra, o ambas cosas“, ha explicado el experto en seguridad Brian Krebs.
Utilizar un software de administración de contraseñas puede ser una buena idea también como por ejemplo Bitwarden, 1Password y KeePass, así será más fácil recordar tus contraseñas. Otra opción es apuntar las contraseñas en un libro físico que tengas en casa, así los ciberdelincuentes tendrán que entrar en tu casa para acceder a las contraseñas, aumentando la dificultad considerablemente.
Si un servicio ha sido pirateado, debes cambiar tu contraseña inmediatamente, e intentar no repetir la misma contraseña en varias cuentas o plataformas online, ya que si consiguen descifrarla en una de las plataformas, podrán utilizarla para todas ellas.
Por tanto si utilizas alguna de estas contraseñas, ten en cuenta que tus datos están en peligro y tienen más probabilidad de ser hackeados, así que empieza el año renovando tus contraseñas y haciéndolas más seguras.
Los científicos han analizado cómo funcionan los diferentes enfoques de crackeo de passwords para entender mejor cuál es el método que siguen los atacantes para adivinar las claves.
Por Sandra Arteaga
Ciudad de México, 3 de septiembre (TICbeat/SinEmbargo).- Toda precaución es poca para evitar que nos roben la cuenta en las redes sociales, el correo electrónico y otros servicios y aplicaciones. En la actualidad, los ciberataques para sustraer los datos de acceso de los usuarios están en auge, por lo que crear una contraseña segura es de vital importancia para evitar que los hackers puedan acceder a nuestro perfil.
Aunque seguro que ya has escuchado distintos consejos para crear un password seguro, muchos de ellos no se basan en criterios científicos. Por ejemplo, uno de los más extendidos indica que hay que crear contraseñas complicadas, que combinen números, letras, signos de puntuación y otros símbolos. Sin embargo, a la hora de la verdad este tipo de claves resultan difíciles de recordar, por lo que los usuarios acaban reutilizando los mismos códigos.
Hace unos meses, el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST por sus siglas en inglés) lanzó unas nuevas recomendaciones para crear claves fuertes basadas en estudios y casos prácticos, y ahora un estudio que ha llevado a cabo un equipo de investigadores de distintas universidades estadounidenses nos facilita otros consejos para crear contraseñas seguras según la ciencia.
Estos científicos han analizado cómo funcionan los diferentes enfoques de crackeo de passwords para entender mejor cuál es el método que siguen los atacantes para adivinar las claves. Los criminales utilizan programas informáticos que les permiten hacer millones o incluso miles de millones de suposiciones en unas pocas horas, lo que les permite acabar descifrándolas.
Los usuarios tienen que centrarse no ya en que su contraseña sea difícil de adivinar para un humano, sino en que sea difícil de entender para una máquina. Foto: EFE
El proceso puede comenzar probando con las palabras más populares del diccionario, añadiendo luego un número o un símbolo, la primera letra con mayúsculas, y así sucesivamente. Una vez que han dado con la contraseña, los atacantes pueden probar a introducirla para acceder a otras cuentas del usuario, ya que muchas personas reutilizan sus credenciales.
Teniendo esto en cuenta, a la hora de elegir una clave fuerte, los usuarios tienen que centrarse no ya en que sea difícil de adivinar para un humano, sino en que sea difícil de entender para una máquina. Para conseguirlo, los investigadores nos dejan las siguientes recomendaciones para crear una contraseña segura:
Utiliza claves largas que contengan al menos 12 caracteres y mezcla dos o tres tipos diferentes de los mismos (letras minúsculas, mayúsculas, dígitos y símbolos) en lugares poco predecibles (no al final o al principio).
Evita incluir nombres de personas, mascotas, lugares en los que hayas vivido, equipos deportivos, fechas de nacimiento o cosas que te gustan. No utilices tampoco frases comunes ni letras de canciones.
Evita patrones comunes o fácilmente descifrables (abc, 123, etc.) ni patrones de teclado (qwerty, 1qazxsw2, etc.).
Una buena forma de crear una contraseña segura consiste en componer una oración que nadie haya dicho antes y usar la primera o la segunda letra de cada palabra como contraseña, mezclándola con otros tipos de caracteres. Así podrás recordarla fácilmente y será muy complicado descifrarla para una máquina.
La baja seguridad y las malas prácticas de los usuarios del Internet de las Cosas favorece el hackeo de los nombres de usuario y las contraseñas.
Por Juan Antonio Pascual
Ciudad de México, 26 de septiembre (SinEmbargo/Ticbeat).- Aunque aún queda mucho camino por recorrer, es cierto que cada vez protegemos mejor nuestros ordenadores y smartphones. Aunque quizá habría que reconocer que la mayor parte del mérito es de los sistemas operativos y las apps, que son cada vez más seguros.
A medida que este hardware se vuelve más difícil de atacar, los ciberdelincuentes buscan otros objetivos. Y los han encontrado. Son los dispositivos del Internet de las Cosas: smartwatches, balizas, frigoríficos, webcams, pulseras cuantificadoras, y otros wearables.
Expertos en seguridad alertan del preocupante aumento del malware que ataca a los dispositivos del Internet de las Cosas, robando sus nombres de usuario y contraseñas que, por las malas prácticas de los usuarios, son los mismos que también se usan en redes sociales, bancos, y correos electrónicos.
Todos estos wearables y dispositivos se contentan a Internet usando un nombre de usuario y una contraseña. Al tratarse de un hardware nuevo su nivel de seguridad es menor que un ordenador o un móvil. Además los usuarios a veces no ponen nada de su parte, dejando las contraseñas de fábrica por defecto o usando algunas tan obvias como 1234, porque piensan que “quién va a hackear mi smartwatch“.
Pero en los últimos meses compañías de seguridad como Symantec han detectado un aumento del malware que ataca mediante fuerza bruta a dispositivos del Internet de las Cosas, aprovechando la debilidad de las contraseñas usadas en estos dispositivos. Para ello el malware prueba nombres de usuario y contraseñas de fábrica, o muy populares, intentando tomar el control de forma legal.
Techworm ha recopilado los nombres de usuario y contraseñas más utilizados en los dispositivos del Internet de las cosas, según han identificado las empresas de seguridad que rastrean el malware. Algunos de ellas provocan risa.
LOS 10 NOMBRES DE USUARIOS Y CONTRASEÑAS MÁS USADOS PARA HACKEAR EN INTERNET
Aprovechando que los usuarios no cambian las contraseñas que vienen de fábrica o usan claves tan estúpidas como 12345, qwerty o test, el malware consigue entrar y tomar el control del hardware para usarlo como un botnet en ataques DDoS, o para robar información. En otros casos esas mismas claves también se utilizan en cuentas de email o redes sociales, quedando totalmente expuestas.
La regla de oro de la seguridad informática siempre es la misma: cambiar las claves de fábrica, no usar claves comunes, y utilizar diferentes contraseñas para cada cuenta.
He atendido algunas investigaciones recientes en las que las personas han sufrido daños patrimoniales al verse afectados en sus cuentas financieras, incluso con el cambio…
Las escuelas pueden y deben brindar alimentos adquiridos a los productores locales, fortaleciendo las economías de sus comunidades, pueden y deben contribuir activamente a restaurar…
