En la imagen, un fragmento del correo electrónico que recibí esta mañana del genial servicio creado por el experto en seguridad Troy Hunt, HaveIbeenpwnd, informándome de un problema de seguridad en un servicio que hace tiempo que no uso, 123RF: una intrusión que logró hacerse con direcciones de correo electrónico, nombres de usuario, direcciones IP, nombres, contraseñas (en principio cifradas), números de teléfono y direcciones físicas de más de ocho millones y medio de usuarios.
Primera cuestión: esto puede pasarle a cualquiera. Ni siquiera es evidencia de que en este sitio, 123RF, tuviesen unas malas prácticas de seguridad: prácticamente cualquier sitio es vulnerable si alguien invierte los recursos y el tiempo necesario. Esto pasa constantemente, y lo que hay que hacer es simplemente estar preparado para cuando pase.
El problema de este tipo de intrusiones es que, por lo general, la información capturada termina en diversos sitios accesibles, lo que permite a cualquiera descargarse ese archivo y tratar de acceder a cuentas en otros sitios de los todavía demasiados imprudentes que reciclan una misma contraseña en diferentes servicios, o que utilizan reglas mnemotécnicas fáciles de deducir para generarlas.
¿Problemas? Para mí, ninguno. La contraseña que utilizaba en 123RF estaba generada por mi gestor de contraseñas, LastPass, nunca llegué a sabérmela de memoria (ni a intentarlo), y por supuesto, no la utilizaba en ningún otro sitio. Por si acaso en algún otro momento me planteo volver a utilizar el servicio de 123RF, entré, cambié mi contraseña, y le puse otra igualmente imposible de recordar: veinticinco caracteres con números, letras y símbolos, que supuestamente llevarían a un ordenador actual algo así como cien octillones de años averiguar 🙂 Si un delincuente intentase probar a utilizar la contraseña anterior en otros sitios, se encontraría con que sus intentos no fructificarían en ningún caso. Mientras los ordenadores cuánticos no sean de uso habitual, creo que viviré tranquilo. Que todos mis problemas sean como ese.
¿Qué sabes de tus contraseñas? Lo primero que deberías saber es que todas esas reglas absurdas de sustitución de una «E» por un «3», una «A» por un «4», etc. no funcionan en absoluto. Los delincuentes modernos son mucho más sofisticados que todo eso. Si vas a ponerte a crear tus propias contraseñas, que no es lo que deberías hacer, echa al menos un ojo a la investigación reciente de este grupo de científicos de Carnegie Mellon que recomiendan cómo hacerlo. Si quieres saber cuánto llevaría a un delincuente con su ordenador averiguar la contraseña que utilizas, puedes mirar este cuadro, o bien introducirla en esta página, que afirma no guardarla ni compartirla con nadie.
Lo segundo que debes hacer es probar a meter la dirección de correo que utilizas habitualmente en HaveIbeenpwned, para que te informe de en cuántos data dumps aparece, y no solo cambiar las contraseñas de esos sitios si es que eran servicios que utilizabas regularmente, sino además, pensar si has reciclado esas contraseñas en otros servicios (y en caso afirmativo, cambiarlas también). Yo llevo tiempo utilizando el servicio de HaveIbeenpwned que te permite introducir tu correo y que te llegue un aviso cuando se hacen públicas nuevas violaciones de seguridad, y no me ha llegado más spam por ello. Las últimas versiones de algunos navegadores avisan también cuando introduces una contraseña en una página si esa contraseña ha sido ya revelada o cuando tratas de usar la misma contraseña en varios sitios, y te invitan a cambiarla. Si es así, hazles caso.
Lo siguiente es pensar si tu compañía está también obsoleta en este sentido: toda compañía que mantenga las clásicas reglas de cambio de contraseña cada cierto tiempo está recurriendo a una práctica desaconsejada, que no suele aportar nada significativo en términos de seguridad más que marear a sus usuarios y hacer que terminen apuntando su contraseña en un estúpido post-it pegado a la pantalla.
Finalmente, si decides tomarte en serio tu seguridad en internet, haz lo que realmente debes hacer: usa un gestor de contraseñas. Hay múltiples artículos que puedes leer para decidirte por uno de ellos, que puede ser gratuito o no, y que incluso en caso de que su seguridad fuese vulnerada, te asegura que los delincuentes solo se llevarían una lista inservible de contraseñas fuertemente cifradas. A partir de ahí, solo tendrás que recordar una contraseña, y esa sí te preocuparás de elegirla bien. Es recomendable que el gestor de contraseñas que elijas tenga versión móvil si quieres estar cómodo también en ese dispositivo y no tener que andar tecleando cadenas de caracteres imposibles, y que dediques en torno a una hora de tiempo cuando lo hayas instalado a recorrer todos los servicios que utilizas habitualmente y no tan habitualmente para ir dándolos de alta, y aprovechando para cambiar todas las contraseñas que tenías, por otras nuevas generadas por el gestor, y que te podrás permitir hacer muy largas e imposibles de recordar o de adivinar.
Si no quieres utilizar un gestor de contraseñas independiente, puedes utilizar el que te ofrecen ya la mayoría de navegadores. No es la mejor opción, ni la más cómoda si usas varios navegadores, ni tampoco la más segura, pero decididamente es mejor que no usar nada o que la mayoría de las prácticas que todavía tantos usuarios siguen utilizando.
En cualquier caso, usa las herramientas que he vinculado para, como mínimo, diagnosticar tu nivel de seguridad. Hacemos cada vez más cosas en la red, y no deberías arriesgarte a que tu seguridad dependa simplemente de que a algún delincuente le dé por probar si has reutilizado una contraseña ya revelada en algún otro sitio. Hacer las cosas bien cuesta muy poco. Plantéatelo.
Ah, y un consejo final: incluso si, como seguramente ocurre con la gran mayoría de los lectores de una página como esta, ya consideras que tus prácticas de seguridad son adecuadas, no dejes de interesarte por las que tienen otras personas, sobre todo aquellas con las que tienes relación, como por ejemplo, tus padres o tus familiares cercanos. La experiencia dice que en muchos casos, las personas mayores son las que más prácticas inseguras utilizan, como usar contraseñas débiles o tener una sola contraseña para todo. Mejor prevenir que lamentar.