Una red criminal rusa roba m¨¢s de 1.200 millones de contrase?as
La trama delictiva viola la seguridad de m¨¢s de 420.000 p¨¢ginas web de todo el mundo
El mayor robo de contrase?as de Internet hasta el momento. Una red de bandas rusas dedicadas al ciberdelito se ha hecho con m¨¢s de 1.200 millones de nombres de usuario con sus correspondientes claves y unos 500 millones de direcciones de correo electr¨®nico. Alex Holden, el fundador de Hold Security, una firma de seguridad inform¨¢tica con sede en Milwaukee y que ha descubierto la brecha de seguridad, ha explicado a EL PA?S desde la cita anual de seguridad Black Hat, en Las Vegas, que el material sustra¨ªdo pertenece a 420.000 webs de todo el mundo.
La intrusi¨®n afecta tanto a peque?as firmas como a otras de gran tama?o dedicadas a ofrecer servicios de Internet. Un experto ajeno a Hold Security ha certificado, a petici¨®n de The New York Times, la autenticidad de la base datos con todas las claves y datos relevantes robados.
El director de Hold Security es un viejo conocido en el mundo del blindaje inform¨¢tico. Hace un a?o ya denunci¨® el robo de varios millones de contrase?as de Adobe, compa?¨ªa creadora de programas de dise?o web, como Photoshop.
Con el pago por uso de programas online y las creaciones alojadas en la nube las implicaciones de estos actos delictivos son m¨¢s relevantes. En el caso de Adobe se pusieron en peligro tanto los n¨²meros de tarjetas de cr¨¦dito como la propiedad intelectual de los usuarios.
Pero en el nuevo episodio de sustracci¨®n de datos sensibles que se ha dado a conocer este mi¨¦rcoles la alerta va m¨¢s all¨¢ de lo conocido hasta ahora. La mayor¨ªa de los afectados desconocen que sus datos est¨¢n en manos de delincuentes o no han hecho nada para solucionarlo a¨²n.
La intenci¨®n de Holden es crear una herramienta gratuita para que los responsables de las webs atacadas sean quienes certifiquen la intrusi¨®n y puedan alertar a sus clientes. Desde el caso Heartbleed, que surgi¨® de un error de programaci¨®n y que convert¨ªa en vulnerables a algunas p¨¢ginas, no se produc¨ªa una grieta de tal envergadura.
Holden lleg¨® a Estados Unidos en 1989 y trabaja como consultor de seguridad desde hace cuatro a?os. Ha dedicado los ¨²ltimos siete meses a este caso sin esperar ninguna compensaci¨®n. ¡°S¨¦ que despu¨¦s de hacerlo p¨²blico me esperan varias conversaciones con el FBI, pero es lo natural. Yo s¨®lo quer¨ªa dar el aviso y demostrar mis conocimientos. Ahora toca cooperar para dar tranquilidad a usuarios y los due?os de empresas¡±. Este experto se niega a identificar a las compa?¨ªas afectadas, aunque detalla que no solo son de Estados Unidos.
Jaime Blasco (Madrid, 1986), director de AlienVault, empresa de seguridad radicada en San Francisco, explica c¨®mo funcionan estos ladrones de contrase?as: ¡°Recolectan credenciales de correo, Twitter, servicios de redes sociales y despu¨¦s se adentran sus bases de datos¡±.
?ngel Prado, director de seguridad de la gestora de bases de datos de clientes Salesforce, desgrana algunas claves: ¡°Si bien el saqueo de contrase?as no es algo tremendamente innovador, el n¨²mero de credenciales robadas no tiene precedentes. El modus operandi de estos individuos es buscar vulnerabilidades en sitios web de forma automatizada y extraer informaci¨®n sensible de las diferentes bases de datos. En funci¨®n de c¨®mo est¨¦n almacenadas estas credenciales (texto plano o cifrados), y dependiendo del algoritmo utilizado en su caso, ser¨¢ m¨¢s o menos sencillo recuperar las contrase?as originales. Una vez hecho esto, podr¨¢n validarlas y probarlas en varios sitios de alto perfil (bancos, correos electr¨®nicos, sitios de comercio electr¨®nico, etc.)¡±.
Lo que m¨¢s le preocupa a Prado es el uso que se puede dar a estos datos: ¡°Un grupo de estas caracter¨ªsticas con acceso a 1.200 millones de posibles contrase?as tendr¨¢ la capacidad de construir algoritmos y encontrar patrones a largo plazo que generen m¨¦todos de descifrado m¨¢s perfeccionados¡±.
Alberto Garc¨ªa Illera, experto en seguridad, es ahora compa?ero de Prado. En su opini¨®n, este tipo de ataques ¡°no son sofisticados, ya que ni siquiera los propios delincuentes encontraron los fallos, sino que se nutren de sistemas desactualizados o de c¨®digo desarrollados por otras personas. El problema es que no hace falta ning¨²n nivel de sofisticaci¨®n para poder hacer uso de esos c¨®digos y robar los datos de millones de personas. No es algo que a los t¨¦cnicos nos sorprenda, pero para las personas ajenas a este mundo llama mucho la atenci¨®n¡±.
En Estados Unidos un ataque parecido al que se ha destapado ahora le cost¨® el puesto al m¨¢ximo responsable de seguridad de la cadena de supermercados Target. Blasco cree que es posible que sea el mismo grupo. ¡°No son solo rusos, sino diferentes grupos que operan en la zona. En el mercado negro se venden al peso, no es demasiado caro, aunque prefiero no dar precios. En foros especializados venden un mill¨®n de credenciales de Gmail como un paquete¡±.
Esto no quiere decir que Rusia est¨¦ libre del ataque. El propio Holden, que ha mantenido comunicaci¨®n con el grupo de ciberdelincuentes, descarta una conexi¨®n entre el Gobierno de Putin y los malhechores, pero s¨ª los sit¨²a entre Rusia, Kazajst¨¢n y Mongolia.?
C¨®mo navegar de forma segura
Blasco considera que se puede hacer muy poco ante estas situaciones. Como precauci¨®n recomienda adoptar rutinas que hagan la navegaci¨®n m¨¢s segura: ¡°Una buena medida es cambiar las contrase?as cada dos semanas y no repetir entre diferentes servicios. Si roban una y prueban en m¨¢s sitios, se har¨¢n con toda la informaci¨®n. Es de sentido com¨²n, pero casi nunca se evita¡±. En esta misma l¨ªnea invita a probar, siempre que se ofrezca la autentificaci¨®n en dos pasos: ¡°Gmail ya lo ofrece. Se introduce la contrase?a con el teclado, con normalidad, despu¨¦s llega un SMS al m¨®vil y se debe meter el c¨®digo temporal que llegue. Para atacar a alguien habr¨ªa que tener su clave, pero tambi¨¦n su tel¨¦fono, por lo que se reducen las posibilidades de infracci¨®n¡±.
Prado lamenta la indefensi¨®n de los usuarios y da una recomendaci¨®n similar: "Hay que evitar repetir claves. Como m¨ªnimo, debemos implementar varios anillos de seguridad: Una contrase?a compleja y dedicada para nuestro correo electr¨®nico personal; otra para la banca electr¨®nica, otra para las compras online, y otras para diferentes grupos de p¨¢ginas habituales (blogs, comunidades online, etc.). De este modo, si un servidor o base de datos es atacada por una brecha de seguridad, nuestra identidad principal no estar¨¢ afectada".
"Que no cunda el p¨¢nico", insiste Holden, "si se han cambiado las contrase?as como deber¨ªa hacerse, es posible que la que tengan est¨¦ caducada". Y a?ade un ¨²ltimo consejo: "Procurar no dar demasiada informaci¨®n personal en sitios online".
Tu suscripci¨®n se est¨¢ usando en otro dispositivo
?Quieres a?adir otro usuario a tu suscripci¨®n?
Si contin¨²as leyendo en este dispositivo, no se podr¨¢ leer en el otro.
FlechaTu suscripci¨®n se est¨¢ usando en otro dispositivo y solo puedes acceder a EL PA?S desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripci¨®n a la modalidad Premium, as¨ª podr¨¢s a?adir otro usuario. Cada uno acceder¨¢ con su propia cuenta de email, lo que os permitir¨¢ personalizar vuestra experiencia en EL PA?S.
En el caso de no saber qui¨¦n est¨¢ usando tu cuenta, te recomendamos cambiar tu contrase?a aqu¨ª.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrar¨¢ en tu dispositivo y en el de la otra persona que est¨¢ usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aqu¨ª los t¨¦rminos y condiciones de la suscripci¨®n digital.
