VIDA DIGITAL

Mirá acá a ver si ya hackearon tu cuenta de mail
La inseguridad es la regla, no la excepción, y no solo hay que ser cauto con la cantidad y calidad de datos que entregamos a los servicios y apps, sino que además hay que evitar reciclar contraseñas
Hay un nuevo sitio para averiguar si las credenciales de tu correo o tu número de teléfono se perdieron en alguna de las innumerables brechas que sufren las compañías de internet; te vas a asombrar
Ariel Torres
Me llamaba la atención. Todos los viernes a la misma hora llegaba a esa cuenta de correo electrónico un código de verificación. Alguien estaba tratando de entrar ilegítimamente. El ataque, a juzgar por su regularidad infatigable, estaba automatizado. También era evidente que en algún momento la contraseña se había filtrado. Pero la autenticación de dos pasos (más sobre esto enseguida) mantenía a raya el ingreso no autorizado.
Cuando salió el sitio DataBreach.com, hace poco, puse esa dirección de mail y, un segundo después, fue impactante ver toda la información sobre las brechas de seguridad donde esa cuenta había quedado comprometida. No solo me confirmaba la sospecha, sino que además me daba el historial de las compañías que alguna vez habían tenido mis datos y habían fallado en protegerlos adecuadamente. Por supuesto, pensé a continuación dos cosas.
La brecha de seguridas de LinkedIn, en 2022

Primera, esto tienen que verlo mis lectores. Segunda, que ya existía algo de esta clase. Me refiero al sitio Have I Been Pwned?, del gran Troy Hunt, unos de los directores regionales de Microsoft, que hace casi once años, en diciembre de 2013, creó una de las primeras plataformas para informar si alguna de tus cuentas o tus contraseñas había caído en manos de los piratas. Básicamente, estos sitios web concentran en un solo lugar, fácil de cotejar, los datos sobre las brechas de seguridad y lo que se sabe que está circulando en las cloacas de la Red. En el caso de Have I Been Pwned?, más de 14.300 millones de cuentas comprometidas. En el caso de DataBreach, más de 17.300 millones.
La popular plataforma de música sufrió una brecha de seguridad en 2022
DataBreach viene a añadir un poco más de detalle sobre cada filtración. Y en estos casos, cuanto más información, mejor. Por ejemplo, una de las cuentas que investigué había caído en una brecha que LinkedIn sufrió en 2021, y en la que también se habían robado datos filiatorios (teléfono, dirección postal, y así). Por supuesto, no había ingresado tales datos y ahora viene a probarse cuán cierto era lo que vengo predicando desde hace más de 15 años. Esto es, tratemos de dar la menor cantidad de información personal posible a los sitios, porque la inseguridad es la regla, no la excepción, y si el sitio sufre una brecha de seguridad, tus datos empiezan a traficarse entre los piratas.
Lo malo de reciclar
Y si además reciclás tus contraseñas, es decir, usás la misma en varios servicios, entonces una brecha puede comprometer un montón de tus cuentas. Me decía estos días Federico Kirschbaum, que es CEO de Faraday Security, que el valor de este tipo de sitios es, precisamente, el crear consciencia de la enormidad de datos personales que se venden en el mercado negro. No puedo dejar de mencionar el hecho de que hace 15 años un alto ejecutivo de una de las grandes compañías de tecnología del Silicon Valley me tildó de “periodista irresponsable que siembra el miedo y la paranoia”, cuando aconsejé, en una conferencia en la Universidad de Palermo, no entregar datos personales tan liberalmente. Una semana después, hackearon la PlayStation Network y se robaron 77 millones de cuentas de usuario; eso es una brecha, y eso es inseguridad informática fuera de control.
El sitio de Troy Hunt ahora también muestra información más detallada sobre las brechas; en este caso, Adobe, en 2013 perdió datos de 153 millones de sus usuarios
Kirschbaum me dijo que lo de las filtraciones de datos es también un tema clave para las empresas, porque muchas de sus propias brechas de seguridad se originan en empleados que reciclan contraseñas. Esas contraseñas se pierden en otro lugar y los piratas las usan para infiltrarse en la organización, incluso si tiene una seguridad robusta.
La principal diferencia entre el sitio de Troy y DataBreach, que le pertenece a una compañía de seguridad de New Jersey, Estados Unidos, llamada Atlas Privacy, es que este sitio es un poco más amigable en cuanto a la manera de presentar la información sobre las brechas. Al desplegar cada apartado, informa en qué fecha, qué datos y por qué motivo hubo una fuga de información sensible. Eso sí, es imposible que Atlas (o cualquier otro) sepa con precisión qué datos le robaron a cada persona. Genéricamente, da a conocer qué había en el paquete que sustrajeron los piratas. Si había números de teléfono, pero vos no habías puesto tu número de teléfono en ese sitio, entonces los piratas no lo tienen. Con todo, el sitio de Troy sigue siendo más completo, independientemente de los impresionantes números que ambas plataformas exponen en su portada. Por ejemplo, la misma cuenta que en DataBreach aparecía con 8 filtraciones, en Have I Been Pwned? mostraba 19 brechas.
2FA
Ahora, si había un bot intentando hackear esa cuenta, ¿por qué no fui y cambié la contraseña? Primero, porque el fenómeno por sí era interesante (y la cuenta no contenía nada de valor). Era interesante, dicho muy simple, por su persistencia y regularidad; estuvieron toda la pandemia y un poco más intentando ingresar a esa cuenta, sin faltar ni un solo viernes a la cita. Segundo, porque la tenía protegida con lo que se conoce como autenticación de dos pasos, y por eso no la perdí. La autenticación de dos pasos o 2FA (por Two Factor Authentication) no es una bala de plata, pero es una bala de todos modos. ¿Cómo funciona?
¿Recuerdan FarmVIlle? Su fabricante, Zynga, tuvo una fuga de datos de usuarios en 2019
Instalás en el teléfono una aplicación como el Authenticator de Google o el de Microsoft y asociás la cuenta que querés proteger. Lo más sencillo es hacerlo desde una computadora, desde los Ajustes u Opciones de la cuenta (Facebook, Twitter, Outlook, Instagram, etcétera) y en la sección de Seguridad vas a encontrar un apartado llamado Autenticación en dos pasos. Activás esa función, escaneás el QR en la pantalla, ingresás el código que emita el teléfono (o alguna maniobra de ese tipo), y listo. Ahora, si te quieren robar una cuenta, además de tu nombre de usuario y contraseña, necesitarán tu teléfono. Y eso ya no es tan sencillo.
Consejo del estribo. Si recibís la mala noticia de que tu cuenta cayó en alguna brecha, lo más aconsejable, en principio y descartando situaciones particulares especiales, es cambiar la contraseña. Y nunca recicles tus claves.

http://indecquetrabajaiii.blogspot.com.ar/. INDECQUETRABAJA