Tecnología, internet y otras cosas de interés

Un blog de Xenon 

Los "malos" ya saben tu contraseña

Así es. Las probabilidades de que tu contraseña esté circulando por el mercado negro de los datos son muy altas, y tu no tienes la culpa. Al menos del todo.

Cuando te registras en una página web lo haces confiando en que el sistema que emplean es seguro. Das por hecho que un programador profesional y una persona preocupada por la seguridad han desarrollado esa web de forma que tu contraseña sea segura, sin embargo tenemos que decirte que no es así. 

Cada día un nuevo sitio web sufre un ataque informatico cuyo objetivo no es exclusivamente paralizar la actividad, si no obtener datos y contraseñas para comercializar con ellas en el mercado negro de datos. Si, existe un mercado en el que delincuentes informáticos realizan compraventa de contraseñas y usuarios con los que luego intentan obtener beneficio, bien sea mediante la suplantación de identidad o directamente transfiriendo importes desde cuentas bancarias.

Contado así parece muy sencillo robar una contraseña, pero no lo es tanto. Primero veamos como se almacena una contraseña en un servidor.

Cuando introducimos la contraseña en el sistema por primera vez, pongamos por ejemplo "contraseña123" esta se almacena en la base de datos, pero no lo hace tal y como la vemos aquí, si no que primero pasa por complejos algoritmos de encriptado unidireccional que la convierten en algo más parecido a:"90c0a9862b6bd28ef7054da13bb9c5f8fb3b7527"

Este código habitualmente llamado "hash" no es más que un identificador único de tu contraseña que permite identificarte, pero no permite saber cual era en realidad la contraseña.

De esta forma, cuando inicias sesión en una página web e introduces tu contraseña sucede lo siguiente:

1. Se encripta la contraseña que has escrito con el algoritmo unidireccional

2. Se compara el resultado de lo anterior con el hash que previamente está almacenado en el servidor

3. Si coinciden ambas se concede el acceso.

De esta forma tu contraseña real nunca queda almacenada en el servidor, por lo que es dificil que la consigan robando la base de datos.

Ahora bien, ¿Qué pasa si el programador que hizo la web emplea un algoritmo de cifrado que se marcó como obsoleto hace ya más de 20 años? 

Sucede que aunque tu contraseña no es visible, si es vulnerable a los conocidos como ataques por diccionario, en los que un usuario va creando permutaciones de números y letras y almacenandolos en lo que se denomina "diccionario de contraseñas". A partir de aquí, en el momento que tienen un hash de un algoritmo débil pueden buscar en su diccionario y obtener la contraseña original.

Pongamos un caso real. Una conocida web de enlaces a películas y series de televisión sufrió un ataque en el que robaron la base de datos con los hash de los usuarios. El algoritmo que empleaban en esta web para cifrar las contraseñas se ha marcado como inseguro desde hace ya varios años. Por lo tanto, todos aquellos usuarios que emplearon para esta web la misma contraseña que para su correo electrónico tienen un grave problema. 

El delincuente lo primero que va a hacer con las contraseñas es intentar iniciar sesión en bancos, correos electrónicos, redes sociales.. etc.

Por eso es muy importante que emplees contraseñas diferentes en cada sitio web que te registres, y no es dificil. En el próximo post os explicamos como crear una contraseña segura y eficiente para cada sitio.

Añadir que es importante también el empleo de conexiones cifradas (https), pues mientras nuestra contraseña viaja al servidor, lo hace sin cifrar y podría ser leida por un atacante que se encontrara en la ruta de los datos.

Protección ante el robo de contraseñas