El chantaje de las contraseñas

25 octubre, 2018

Desde hace unas semanas algunos usuarios de internet están recibiendo mensajes de correo electrónico donde se muestra una de sus contraseñas, de las que en algún momento han hecho servir o que aún tienen en alguna web.

Se trata de mensajes en los que extorsionan al usuario diciendo que tienen su contraseña, cosa que es cierta (después explicaremos cómo es así), y que han accedido al sistema informático mediante acceso remoto para obtener datos comprometedores de los que pueden hacer uso en contra de los usuarios. Con esa excusa, piden una cierta cantidad de dinero por no enviar a nuestros contactos toda la información, que supuestamente han conseguido a través de la intrusión en nuestros sistemas.

Este tipo de mensajes normalmente ya son clasificados como SPAM por nuestro gestor de correo, pero no siempre, por lo que hemos de ir con cuidado y no caer en ello.

Así que, primero de todo, veamos uno de esos mensajes.

En el mensaje podemos ver cómo nos avisa de que tiene nuestra contraseña y que, si no pagamos, en este caso 4.000 dólares, enviará todo el contenido que tiene a nuestros contactos. Incluso dice que nos ha capturado un vídeo con nuestra cámara, y que debemos hacer el pago mediante Bitcoins a la dirección que nos proporciona. Incluso nos dice que, si no sabemos cómo pagar en Bitcoins, lo miremos en Google con una búsqueda “how to buy bitcoin»… Nos lo pone sencillo…

Podemos llegar a recibir decenas de estos mensajes a lo largo de la semana. Parece un filón para los delincuentes.

Pero, ¿qué podemos hacer? ¿Qué es lo que hemos hecho para merecer esto?

Vamos con la primera pregunta, ¿qué hacer? Nada. No hay que hacer nada, borrar directamente el mensaje y esperar a recibir el siguiente para borrarlo directamente. Eso sí, hay que cambiar las contraseñas de todas aquellas páginas web en las que tengamos la misma. Recordad que hace años ya os dijimos en este mismo blog que hay que usar contraseñas diferentes para cada página web.

Y ¿por qué recibo yo esto? ¿Qué he hecho?

En principio nada malo, solo darse de alta en alguna página web en la que no tenían mucha idea de la implantación de la seguridad informática y las bases de datos con los usuarios. El e‑mail y las contraseñas estaban mal guardadas, no estaban cifradas para que si alguien accedía no pudieran encontrarlas. No hace falta que sea un delincuente que accede desde fuera: un empleado descontento puede extraer la base de datos, por eso la importancia de cifrar estos campos en las BBDD.

Ha habido infinidad de filtraciones de datos personales en internet, con millones de correos electrónicos y contraseñas expuestas. Ante esto nos decimos… yo no me he dado de alta en casi nada… no me afectará. Pero si tienes Dropbox, Adobe Acrobat, foros de consultas, juegos online… puedes estar en esas listas de usuarios y contraseñas.

¿Cómo sabemos si estamos afectados?

Por suerte hay personas que se han dedicado a recopilar muchos de estos usuarios y contraseñas y han creado una página web (https://haveibeenpwned.com/) para comprobar si estamos o no afectados. Si tenemos suerte veremos el color verde.

Si estamos afectados por alguno de los múltiples problemas que ha habido… veremos el color rojo y además nos dirá en cuántos sitios estamos afectados y cuáles son.

Una buena solución para estos casos es vigilar dónde nos damos de alta con nuestro correo electrónico, tener muy claro que no se puede hacer servir la misma contraseña para todo, sobre todo para correo, bancos, sistemas de seguridad, etc. Y, en todos aquellos casos en los que el sistema dónde estamos dados de alta lo permita, activar el segundo factor de autenticación. Éste hace que, en los casos en que el sistema considere adecuado (cuando se está accediendo desde una nueva ciudad, por ejemplo) todo y conocer la contraseña y entrar en el sistema correctamente, se envíe un mensaje a través del teléfono móvil para solicitar la introducción de un código válido exclusivamente para esa vez. Esto hará que, incluso si nos roban la contraseña, no puedan entrar al servicio ya que no dispondrán de este segundo código, que tendrá únicamente el usuario legítimo.

Jordi Serra Ruiz es experto en Ciberseguridad y profesor de los Estudios de Informática, Multimedia y Telecomunicación de la Universitat Oberta de Catalunya.

(Visited 30 times, 1 visits today)
Autor / Autora
Comentarios
Deja un comentario