La pesadilla de repetir las contraseñas

Un día, un internauta deja de usar una red social, un servicio o un programa. No entra más, pero su información, los datos que genera y la contraseña siguen allí. Pero esa misma contraseña la vuelve a usar en otro servicio, más nuevo, más prometedor y más de moda. ¿Por qué cambiarla? Si un día alguien la roba en aquel primer servicio que quedó en el olvido, tenemos un problema. No solo tiene la información que había en el primer servicio, sino que puede acceder a otros en los que se volvieron a usar las mismas claves.

Usuarios de Linkedin, MySpace y Tumblr se han visto en las últimas semanas en esta situación, después de que se pusieran a la venta en foros de ciberdelincuentes listas de contraseñas supuestamente en desuso. Y las cuentas olvidadas, de repente se reactivan y afectan a la vida y a la reputación de sus propietarios. Una situación que ha vivido en sus carnes Mark Zuckerberg, el fundador de Facebook, a quien este lunes le robaron sus cuentas en Twitter y Pinterest y le publicaron nuevos mensajes en ellas. La usurpación se produjo, según Venture Beat, porque las contraseñas (que además eran la misma: "bababa") se habían filtrado en un robo de claves en Linkedin del 2012 y alguien, por lo visto, tuvo tiempo y ganas de buscarlas.

Team Viewer, un programa que se usa para acceder a un ordenador a distancia, sea para disponer de archivos o para ayudar a solventar un problema informático, también ha sido 'hackeado' en la última semana. Según un portavoz, no porque un 'hacker' entrara en los servidores de la empresa y se hiciera con el archivo de claves sino porque muchos usuarios usaban la misma clave en otros servicios que han sido expuestos como Linkedin.

CONTRASEÑAS CADA VEZ MÁS SIMPLES

El tema de las contraseñas, de todos modos, tiene mal arreglo. "La mayoría de los ataques con contraseñas vienen de algún 'malware' que las ha captado porque el usuario ha tenido que clicar en un enlace de una página. Hay algunos programas muy avanzados que pueden actuar sin que el usuario haga nada, pero aún no se ha visto en redes sociales", señala Pedro García-Villacañas, director técnico de Kaspersky Labs España.

Algunos expertos alertan, además, de que cambiar las contraseñas por imposición puede no ser una buena idea porque la gente no suele romperse mucho la cabeza con ellas y tiende a elegir una cada vez más sencilla. Pero hay medidas básicas como elegir una contraseña considerada robusta (larga, compleja, con mayúsculas y signos ortográficos), no autoguardar las claves especialmente si el ordenador no es el habitual, si una web ofrece la opción de recuperar la contraseña mediante una pregunta previa no utilizar respuestas muy obvias, o no guardarlas todas en el ordenador en un archivo que además se llame "contraseñas" o "claves", según advierten profesores de informática de la Universitat Oberta de Catalunya.

CAMBIOS FORZADOS

Linkedin ha invalidado todas las contraseñas anteriores al 2012, según un correo enviado a sus usuarios, a los que ha pedido además que implanten la llamada verificación en dos pasos, es decir, que el usuario tenga que utilizar dos dispositivos distintos (generalmente un móvil y un ordenador) para confirmar su identidad.

La red social de negocios sufrió un ataque informático en aquel año que reveló que no usaban criptografía aleatoria para proteger las claves de sus clientes. Un fallo que posteriormente han subsanado. 

Otros servicios como Netflix también están pidiendo estos días a sus clientes que cambien contraseñas ante el temor de que sean las mismas claves que hayan usado en otras webs atacadas, desde Linkedin a Ashley Madison o Adobe. Porque muchas compañías monitorizan si hay filtración de datos suyos en foros o páginas de compraventa de software para alertar a sus usuarios. Mejor prevenir.