Contraseñas vulnerables y brechas de datos en las empresas: RootedCON 2019Rubén García Ramiro 29 abril, 2019 En la última edición de RootedCon en Madrid el pasado mes de marzo tuve la suerte de poder asistir a la ponencia de dos compañeros de Telefónica: Jaime Sánchez y Pablo Caro (Pablo es parte del Red Team, grupo independiente que desafía a la propia organización a mejorar la efectividad de su seguridad.), que llevaba por título “I Know your P4$$W0RD (And if i don´t, I will guess it)” que fue una de las que mayor impacto tuvo entre el público. Trataba sobre contraseñas vulnerables. Éstas son una herramienta habitual, que usamos incluso en el propio bloqueo del teléfono, y a la que no damos la importancia que tiene en relación a nuestro “yo” virtual, pero que se ha convertido en una de las principales preocupaciones para los CSO. Y es que ya resulta casi habitual encontrarnos con titulares que recogen la noticia de importantes multinacionales que dejan al descubierto millones de cuentas de usuarios (y todo lo que ello conlleva). Están los casos de Equifax en 2017 con 146 millones de usuarios o Marriott a finales del año pasado con la exposición de 500 millones de clientes pero, sin lugar a duda, Facebook se lleva la palma con otra brecha de datos reciente. Pero, más allá de estas filtraciones, Jaime y Pablo contaron en su exposición cómo podrían llegar a obtener la contraseña de alguien con una mezcla de técnicas que han hecho converger en una herramienta que se apoya además en la computación cloud para romper esa clave. (Comprueba la seguridad de tu password) La herramienta se llama Kaonashi (como el personaje sin cara que devora sin control en El viaje de Chihiro, del gran Miyazaki) y alberga e múltiples leaks o fugas de datos, que proporcionan un conjunto estadístico de información que permite reventar las contraseñas de la victima, a partir de «la regla 20/60/20», es decir: El 20 por ciento de las contraseñas son fáciles y se pueden obtener con diccionarios (archivo con lista de palabras) de propósito general o contraseñas comunes.El 60 por ciento tiene una dificultad moderada, son ligeras variaciones de ese 20 por ciento anteriorY el 20 por ciento restante presenta una dificultad alta, son contraseñas complejas y con longitudes superiores a la habitual Las estadísticas nos muestran, por ejemplo, cómo la longitud media de las contraseñas es de 7 a 9 caracteres o que las mujeres suelen usar en sus contraseñas nombres, a diferencia de los hombres, que suelen usar hobbies para crearlas. Se trata de un importante trabajo centrado en ese 60 por ciento de usuarios que usan variables, que arroja mejoras sustanciales -de hasta un 10,44 por ciento- en el tratamiento de las contraseñas en comparación con servicios y diccionarios de referencia en el “crackeo” (agrietamiento) de contraseñas, . Este estudio que nos mostró la importancia de seguir ciertas recomendaciones a la hora de usar nuestras contraseñas verá próximamente la luz. Tres de dichos consejos son: Usar MFA (Multi-factor Authentication) como factor de seguridad adicional a la contraseña, con el fin de que si ésta queda expuesta no resulte comprometida la cuenta. Para ello, os recomiendo usar TOTP (contraseña de un solo uso)Emplear Latch en aquellos “sitios” en que este protegido con el mismo.Y utilizar contraseñas largas y aleatorias (con el gestor de contraseñas), Termino con la ponencia, en la que podréis conocer más sobre la herramienta Kaonashi. I Know Your P4$$w0rd (And If I Don’t, I Will Guess It…) from Jaime Sánchez Imagen: Psyomjesus La tecnología necesaria para una buena experiencia de cliente en servicios profesionalesPlataforma Leemos: el libro, en la frecuencia de onda de los adolescentes
José Ramón Suárez Rivas Una nueva cultura organizacional, prioritaria para los profesionales Peter Drucker, considerado el padre del management, también fue famoso por esta frase que se le atribuye: “La cultura se come a la estrategia en el desayuno”. Es algo...
Virginia Cabrera El efecto exponencial de un proyecto colaborativo con alma: nuestro blog, premiado en el Día de Internet Nunca me gustó trabajar en grupo, lo reconozco. Recuerdo con horror aquellos murales de las provincias que nos ponían como deberes las monjas en el colegio y aún me...
Manuel Carballo Retail ¿o deberíamos llamarlo RIPtail? Caídas cercanas en bolsa a un 30 por ciento en 2021 en el sector retail, cierre de tiendas por la pandemia, deudas asfixiantes… Parece un oscuro panorama cercano...
Clara Estrada Merayo El metaverso empresarial de Imascono: imaginación aplicada al negocio Debemos soñar con coraje y dedicación porque el futuro de la humanidad lo dirige nuestra imaginación. Es el mensaje que nos dejó el pasado 28 de abril, la Imascono...
Laura Lacarra Arcos Talento y tecnología al servicio de la red: una mirada multidisciplinar para dar sentido al análisis de datos Podemos comunicarnos gracias a la red. Y la red funciona a pleno rendimiento, gracias a todas las personas que están detrás. Como podréis imaginar, se trata de un entramado...
Belén Espejo González La educación, una parada obligatoria en el viaje a la digitalización Estamos viviendo una época sin precedentes, en la que los cambios se suceden a una velocidad vertiginosa. No hace mucho, cualquier pequeña innovación habría necesitado varios años para ser...