Contraseñas vulnerables y brechas de datos en las empresas: RootedCON 2019

En la última edición de RootedCon en Madrid el pasado mes de marzo tuve la suerte de poder asistir a la ponencia de dos compañeros de Telefónica: Jaime Sánchez y Pablo Caro (Pablo es parte del Red Team, grupo independiente que desafía a la propia organización a mejorar la efectividad de su seguridad.), que llevaba por título “I Know your P4$$W0RD (And if i don´t, I will guess it)” que fue una de las que mayor impacto tuvo entre el público. Trataba sobre contraseñas vulnerables. Éstas son una herramienta habitual, que usamos incluso en el propio bloqueo del teléfono,  y a la que no damos la importancia que tiene en relación a nuestro “yo” virtual, pero que se ha convertido en una de las principales preocupaciones para los CSO.

Y es que ya resulta casi  habitual encontrarnos con titulares que recogen la noticia  de importantes multinacionales que dejan al descubierto millones de cuentas de usuarios (y todo lo que ello conlleva). Están los casos de Equifax en 2017 con 146 millones de usuarios o Marriott a finales del año pasado con la exposición de 500 millones de clientes pero, sin lugar a duda, Facebook se lleva la palma con otra brecha de datos reciente.

Pero, más allá de estas filtraciones, Jaime y Pablo contaron en su exposición cómo podrían llegar a obtener la contraseña de alguien con una mezcla de técnicas que han hecho converger en una herramienta que se apoya además en la computación cloud para romper esa clave. (Comprueba la seguridad de tu password)

La herramienta se llama Kaonashi  (como el personaje sin cara que devora sin control en El viaje de Chihiro, del gran Miyazaki) y alberga e múltiples leaks o fugas de datos, que proporcionan un conjunto estadístico de información que permite reventar las contraseñas de la victima, a partir de «la regla 20/60/20», es decir:

• El 20 por ciento de las contraseñas son fáciles y se pueden obtener con diccionarios (archivo con lista de palabras) de propósito general o contraseñas comunes.
• El 60 por ciento tiene una dificultad moderada, son ligeras variaciones de ese 20 por ciento anterior
• Y el 20 por ciento restante presenta una dificultad alta, son contraseñas complejas y con longitudes superiores a la habitual

Las estadísticas nos muestran, por ejemplo, cómo la longitud media de las contraseñas es de 7 a 9 caracteres o que las mujeres suelen usar en sus contraseñas nombres, a diferencia de los hombres, que suelen usar hobbies para crearlas. Se trata de un importante trabajo centrado en ese 60 por ciento de usuarios que usan variables, que arroja mejoras sustanciales -de hasta un 10,44 por ciento- en el tratamiento de las contraseñas en comparación con servicios y diccionarios de referencia en el “crackeo” (agrietamiento) de contraseñas, . Este estudio que nos mostró la importancia de seguir ciertas recomendaciones a la hora de usar nuestras contraseñas verá próximamente la luz. Tres de dichos consejos son:

• Usar MFA (Multi-factor Authentication) como factor de seguridad adicional a la contraseña, con el fin de que si ésta queda expuesta no resulte comprometida la cuenta. Para ello, os recomiendo usar TOTP (contraseña de un solo uso)
• Emplear Latch en aquellos “sitios” en que este protegido con el mismo.
• Y utilizar contraseñas largas y aleatorias (con el gestor de contraseñas),

Termino con la ponencia, en la que podréis conocer más sobre la herramienta Kaonashi.

Imagen: Psyomjesus