Etiqueta: contraseñas

Claves para mantener su smartphone Android seguro

Hoy en día, no son novedad para los usuarios los innumerables ataques que pueden convertirlos en presas fáciles para los cibercriminales. Android es el sistema operativo móvil más popular, lo que explica que el malware específico para este sistema operativo sea el más común. Cuando se trata de la seguridad de nuestros dispositivos conectados, es esencial protegerlos desde el principio y estar al tanto de las diferentes maniobras que utilizan los delincuentes para engañar a los usuarios e infectar los dispositivos.

Una investigación de Kaspersky Lab, el 83% de las aplicaciones de Android tienen acceso a los datos confidenciales de sus propietarios, y 96% de estas apps pueden iniciarse sin consentimiento.

“No podemos negar que los cibercriminales son muy creativos y, por eso, los usuarios no pueden dejarles ninguna puerta abierta que les dé la oportunidad de comprometer sus archivos, robar información confidencial u obtener sus datos bancarios”, comenta Santiago Pontiroli, analista de seguridad para Kaspersky Lab. “Muchos usuarios también descargan aplicaciones sin investigar su procedencia, lo cual les puede causar un serio dolor de cabeza. Es por eso que es esencial estar informados y entender los peligros que conlleva descargar cualquier tipo de aplicación desde Internet”.

Para prevenir dolores de cabeza y asegurar que los propietarios de dispositivos Android estén protegidos, Kaspersky Lab ofrece recomendaciones para que no caigan en las trampas de los cibercriminales.

  1. ¿Cómo se debe descargar una aplicación de forma segura? Google cuenta con departamento entero dedicado a la verificación de aplicaciones que terminan en la tienda de Google Play. Sin embargo, aplicaciones con malware pueden filtrase de vez en cuando. Aunque el riesgo de descargar una aplicación infectada directamente desde la tienda oficial es mucho menor que si la descarga de otra fuente.
  2. ¿Es solo descargar y listo? Antes de descargar una aplicación, investigue a fondo sobre la descripción, los creadores y la cantidad de personas que han reportado problemas o ataques de malware con dicha aplicación.
  3. La aplicación tiene una calificación de 10 puntos. ¿Cuál es el problema? Una aplicación con clasificación alta es buena, útil y probablemente más segura; aun así, tenga cuidado. Una calificación alta no lo es todo y las evaluaciones hechas por los usuarios deben ser consistentes, escritas por personas que hayan utilizado la app y no bots, inclusive si son negativas. En ocasiones, los cibercriminales usan redes automatizadas para mejorar la evaluación de aplicaciones, así los usuarios no levantarán sospecha alguna al momento de descargarla. Además, revise el número de usuarios que descargaron la aplicación ya que las que contienen millones de descargas tienen menos probabilidad de venir infectadas con malware.
  4. ¿Qué necesita saber la aplicación sobre mí? Desde los ajustes de permisos, el usuario puede controlar cuánta libertad tiene una aplicación. Por ejemplo, ¿es necesario que la aplicación que utiliza para escuchar música tenga acceso a su cámara? ¿Y a su micrófono? Los peligros más comunes involucran la habilidad que tienen las aplicaciones para robar sus datos (ubicación, contactos, archivos personales) y realizar ciertas operaciones de forma oculta, como tomar fotos, grabar audio, videos, enviar mensajes, entre otros. Según Kaspersky Lab, aproximadamente el 40% de las personas en América Latina admite que no verifica los permisos de sus aplicaciones móviles preinstaladas en sus dispositivos Android e iOS, y el 15% de estas mismas no verifica los permisos cuando baja o instala nuevas aplicaciones en sus dispositivos móviles.
  5. Menos es más. Esta frase también aplica al mundo en línea, ya que entre menos aplicaciones tenga el usuario en su dispositivo, menores serán las probabilidades de caer víctimas de un ataque.
  6. “La última vez que actualicé mis aplicaciones fue…” Cuanto más actualizado esté el sistema operativo y las versiones de las aplicaciones, serán menos los problemas de seguridad que enfrentará tanto el usuario como su dispositivo. Por lo tanto, las actualizaciones deben hacerse regularmente. “Más que tener la tecnología a su favor, los usuarios necesitan estar conscientes de los peligros que se encuentran en Internet para poder evitarlos y poder mantenerse protegidos de los posibles riesgos que existen”, afirma Pontiroli.
  7. Seguridad en dosis doble. La autenticación de doble factor es un recurso ofrecido por varios proveedores de servicios en línea que añaden una capa adicional de seguridad para el proceso de inicio de sesión de cualquier cuenta; ya que requiere que el usuario proporcione dos formas de autenticación. La primera forma – en general – es una contraseña. El segundo factor puede ser cualquier cosa, dependiendo del servicio, un mensaje SMS o un código que se envía a un correo electrónico.
  8. Mi contraseña es 1234. Sin lugar a duda, elegir bien una contraseña es fundamental para evitar el robo de identidad y la información de sus cuentas. A pesar de que suelen acordarse de todo, con frecuencia los usuarios prefieren designar una contraseña fácil de recordar, aunque esto implique que sea más vulnerable. Esto aumenta la posibilidad de que los cibercriminales puedan adivinar las contraseñas y hacer un mal uso de las cuentas. Un software de administración de contraseñas, como Kaspersky Password Manager, puede ayudarte a almacenar y administrar contraseñas más seguras que incluyan varios caracteres con combinación de letras, números y símbolos.
  9. Asegúrese que su conexión a Internet es segura. Es esencial no realizar compras en línea ni transacciones bancarias mientras esté conectado a una red Wi-Fi pública. Asegúrese de utilizar una Red Privada Virtual (VPN), ya que toda la información que envíe en esta red estará protegida. Además, utilice herramientas que le permitan realizar compras y transacciones bancarias seguras en línea para PC o Mac, como Safe Money.
  10. ¿Qué más necesito? Sea cual sea el objetivo de su descarga, asegúrese de que su dispositivo cuente con una solución de seguridad robusta, que realice la verificación de aplicaciones, además del recurso antirrobo, que permite al usuario activar la alarma de forma remota, fotografiar al presunto ladrón, bloquear el aparato y borrar toda la información.

Cómo utilizar la API de Android 8.0 Oreo para gestionar contraseñas

La API de Google permite que las aplicaciones actúen como proveedores de autocompletar en el nivel del sistema. Entonces, en lugar de abrir un administrador de contraseñas y copiar sus contraseñas, la aplicación simplemente puede autenticarse y completar la información automáticamente. Esta característica requiere cierta configuración, pero vale la pena dedicar ese tiempo.

Autocompletar era algo posible en las versiones anteriores de Android utilizando el servicio de accesibilidad, que permite a las aplicaciones ingresar texto y resaltar campos. Sin embargo, este proceso fue lento y extremadamente problemático. Rellenar contraseñas no es lo que fue diseñado para hacer.

El Smart Lock de Google llegó a Android en Nougat, y funcionó un poco mejor, pero la mayoría de los desarrolladores no agregaron soporte. Por lo tanto, la API de autocompletar se diseñó para facilitar el uso de los administradores de contraseñas.

No todas las aplicaciones de administrador de contraseñas funcionan con esta característica, pero la mayoría de las grandes anunciaron compatibilidad. 1Password, Dashlane y LastPass han agregado soporte para Oreo que puede probar ahora, pero todavía está técnicamente en beta para LastPass. Si no utiliza un administrador de contraseñas de terceros, es posible que aún pueda usar la función de autocompletar con el servicio de autocompletar propio de Google desde Chrome.

 

Cómo usar la API Autocompletar de Oreo

Las funciones de autocompletar de Oreo están desactivadas de manera predeterminada, y están bastante ocultas. Para habilitar la función de autocompletar, dirígete a la configuración principal de tu sistema y busca en Sistema> Idioma y entrada> Avanzado> Servicio de autocompletar. Solo puede tener uno activo a la vez, pero “Autocompletar con Google” está integrado en el sistema operativo. Cualquier otra aplicación que haya instalado con soporte para autocompletar también aparecerá en este menú.

La opción de Google obtiene nombres de usuario y contraseñas de Chrome. Eso significa que ya tendrá acceso a muchas credenciales de cuenta en Android si ha estado guardando cosas en Chrome en su escritorio. La primera vez que abre una aplicación con un campo de inicio de sesión nativo (no un marco web incrustado), aparece una ventana que le solicita que confirme su cuenta de Google para que pueda encontrar los inicios de sesión. Una lista desplegable de inicios de sesión coincidentes le permitirá elegir entre varias cuentas.

Si eliges una aplicación de terceros como LastPass, el paso de autenticación es diferente. Estas aplicaciones son un poco más seguras en función de la implementación temprana. Por ejemplo, LastPass hace que confirmes tu identidad con una huella digital (si está habilitada en la aplicación) o una contraseña de LastPass antes de que se autocomplete en otras aplicaciones. Al igual que la oferta de acciones de Google, estas aplicaciones tienen menús desplegables donde puede elegir entre todas las cuentas que coinciden antes de completar el nombre de usuario y la contraseña.

Se necesita un poco de configuración, pero nunca tendrá que preocuparse por copiar y pegar torpemente sus contraseñas largas y complejas en Android. Si no tiene contraseñas largas y complejas, puede comenzar a usarlas sabiendo que no tendrá que escribirlas a mano.

Ryan Whitwam

Los cibercriminales se están enfocando en el robo de contraseñas

Las tácticas criminales empleadas para acceder a las credenciales de los usuarios están aumentando su prevalencia, según el último informe trimestral de seguridad Internet Security Report realizado por la compañía WatchGuard Technologies, el 47% de todo el malware es nuevo o zero-day y, por lo tanto, puede eludir las soluciones antivirus basadas en firmas.

“Los datos de Firebox Feed correspondientes al segundo trimestre muestran que los actores de amenazas están más centrados que nunca en el robo de credenciales “, afirma Corey Nachreiner, director de Tecnología de WatchGuard Technologies.

“Desde los ataques de phishing habilitados para JavaScript y los intentos de robar contraseñas de Linux, hasta ataques de fuerza bruta contra servidores web, el común denominador aquí es que el registro del inicio de sesión es una prioridad para los criminales. Sabiendo esto, las empresas deben fortalecer los servidores expuestos, considerar seriamente la autenticación multifactor, formar a los usuarios para identificar ataques de phishing e implementar soluciones avanzadas de prevención de amenazas para proteger sus valiosos datos”.

Internet Security Report de WatchGuard aporta inteligencia de amenazas, investigación y recomendaciones prácticas de seguridad con el fin de informar y concienciar a lectores y usuarios en relación a los adversarios online para que puedan protegerse mejor a sí mismos y a sus organizaciones.

Algunas de las principales conclusiones del informe del segundo trimestre son las siguientes:

Las cuentas Mimikatz representan el 36% del principal malware. Una popular herramienta de código abierto utilizada para el robo de credenciales. A menudo utilizado para robar y reemplazar credenciales de Windows, Mimikatz apareció con tanta frecuencia que se posicionó como la principal variante de malware del segundo trimestre de 2017. Esta nueva incorporación al conocido grupo de variantes de malware más destacadas muestra que los atacantes están constantemente ajustando las tácticas.

Los ataques de phishing incorporan JavaScript malicioso para engañar a los usuarios. Durante varios trimestres, los atacantes han aprovechado el código JavaScript y los downloaders para suministrar malware en ataques web y de correo electrónico. En el segundo trimestre, los atacantes utilizaron JavaScript en adjuntos HTML para enviar correos electrónicos de phishing que imitan las páginas de inicio de sesión de sitios legítimos tan populares como Google, Microsoft y otros para engañar a los usuarios para que renuncien voluntariamente a sus credenciales.

Los atacantes apuntan a las contraseñas de Linux en el norte de Europa. Los ciberdelincuentes emplearon una vieja vulnerabilidad de aplicaciones de Linux para dirigirse a varios países nórdicos y a los Países Bajos con ataques diseñados para robar archivos de hash de contraseñas. Más del 75% de los ataques aprovecharon una vulnerabilidad de acceso remoto para acceder a contraseñas que se dirigían a Noruega (62,7%) y Finlandia (14,49%). Con un volumen tan alto de ataques entrantes, los usuarios deben actualizar los servidores y dispositivos Linux como precaución básica.

Suben los ataques de fuerza bruta contra servidores web. Este verano, los atacantes usaron herramientas automatizadas contra servidores web para descifrar credenciales de usuario. Con una mayor prevalencia de ataques web contra la autenticación en el segundo trimestre, los intentos de inicio de sesión de fuerza bruta contra servidores web estuvieron presentes entre los 10 principales ataques de red. Los servidores web sin protección que supervisan los inicios de sesión fallidos dejan los ataques automáticos sin comprobar para adivinar miles de contraseñas por segundo.

Casi la mitad de todo el malware es capaz de saltarse las soluciones antivirus heredadas. Con un 47% más que antes, más malware nuevo o zero-day está logrando evitar los antivirus heredados. Los datos muestran que los antivirus más antiguos basados en firmas son cada vez menos fiables cuando se trata de capturar nuevas amenazas, lo que pone de manifiesto la necesidad de soluciones de detección de comportamiento para detener las amenazas persistentes avanzadas.

El informe de WatchGuard, Internet Security Report, se basa en datos anónimos proporcionados por Firebox Feed procedentes de más de 33.500 appliances WatchGuard UTM activos en todo el mundo. En total, estos dispositivos bloquearon más de 16 millones de variantes de malware en el segundo trimestre, con una media de 488 muestras bloqueadas por cada dispositivo individual. En el transcurso del trimestre, la solución Gateway AV de WatchGuard detuvo casi 11 millones de variantes de malware (un 35% más que en el primer trimestre), mientras que APT Blocker capturó otros 5.484.320 de variantes de malware (un aumento del 53% en comparación con el primer trimestre). Además, los dispositivos de WatchGuard Firebox detuvieron casi tres millones de ataques de red en el segundo trimestre, a una tasa de 86 ataques bloqueados por dispositivo.

El informe completo recoge y detalla las principales tendencias de malware y ataques en el segundo trimestre de 2017, así como un desglose completo de los notorios ataques del ransomware WannaCry y las mejores prácticas de seguridad de la información para los usuarios.

Redacción

 

10 claves para gestionar de forma segura las contraseñas

La gestión de contraseñas es una de las medidas de seguridad más esenciales y, probablemente, más molestas.

Las contraseñas cortas son fáciles de recordar, pero no son seguras. Sin embargo, existe una solución fácil para todos estos problemas: Kaspersky Password Manager. En lugar de memorizar todas las contraseñas para cualquier dispositivo, lo único que se requiere es recordar es una contraseña maestra ya que hace algo más que almacenar de forma segura las contraseñas, sino que también introduce automáticamente los nombres de usuario en los sitios web sin la necesidad de recordar todas las contraseñas complejas.

Las contraseñas son la llave de entrada a los datos personales de los titulares de la cuenta, a su vida privada, e incluso a su dinero, y si son robadas, las consecuencias pueden afectar no sólo a los usuarios individuales, sino también a sus contactos, advierten desde Kaspersky Lab. La compañía aconseja unas pautas para crear contraseñas y gestionarlas de forma segura:

  • Crea una contraseña única para cada cuenta.
  • Las palabras, nombres y otras combinaciones no son una buena opción, al igual que las variantes 123456 o QWERTY.
  • Crea una contraseña compleja que no sea fácil de descifrar incluso usando programas especiales. Deben tener ocho símbolos, incluyendo letras mayúsculas y minúsculas, números, signos de puntuación y que no incluyan cosas como el nombre de tu mascota o tu fecha de nacimiento.
  • Utiliza la técnica nemotécnica, es decir, crear contraseñas con una historia que se pueda unir a una imagen o fotografía.
  • No utilizar palabras extranjeras, escritos en letras inglesas. Los hackers tienen diccionarios especiales que contienen este tipo de combinaciones, por lo que este método no añade ningún tipo de seguridad.
  • No hay que dar tu contraseña a nadie, ni siquiera a tus amigos. Si los cibercriminales no pueden robar de tu dispositivo, podrían ser capaces de hacerlo desde el de otra persona.
  • Con respecto al uso de los equipos de la familia, es preferible crear otra cuenta de usuario.
  • La dificultad para elegir y memorizar una contraseña segura es sólo un mito, existen métodos que pueden ayudar.
  • Escribe la contraseña con la ayuda del teclado varias veces en la memorización. Repita hasta que el proceso sea automático. Además, la velocidad de escritura es también una protección en caso de que alguien mire como o qué escribió.
  • Guarda tu contraseña en un lugar seguro, no la escribas en un papel. Recuérdalas o usa un programa.

Redacción

La medida de desaparecer las contraseñas es a largo plazo

El número de contraseñas en uso aumentará de los 75,000 millones que actualmente existen a las 100,000 para el año 2020, según un nuevo informe realizado por Cibersecurity Ventures.

El número de contraseñas utilizadas por las máquinas, como los dispositivos IoT, crecerá aún más rápido, pasando de los 15,000 millones existentes en 2015 a alrededor de 200,000 millones en 2020, de acuerdo con el estudio. Estas cifras no incluyen las contraseñas de un solo uso (OTP), cifrado SSL y otras credenciales de uso a corto plazo, tal como ha explicado Joseph Carson, director de alianzas estratégicas globales de Thycotic Software, la compañía que ha patrocinado este informe.

“Las contraseñas han estado a nuestro alrededor, literalmente, durante siglos”, afirma Carson, pero en los últimos años ha estado de moda predecir su muerte.

Bill Gates predijo la muerte de la contraseña durante una conferencia celebrada por RSA Security en 2004. En 2011, IBM sostuvo que las contraseñas serían reemplazadas por sistemas de seguridad biométricos y similares en cinco años. “Ahora han pasado años desde que se hicieron esas declaraciones y las contraseñas aún tienen un uso intenso”, apunta Carson.

La autenticación biométrica ha sido hasta ahora un complemento de las contraseñas, no un reemplazo. “La biometría se utiliza para facilitar el acceso a los sistemas, pero las contraseñas se utilizan para establecer la relación de confianza inicial. La biometría nunca reemplazará a las contraseñas”, sostiene el directivo de Thycotic Software.

Estas cifras proceden de estadísticas globales sobre el número total de ordenadores, sistemas operativos, servidores, routers y otras tecnologías y aplicaciones que vienen con contraseñas o requieren que los usuarios las creen para poder utilizarlas.

De acuerdo con Carson, el usuario medio tiene 25 o más contraseñas, y el crecimiento de estas se está acelerando a un ritmo masivo.

Como consecuencia, la utilización y reutilización de contraseñas está creando una superficie de ataque cada vez mayor. El año pasado se produjo un récord en el robo de cuentas entre 3,000 millones de brechas. Tres de cada siete personas han sufrido al menos un robo de contraseña o credencial.

Según Joseph Carson, los daños financieros causados por las infracciones también seguirán aumentando. Thycotic y Cybersecurity Ventures estiman que los daños potenciales generados por el cibercrimen alcanzarán los 6,000 millones de dólares en 2021.

Maria Korolov

 

El reconocimiento de voz será la contraseña del futuro

¿Está cansado de las contraseñas tradicionales?, Nuance Communications está promoviendo la voz humana como medida para asegurar las cuentas de los usuarios y que remplazará a los sistemas tradicionales de autenticación de contraseñas que pueden ser fáciles de hackear. Según Brett Beranek, director de Estrategia de Producto, la empresa está determinando si es o no esa persona a través de más de 100 diferentes características de su voz.

Los hackers están continuamente buscando maneras para robar información. Sólo hay que echar la vista hacia atrás: Yahoo, LinkedIn, Dropbox, correos electrónicos a figuras políticas de Estados Unidos en las elecciones del año pasado, etc.

Es por esto por lo que Nuance está decidido a cambiar esta situación. Ya existen bancos e instituciones financieras que han implementado esta tecnología biométrica de voz para verificar las identidades de sus clientes. La tecnología se desplegó por primera vez en un centro de atención al cliente en 2001. A partir de ahí, también ha sido usada para aplicaciones móviles relacionadas con finanzas y con la seguridad de los PC. “Esto es más seguro que una contraseña”, dijo Beranek. “Hemos hecho que nuestros clientes reporten una reducción significativa en el fraude sobre las soluciones de seguridad de PIN y contraseña”.

Además, el director añadió que todas las voces son únicas. Factores como la laringe de una persona, la forma de la cavidad nasal o la falta de dentadura, determinará la forma en la que suena una persona. La gente también puede hablar de una manera más monótona o más viva, o espaciar sus palabras en ritmos variables. “La tecnología de Nuance ha sido construida para analizar estas diferencias y determinar con precisión quién es quién”, afirma Beranek. “En la mayoría de los casos podemos diferenciar entre gemelos idénticos”.

Eso sí, la compañía reconoce que su propio sistema no es perfecto y que su tecnología de voz biométrica podría tener problemas para trabajar con personas que tengan laringitis u otras enfermedades relacionadas con la garganta.

Verificación del comportamiento de un usuario

Reemplazar contraseñas es una cosa, pero ¿qué pasa si su sistema de seguridad también puede detectar y expulsar a los intrusos que lograron entrar? SecureAuth es otra compañía que ha estado trabajando en esta tecnología. Está ofreciendo un sistema para que las empresas no utilicen contraseñas, lo que también puede detectar cualquier actividad inusual en una cuenta de usuario.

“El enfoque aprovecha un dispositivo existente que muchas personas tienen: teléfonos inteligentes construidos con lectores de huellas digitales”, confiesa Keith Graham, director de Tecnología de SecureAuth. ¿Cómo? Al iniciar sesión en un sistema, el usuario recibirá una notificación enviada a su teléfono que sólo se puede desbloquear a través de una exploración de huellas dactilares. Al hacer clic en la notificación se concederá acceso al sistema.

Sin embargo, el proceso de autenticación de SecureAuth también está atento a un comportamiento inusual del usuario incluso después del inicio de sesión. Por ejemplo, examinará las inconsistencias de las pulsaciones de tecla de la persona, los movimientos del ratón, desde dónde se conectó el usuario, en qué momento, etc. De esta manera, SecureAuth puede evaluar si alguien que accede al sistema es un hacker o no.

Empresas como Google y Microsoft también están desarrollando mejoras en sus sistemas de autenticación que se basan en otros datos biométricos como el reconocimiento facial o incluso cómo camina una persona. Por lo tanto, es quizás sólo cuestión de tiempo antes de que estas tecnologías se vuelvan más disponibles y sustituyan a la contraseña.

“Sin embargo, uno de los principales obstáculos es conseguir que la industria defienda los mismos estándares de autenticación”, confiesa David Mahdi, analista de Gartner. “Muchas empresas también están utilizando sistemas heredados que temen que se rompen si se actualizan”.

Redacción

 

Mexicanos necesitan tomar medidas de ciberseguridad móvil

Existen alrededor de 3.2 mil millones están conectadas en todo el mundo, y en México existen 65 millones de internautas.

En la web podemos encontrar desde sitios que parecen inofensivos hasta aquellos que consideramos como “peligrosos”, la verdad, es que no todo lo que está en la red es totalmente seguro, y toda acción que realicemos mientras navegamos por ésta, puede tener consecuencias importantes.

La firma de ciberseguridad PSafe comparte una lista de “No’s” que resultarán más positivos que negativos, y que todo usuario de Internet debe tener en cuenta para evitar ser presa de los hackers.

  • El no confiar en los WiFi abiertos: Al ser redes gratuitas, muchos usuarios acceden a ellas por lo que se vuelven puntos muy atractivos para que los ciberdelincuentes creen los llamados  “hoots de WiFi abiertos”, con un nombre confiable (como el de alguno de los establecimientos más famosos), y así robar información.
  • No escoger contraseñas demasiado sencillas: La peor pero más común contraseña sigue siendo la famosa: 12345678, aunque no se pueden dejar de lado las de nombres de familiares, mascotas favoritas, aniversarios… Sí, son sencillas, pero como diría el dicho: “lo barato sale caro”, por lo que lo más recomendable es elegir una que tenga la combinación perfecta: mayúsculas, minúsculas, números o símbolos (o ambos).
  • No reutilizar contraseñas: Lo más práctico es usar una contraseña para todo y solo variarla en pequeños detalles como agregarle un número o letra, pero esto no evitará que si hackean una no puedan hackear las demás. Lo mejor es tener diferentes contraseñas aplicando la recomendación del punto anterior.
  • No dar clic en los links que vienen en los e-mails: Así como insertamos links dentro de los correos para facilitar nuestro acceso a alguna página, los cibercriminales también lo hacen.  Es por esto que, aunque parezca menos práctico, siempre debemos verificar que la página donde estemos sea la oficial y si no parece confiable, cerrarla.
  • No compartir contraseñas: Si consideras que tu información es valiosa, estará más segura bajo tu resguardo.
  • No aceptar la configuración automática en redes sociales: Es cierto que no nos preocupamos tanto por mantenernos seguros en redes sociales, y muchas veces nos enfocamos más en qué foto de perfil ocuparemos. No olvidemos que la configuración inicial en redes sociales es pública y abierta, así que es necesario cambiarla para que solo nuestros contactos puedan ver lo que publicamos. Otro punto importante es no aceptar a cualquiera, mejor pocos, pero seguros.

Finalmente, Eduardo Medeiros, Director General de PSafe en México, señaló, “todo el que está en Internet es vulnerable para ser ciberatacado, cualquier usuario de cualquier parte del mundo necesita de protección digital. La capacidad como humanos es limitada y aún con algunas recomendaciones solo sirven de prevención, pero para estar mejor protegidos se necesita contar con ‘una policía digital’ que resguarde nuestra seguridad en todo momento”.

N. de P. PSafe

La física cuántica cuestiona la seguridad informática

El nivel de seguridad que tenemos y manejamos en nuestros teléfonos, correos electrónicos, navegar por la red e Internet es fundamental en nuestra sociedad de la información.

Los recientes ciberataques sufridos, por ejemplo, en las cuentas de correo de Yahoo o la debilidad de la seguridad mostrada por las nuevas generaciones de dispositivos interconectados en el Internet de las Cosas son buenas muestras de esto.

Pese a que los usuarios utilizan contraseñas cada vez más robustas, de poco sirve si los servidores que alojan la información o los mismos dispositivos son vulnerables ante los ataques. Un equipo de investigadores de la Universidad Politécnica de Madrid ha desarrollado un método que, aplicando las leyes cuánticas, muestra una nueva manera de romper los algoritmos en los que se basa la gran mayoría de algoritmos de cifrado usados en la actualidad.

Una de las claves de los procesos de cifrado de las comunicaciones es la factorización. Cuando una persona envía información cifrada a través de Internet, el proceso que se sigue es complejo. “En primer lugar, los datos son cifrados para enviarlos al lugar de destino y para ello se utilizan pares de claves cuya seguridad descansa finalmente en la dificultad de descomponer un número grande en sus factores primos. Dados dos números primos, es muy fácil calcular su producto, pero dado un número grande, es muy difícil calcular sus factores primos. Es la supuesta complejidad computacional de este problema, aparentemente sencillo pero que ha resistido siglos de investigación en matemáticas, lo que confiere seguridad a la mayoría de algoritmos de cifrado usados en la actualidad”, explica Vicente Martín, uno de los autores del estudio y director del Centro de Simulación Computacional de la UPM.

Aunque el problema de factorización haya resistido hasta ahora todos los esfuerzos de los criptoanalistas, lo cierto es que su complejidad computacional real es todavía desconocida. Lo que sí se sabe es que, si pudiésemos usar un ordenador cuántico en lugar de uno clásico, el problema sería fácil de resolver.

En 1995 Peter Shor, entonces en el instituto de tecnología de Xerox, desarrolló un algoritmo que resolvía el problema recurriendo a un ordenador capaz de manipular qubits, el análogo cuántico de los bits. El enorme potencial de ruptura de este algoritmo ha sido uno de los principales impulsores del desarrollo de los ordenadores cuánticos, una tecnología compleja que se cree que tardará todavía décadas en realizarse.

Es por ello que existe la necesidad de salvar un equipo de cómputo cuántico programable completamente funcional para poder ejecutar el algoritmo de Shor ha sido el problema en el que han trabajado los expertos de la UPM.

Para ello han desarrollado una nueva estrategia basada en el diseño de un simulador cuántico: un sistema físico cuya evolución resuelve el problema. “Lo primero que hicimos fue redefinir el problema, de modo que ya no tengamos que esperar a tener un ordenador cuántico completamente operativo para poder utilizar con normalidad el algoritmo creado por Shor. Hemos reformulado el problema de la factorización entera de un número grande en otro aritméticamente equivalente que depende de una función de los factores primos. Esa función puede asociarse con la energía de un dispositivo cuántico que puede medirse para obtener los factores”, explica José Luis Rosales, investigador de la UPM que ha desarrollado el estudio, recientemente publicado en Physical Review Letters, junto con Vicente Martín.

El estudio no solo abre una nueva manera de resolver el problema de factorización. Demostrando que hay un dispositivo físico que tiene acceso a los números primos, se puede estudiar la estadística de los mismos y arrojar luz sobre problemas de matemática puras. También muestra que existen algoritmos clásicos de factorización fundamentados en principios completamente distintos de las cribas tradicionales, lo que plantea nuevas dudas sobre la solidez de los métodos antiguos.

“Tal vez sea el momento de plantearse seriamente incorporar otros protocolos de seguridad, que no estén basados en complejidad computacional, al arsenal de la criptografía. La misma física nos da la criptografía cuántica, basada en principios que nunca podrá romper ningún ordenador, sea cuántico o clásico”, concluyen los investigadores.

Redacción

 

El uso de contraseñas, ¿quedará en el pasado?

Este año hemos sido testigos de continuos casos de robo de datos, los departamentos de TI están cada vez más concienciados de que se deberían utilizar otros métodos de autentificación y eliminar las contraseñas al iniciar sesión.

Wakefield Research y SecureAuth, presentan los resultados de su estudio, donde la mayoría de las organizaciones se están inclinando hacia la eliminación de la autentificación de contraseña. La encuesta consistió en entrevista a 200 responsables de TI estadounidenses el mes pasado, en la cual se supo que el 69% de los encuestados dijo que era probable que se eliminen las contraseñas en los próximos cinco años.

Recientes pérdidas de datos destacan la gravedad del problema. Es el caso de Yahoo, que informó que, debido a un hack, 500 millones de cuentas de usuarios han sido robadas, incluyendo direcciones de correo electrónico y contraseñas.

Según SecureAuth, los sistemas de inicio de sesión con contraseña son muy vulnerables de ser pirateadas. “Es indiscutible que las contraseñas no son un método de autenticación segura”, dijo el Craig Lund, CEO de SecureAuth el jueves. “Ellos (los responsables de TI) reconocen que quieren alejarse de eso.”

Sin embargo, esta empresa está especializada en tipos de inicio de sesión. Algunas de sus alternativas son: códigos de acceso momentáneos, es decir, se le envía al usuario una clave a través de un número de teléfono o dirección de correo electrónico para permitirle el acceso; incluir datos biométricos, tales como el escaneo de una huella dactilar del usuario; hacer un seguimiento de las pulsaciones en el teclado; o movimientos del ratón en el dispositivo del usuario. “Mediante la combinación de todos estos métodos juntos, podemos estar seguros de quiénes son los usuarios y dónde están”, dice Lund.

Aunque muchas organizaciones desean alejarse de las contraseñas, todavía hay retos para lograrlo. Según la encuesta, el 42% de los encuestados dijo que una “alteración de la rutina diaria de los usuarios” podría poner en riesgo estos nuevos futuros métodos.

Claudia Ortiz-Tallo

 

Brecha de seguridad afecta a 43 millones de usuarios de Last.fm

Todo parece indicar que los ciberdelincuentes se hicieron de manera ilegal la información de 43 millones de usuarios. En el hallazgo se incluyen usuarios con nombres y apellidos, direcciones de correo electrónico y contraseñas seguras con un algoritmo denominado MD5, según informa la fuente LeakedSource en su blog.

Last.fm hasta el momento no ha realizado alguna declaración al momento, pero el servicio de música informó de un ataque hace cuatro años y pidió a todos sus usuarios que procedieran a cambiar sus contraseñas cuanto antes.

LeakedSource aclara que obtuvo los datos robados a través de la identificación daykalif@xmpp.jp Jabber ID. La web ofrece una serie de datos de interés, por ejemplo, las claves más utilizadas por los usuarios. En primer lugar, vuelve a aparecer la secuencia numérica “123456” como más frecuente, utilizada por 255.319 usuarios. En segundo puesto aparece “password” con 92.652 usuarios, y en tercero “lastfm”, utilizada por al menos 66.857 usuarios. El servicio de música en streaming ha decaído en los últimos años en pro de otros que han reforzado su presencia y los que fueron lanzados nuevos, como es el caso de Apple Music.

Los hackers que se encuentran detrás del ataque podrían haber contado con los datos robados para atacar a otras cuentas de Internet, aprovechándose que los usuarios muchas veces utilizan la misma clave para diferentes servicios o aplicaciones de la red. El ataque se produjo en el año 2012, con lo que los malhechores han contado con amplio período de tiempo (4 años) para explotar la información robada antes de que se haya hecho pública. Los expertos en seguridad están instando a los usuarios afectados a que modifiquen sus contraseñas de todas las cuentas de Internet, además de que utilicen la autenticación de doble factor para incrementar la seguridad de las mismas.

Redacción