Por lo general, los usuarios de Internet ya están acostumbrados a las noticias alarmantes sobre robo de datos personales en la red, pero el caso actual con origen en Rusia, con 1,200 millones de claves sustraídas, lo cual supera todos los límites conocidos hasta ahora.
En esta ocasión podrían verse afectados casi todos los usuarios de la red. El "New York Times", el diario que publicó la noticia, señala que hay 1,200 millones de datos y más de 500 millones de direcciones de email hacheados, cuando en todo el mundo se calcula que usan Internet algo más de 2,000 millones de personas.
No es casualidad que la noticia se conozca ahora. En Las Vegas se realiza estos días la conferencia "Black Hat", que reúne a expertos, hackers y miembros de los servicios secretos. Y es un buen momento para que destaquen las compañías de seguridad, como en este caso Hold Security, con sede en el estado de Milwaukee, cuyos expertos ya han destapado en el pasado otros grandes ataques de hackers, como el registrado contra Adobe Systems.
Según Hold Security, los datos robados se obtuvieron de 420,000 páginas web, entre las que hay algunas de grandes compañías. Allí, los usuarios se habían registrado con nombre y contraseña para activar sus perfiles, y esos son los datos que fueron robados.
Al parecer los hackers accedieron por un agujero de seguridad que se produce cuando se cargan las bases de datos y la mayoría de las páginas atacadas siguen siendo vulnerables. Pese a ello, los daños son por ahora limitados. El fundador de Hold Security, Alex Holden, explicó que los criminales usaron la información para enviar correos con spam publicitario o links a programas maliciosos. Pero estarían considerando vender la información. Se desconoce cuántas de esas 1,200 millones de cuentas están activas en la actualidad.
Hold Security intenta ahora sacar provecho del espectacular caso. A cambio de un abono anual de 120 dólares, la empresa ofrece a los administradores de páginas web un análisis que les permite saber si están afectados. Y quiere ofrecer además a los usuarios en los próximos 60 días un "Servicio de Protección de Identidad". Quien rellene el cuestionario para abonarse podrá comprobar si se ha visto personalmente afectado por el robo.
Pese a sus intereses comerciales, la empresa no ha exagerado. El "New York Times" hizo analizar el caso por un experto independiente que confirmó que las informaciones son ciertas. Pero el diario fue criticado por no aclarar en su artículo esos intereses de Hold Security.
El órgano encargado de la seguridad en Internet en Alemania, el BSI, recomienda que, si las claves se llevan usando desde hace años, los usuarios se ahorren el pago a la empresa y partan de la base de que lo más probable es que hayan sido hackeadas. El BSI ya había recomendado hace pocos meses a los usuarios que cambiaran sus claves y nunca usaran combinaciones sencillas (como 12345), cuando se conocieron anteriores robos de cuentas de email.
Para las aplicaciones que manejan datos sensibles, como finanzas, lugar de trabajo, salud u otros temas privados, se recomienda buscar alternativas a la de un usuario y una contraseña. Los bancos y empresas como Apple o Google ofrecen la identificación por dos vías: a la contraseña hay que añadirle un código obtenido a través de un mensaje telefónico o una tarjeta de chip.
No hay comentarios:
Publicar un comentario