Tecnología > Recomendadas
Ladrones de información
Hackers rusos atacaron la red social de profesionales LinkedIn, al igual que la página de citas eHarmony, y los piratas de la web averiguaron 6,5 millones de contraseñas de los usuarios. La pregunta es: ¿para qué?
Tiempo de lectura: -'
13 de junio de 2012 a las 06:00
Si usted tiene una cuenta en LinkedIn o eHarmony, debería estar preocupado. Y si usted usa las mismas contraseñas en otros sitios –especialmente los delicados, como PayPal o Facebook– debería estar muy preocupado.
Los primeros reportes sobre el ataque indicaron que cerca de 6,5 millones de contraseñas de usuarios de LinkedIn habían sido publicadas online, pero sin las direcciones de correo electrónico correspondientes.
Eso motivó un montón de preguntas: ¿Por qué los hackers publicaron en la red todas esas contraseñas para que todos las pudieran ver? ¿Cómo podrían ser usadas esas contraseñas una vez que se hicieran públicas? ¿Y si mi contraseña no estaba entre esas reveladas, eso significa que no debo preocuparme?
Los expertos manejan hipótesis sorpresivas: los hackers pueden haber publicado las contraseñas en la red porque necesitaban la ayuda de la gente para vulnerar alguna de ellas.
Si la suya no está entre las publicadas, es posible que los hackers ya sepan todo lo que hay que saber sobre su cuenta y su contraseña.
Si esa teoría es correcta, eso podría también explicar por qué no fueron publicadas otras informaciones personales, como direcciones de correo electrónico.
No porque no las tengan sino porque se las guardan, posiblemente con intención de venderlas en el mercado negro.
El ataque a LinkedIn tiene ciertas similitudes con algunos de LulzSec, incluido uno que comprometió la información sobre un millón de usuarios de Sony el pasado verano boreal.
Pero ningún hacktivista se hizo responsable y el hecho de que la información fuera publicada en primera instancia en un foro ruso dedicado a desentrañar contraseñas sugiere que la publicidad no era la meta principal del ataque.
Entonces, ¿cómo usan los hackers estas contraseñas una vez que las obtienen? Hay muchos usos posibles, explica Chester Wisniewski, asesor de seguridad de información para la firma Sophos.
Para los hackers de todo el mundo, el gran tesoro oculto en las nuevas contraseñas es la oportunidad de actualizar sus bases de datos, que sirven como una llave digital para desentrañar contraseñas encriptadas.
Los sitios web más seguros usan una segunda instancia de encriptado de contraseñas, denominada salting ("salar") como para que dos usuarios que usen la misma contraseña (123456, por dar un ejemplo tonto) tendrán un encriptado distinto.
Pero LinkedIn no hizo eso, así que la misma llave abrirá las cuentas de todos los usuarios que usen la misma contraseña, no solo en LinkedIn sino en cualquier sitio que use un sistema parecido (eHarmony aparentemente usaba un sistema todavía más débil).
Si los hackers poseen, además de las contraseñas, las direcciones de correo electrónico de los usuarios, como la mayoría de los expertos de seguridad creen, la información podrá ser también usada para atacar a los usuarios de LinkedIn y eHarmony directamente.
Una de las primeras cosas que hará esta gente es correr programas que intentarán las mismas combinaciones de correo electrónico y contraseña en otros sitios, para ver si acceden a las cuentas de banco y las de las redes sociales.
La información personal disponible en las cuentas de LinkedIn puede ser ideal para un tipo de ataque conocido como spear phishing.
La idea detrás del spear phishing es convencer a la gente que baje programas malignos o que divulge información delicada, mediante el truco de enviarles un correo electrónico que parezca legítimo, dice Marcus Carey, un ex analista de seguridad de la Agencia Nacional de Seguridad que ahora trabaja en la empresa privada.
Un mensaje de este tipo podría venir de un colega o un jefe o podría ser diseñado para que se viera como algo que habría que responder durante el trabajo, como el pedido de un informe o de un determinado servicio. Como no se ve como spam, la guardia de la víctima está baja.
Los primeros reportes sobre el ataque indicaron que cerca de 6,5 millones de contraseñas de usuarios de LinkedIn habían sido publicadas online, pero sin las direcciones de correo electrónico correspondientes.
Eso motivó un montón de preguntas: ¿Por qué los hackers publicaron en la red todas esas contraseñas para que todos las pudieran ver? ¿Cómo podrían ser usadas esas contraseñas una vez que se hicieran públicas? ¿Y si mi contraseña no estaba entre esas reveladas, eso significa que no debo preocuparme?
Si la suya no está entre las publicadas, es posible que los hackers ya sepan todo lo que hay que saber sobre su cuenta y su contraseña
Los expertos manejan hipótesis sorpresivas: los hackers pueden haber publicado las contraseñas en la red porque necesitaban la ayuda de la gente para vulnerar alguna de ellas.
Si la suya no está entre las publicadas, es posible que los hackers ya sepan todo lo que hay que saber sobre su cuenta y su contraseña.
Si esa teoría es correcta, eso podría también explicar por qué no fueron publicadas otras informaciones personales, como direcciones de correo electrónico.
No porque no las tengan sino porque se las guardan, posiblemente con intención de venderlas en el mercado negro.
El ataque a LinkedIn tiene ciertas similitudes con algunos de LulzSec, incluido uno que comprometió la información sobre un millón de usuarios de Sony el pasado verano boreal.
Pero ningún hacktivista se hizo responsable y el hecho de que la información fuera publicada en primera instancia en un foro ruso dedicado a desentrañar contraseñas sugiere que la publicidad no era la meta principal del ataque.
Para los hackers de todo el mundo, el gran tesoro oculto en las nuevas contraseñas es la oportunidad de actualizar sus bases de datos, que sirven como una llave digital para desentrañar contraseñas encriptadas
Entonces, ¿cómo usan los hackers estas contraseñas una vez que las obtienen? Hay muchos usos posibles, explica Chester Wisniewski, asesor de seguridad de información para la firma Sophos.
Para los hackers de todo el mundo, el gran tesoro oculto en las nuevas contraseñas es la oportunidad de actualizar sus bases de datos, que sirven como una llave digital para desentrañar contraseñas encriptadas.
Los sitios web más seguros usan una segunda instancia de encriptado de contraseñas, denominada salting ("salar") como para que dos usuarios que usen la misma contraseña (123456, por dar un ejemplo tonto) tendrán un encriptado distinto.
Pero LinkedIn no hizo eso, así que la misma llave abrirá las cuentas de todos los usuarios que usen la misma contraseña, no solo en LinkedIn sino en cualquier sitio que use un sistema parecido (eHarmony aparentemente usaba un sistema todavía más débil).
Si los hackers poseen, además de las contraseñas, las direcciones de correo electrónico de los usuarios, como la mayoría de los expertos de seguridad creen, la información podrá ser también usada para atacar a los usuarios de LinkedIn y eHarmony directamente.
Una de las primeras cosas que hará esta gente es correr programas que intentarán las mismas combinaciones de correo electrónico y contraseña en otros sitios, para ver si acceden a las cuentas de banco y las de las redes sociales.
La idea detrás del spear phishing es convencer a la gente que baje programas malignos o que divulge información delicada, mediante el truco de enviarles un correo electrónico que parezca legítimo
La información personal disponible en las cuentas de LinkedIn puede ser ideal para un tipo de ataque conocido como spear phishing.
La idea detrás del spear phishing es convencer a la gente que baje programas malignos o que divulge información delicada, mediante el truco de enviarles un correo electrónico que parezca legítimo, dice Marcus Carey, un ex analista de seguridad de la Agencia Nacional de Seguridad que ahora trabaja en la empresa privada.
Un mensaje de este tipo podría venir de un colega o un jefe o podría ser diseñado para que se viera como algo que habría que responder durante el trabajo, como el pedido de un informe o de un determinado servicio. Como no se ve como spam, la guardia de la víctima está baja.
