Filtración masiva de correos y contraseñas

Alicante

Ya ha pasado más de un mes desde que se anunciase la última filtración masiva de correos y contraseñas. En realidad, esto no es una novedad, más bien es algo recurrente. Es más, esta filtración no supone 733 millones de correos nuevos, ni 22 millones de contraseñas que debamos añadir a las anteriores filtraciones. Se trata pues de una recopilación de miles de fuentes, organizadas en casi tres mil millones de archivos diferentes de texto que ocupan, en total, 87 GB de memoria, que agrupan cientos de decenas de filtraciones anteriores.

Los expertos dicen que ya ha sido retirada del servidor MEGA en la que estaban alojados, pero, claro, algo que ya ha estado en la red difícilmente dejará de estarlo jamás, por no hablar de las copias que haya en redes más oscuras.

En cualquier caso, el que sea una recopilación no debería restarle la importancia que tiene y, lo peor de todo, la que deberíamos darle. Si no se publica este tipo de cosas, nadie se entera, pero si se publica, la gente acaba por acostumbrarse. Es muy difícil encontrar el punto de equilibrio.

Yo creo que es fundamental que aclaremos que nadie está exento de aparecer en esta lista. Precisamente, Troy Hunt, uno de los expertos en la red que dedican un gran esfuerzo en detectar y divulgar este tipo de agujeros de seguridad, confiesa ser uno de los afectados. Yo, siguiendo esa corriente de responsabilidad, también me gustaría dejar testimonio de que algunas de mis cuentas de correo se encuentran entre las recopiladas. Y no importa ya ni cómo fue, ni cuándo. Ni si es responsabilidad nuestra o de grandes o pequeños proveedores de servicios en Internet. El caso es que esas direcciones de correo ya están ahí y servirán para que no dejemos jamás de recibir cientos de spam o de que intenten acceder a servicios web bajo nuestra identidad.

Ahora bien, ¿de verdad seguís pensando que vuestras direcciones de correo no están ahí? ¿Estáis seguros de que vuestras contraseñas no se han visto comprometidas en ningún momento?

A pesar de que el propio Hunt proporciona una página para verificar si tu correo o contraseña están comprometidos, yo no me arriesgaría buscando páginas de este tipo. Creo que es más sensato dar por sentado que es fácil que estemos ahí y que comencemos a tomar medidas más proactivas.

Lo primero que deberíamos hacer es, desde ya mismo, cambiar la contraseña de todas nuestras cuentas. Lo segundo debería ser, cuanto antes, y aunque dé un poquito de pereza, activar la autenticación de doble factor.

El doble factor supone que, cada vez que accedamos por primera vez a una de nuestras cuentas desde un determinado dispositivo, nos enviarán un código, por ejemplo, al correo o teléfono móvil que indiquemos. De esta forma, si alguien nos roba o tiene acceso a nuestra contraseña e intenta utilizarla, el mensaje impedirá que entren, al tiempo que nos servirá de aviso para que cambiemos rápidamente la contraseña.

Mientras esperamos que la legislación vigente entienda el verdadero problema y determine cómo depurar responsabilidades, tendremos que hacer un esfuerzo añadido y asegurarnos de que, al menos, no nos dejamos la puerta de casa abierta.

También es cierto que, cuando esa puerta la gestiona una empresa que tiene nuestra información, o peor todavía, una administración pública, mantener la puerta cerrada, y bien cerrada, debería tener una prioridad máxima.

La verdad es que estamos muy lejos de todo esto. Las tecnologías de la información constituyen el sustrato tecnológico sobre el que se erige la mayor parte de la actividad económica y, cada vez más, social. Sin embargo, no se está entendiendo la importancia que tiene la dependencia que tenemos de ella y, en consecuencia, ni de cerca se están realizando las inversiones mínimas que las aseguren como se debiera.

Un empresario o una administración es capaz de entender y asumir que precisa de un edificio que costará millones de euros para realizar su actividad. La mayor parte de ellas entiende que debe invertir en empresas y personal de seguridad para controlar el acceso a sus instalaciones. Empresas que, para realizar su trabajo, exigirán que se instalen caras infraestructuras como redes de cámaras de seguridad, cerraduras de calidad, puertas blindadas, ventanas enrejadas...

Y todo ello ¿para qué?, ¿para que no les roben algo de mobiliario?, ¿o el papel higiénico de los baños?

Pues resulta que el activo más importante de la mayor parte de las organizaciones en la actualidad es su información. Curiosamente, para proteger eso, no estarán dispuestos a invertir más que unos cientos de miles de euros, en el mejor de los casos.

¿Tendrá que ocurrir una gran catástrofe para que, de repente, todos nos echemos las manos a la cabeza y queramos, en primer lugar, reclamar responsabilidades y, en segundo, fortificarlo todo tanto que ya no podamos ni respirar?

SER 3.0 #46

Ampliar

Esperemos que no tengamos que llegar tan lejos... Si os parece interesante el tema, como siempre, os invitamos a seguirnos en el programa de hoy.

Francisco Maciá es doctor ingeniero en Informática y profesor titular en el Departamento de Tecnología Informática y Computación de la Universidad de Alicante.