123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa. Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en violaciones de datos que se hicieron públicas. Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas. Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio: Haber sido identificada en alguna violación de datos. Utilizar palabras de diccionario (dictionary words). Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456). Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes. Las políticas de contraseñas suelen usarse con el objetivo de incrementar …

Read more123456 sigue siendo la contraseña más utilizada

Las cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Microsoft y Yubico anunciaron esta semana que los usuarios de cuentas Microsoft (aquellas con dominio terminado en msn.com, hotmail.com, outlook.com, etc.) podrán iniciar sesión sin necesidad de ingresar una contraseña. Simplemente deberán insertar un dispositivo compatible con el estándar FIDO2/WebAuthn, como la YubiKey 5. Los usuarios de Office 365 deberán esperar unos meses más. Hace ya algunos años que Microsoft viene trabajando en su estrategia de inicio de sesión sin contraseñas -passwordless-. La aprobación de inicio de sesión a través de las notificaciones push de su aplicación Microsoft Authenticator son un gran ejemplo. El usuario ingresa su dirección de e-mail, presiona Siguiente y aprueba el inicio de sesión desde su teléfono o wearable. Pero ahora le llegó la oportunidad a las llaves de autenticación. En este post hablaba sobre las diferentes formas de autenticación multi-factor y mencionaba las dos llaves de autenticación más populares, la YubiKey y la Titan -de Google-. Estas llaves trabajan con el estandar U2F, entre otros. Cuando conectamos por primera vez una llave U2F -o Universal Second Factor, por sus siglas en inglés- para asociarla con un sitio, ésta genera una clave pública y una privada (encriptada). La clave pública es enviada al proveedor de autenticación …

Read moreLas cuentas Microsoft ahora soportan autenticación sin contraseña mediante dispositivos FIDO 2

Qué pasa cuando la autenticación multi-factor falla

El lunes 19 de Noviembre, alrededor de las 04:39 UTC, usuarios de los servicios de Office 365 y Azure alrededor del mundo comenzaron a experimentar problemas para iniciar sesión en sus cuentas. Al intentarlo, luego de ingresar la dirección de e-mail de la organización y la contraseña, se podía observar la clásica página de inicio de sesión aguardando la aprobación multi-factor o el ingreso del token de seis dígitos. Para el caso de la aprobación, el pedido nunca llegaba a la aplicación Microsoft Authenticator. Los tokens, por su parte, directamente no funcionaban, y los SMS no llegaban al usuario. La página de estado de Office 365 informó acerca de la situación mediante la notificación de servicio MO165510 -que llegó unas cuantas horas más tarde de lo esperado– en la que confirmaban que los usuarios con MFA (autenticación multi-factor, por su nombre en inglés) habilitado podrían tener problemas para iniciar sesión. Y esto es lo que se veía en la página de estado de los servicios de Azure alrededor de las 10 AM hora Argentina. ¿Deshabilitar o no deshabilitar MFA? Es un tema complejo. Definitivamente los administradores de Office 365 y Azure AD debieron haberse visto presionados por los usuarios -especialmente por los high-profile– …

Read moreQué pasa cuando la autenticación multi-factor falla

Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y contraseñas previamente comprometidos para obtener acceso a otros servicios. En respuesta a la BBC, el banco informó: HSBC lamenta este incidente, y tomamos la responsabilidad de proteger a nuestros clientes muy en serio. Hemos notificado a los clientes cuyas cuentas han podido ser víctimas de este acceso no autorizado, y les hemos ofrecido un año de servicio de monitoreo de crédito –credit monitoring- y protección de robo de identidad -identity theft protection-. HSBC confirmó que las cuentas de los clientes fueron accedidas durante los primeros quince días del mes de Octubre, y que la violación de datos incluyó nombres y apellidos de los clientes, su dirección postal, números de teléfonos, direcciones de e-mail, fecha de nacimiento, número y tipo de cuenta, historial de transacciones y saldo de sus cuentas. Responsabilidad compartida Podríamos culpar al usuario por haber reutilizado las contraseñas, pero también al banco por no haber implementado los mecanismos de seguridad necesarios para prevenir este tipo de hechos (autenticación …

Read morePor qué no es una buena idea reutilizar contraseñas (el caso HSBC)

¿Cómo funciona el doble factor de autenticación?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona el doble factor de autenticación?

¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Esta es la segunda de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas. Las violaciones de datos (data breach, por sus siglas en inglés) son cada vez más comunes y no solo afectan a usuarios domésticos, sino a empresas de todo tipo y hasta a organismos de gobierno. Definamos violación de datos Una violación de datos es una situación en la que información sensible, confidencial y que debería haber estado protegida cae en manos de terceros quienes, en la mayoría de los casos, tienen propósitos malintencionados. Las violaciones de datos pueden incluir información personal (nombre y apellido, números de identificación (como es el caso del DNI en Argentina), números de tarjetas de crédito, contraseñas, entre otros. Las últimas violaciones de datos de público conocimiento han afectado a gran cantidad de usuarios: Trik Spam Botnet (2018): Más de 43 millones de direcciones comprometidas. Ticketfly (2018): Más de 26 millones de direcciones comprometidas. Taringa (2017): 28 millones de direcciones comprometidas. MySpace (2008): 360 millones de direcciones comprometidas. LinkedIn (2016): 165 millones de direcciones comprometidas. Adobe (2013): Más de 150 millones …

Read more¿Alguna vez te preguntaste si tu e-mail podría estar comprometido por culpa de una violación de datos a terceros?

Todos necesitamos un administrador de contraseñas

Esta es la primera de una serie de entregas dedicada a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. No es nada nuevo que quienes trabajamos en IT, y en especial aquellos que nos enfocamos en cuestiones de ciberseguridad o seguridad informática insistamos en la necesidad de usar un administrador de contraseñas. Siempre que hablo con alguien sobre ciberseguridad y cómo proteger los sistemas de una organización (aunque aplica perfectamente a la computadora que Mabel, de 80 años, usa para hablar por Skype con sus nietos que viven en el interior), insisto en que la responsabilidad principal recae sobre el usuario. El usuario que está frente a su computadora o celular es, en una gran cantidad de casos, la primer barrera que debe atravesar un atacante para obtener acceso a los sistemas. Suplantación de identidad (phishing), ingeniería social, malware, y la lista podría seguir. Todos tienen como principal punto de interés al usuario. Pero algo que muchos pasan por alto es el tema de las contraseñas. Tenemos tan asimilado el proceso de iniciar sesión en los sitios que utilizamos a diario que nos olvidamos de la importancia de las contraseñas. La contraseña es …

Read moreTodos necesitamos un administrador de contraseñas

Prácticas abusivas de spam que terminaron en una Carta Documento

Les voy a contar una bonita historia… Resulta que allá por el mes de Diciembre de 2016 hice una compra online -bueno, como casi todos los días-, pero esta era la primera vez que compraba en ese comercio. Muchos comercios asumen que una compra online -en la que tenés que dejar tu dirección de mail para registrarte y recibir actualizaciones del estado de tus pedidos- significa que tambien aceptás recibir a partir de ese momento toda clase de publicidad por e-mail. Spam, básicamente. Resulta que este comercio empezó a mandarme correo no deseado muy esporádicamente. Realmente era tan esporádico que cuando presionaba sobre Desuscribir no recordaba haberlo hecho con anterioridad. Pero en Octubre/Noviembre del 2017 la cosa cambió. Empecé a recibir estos e-mails con publicidad todos los días. Y así como llegaban, todos-los-días hacía clic en Desuscribir. Claro que la solución es mandar los mensajes a Correo no deseado y ya. Pero para alguien que trabaja en IT y que tiene algo de experiencia en este tema del envío masivo de mails, es muy dificil conformarse con mover los mensajes a correo no deseado o crear una regla que los mueva automáticamente. Decidí contactarme con el comercio por e-mail. Después …

Read morePrácticas abusivas de spam que terminaron en una Carta Documento

Larga vida a la neutralidad de red

Esta tarde la comunidad de Internet perdió una gran batalla. Desde hace más de dos años, la Neutralidad de Red ha estado en boca de todos. Inclusive le dediqué un post bastante extenso que aun pueden leer acá. Pero… ¿Qué significa realmente la Neutralidad de Red? Antes de hablar de la definción precisa, veamos un poco cómo se maneja el tráfico en Internet. Supongamos que somos clientes del proveedor A. El proveedor B aloja en su red el diario que leemos todas las mañanas. Sin embargo, estos dos proveedores no tienen un “acuerdo de peering” o conectividad, por lo que el proveedor A le pagará al proveedor C para que le permita llegar hasta el B. Para evitar el uso de estas “redes intermedias”, se diseñaron los puntos de interconexión. Éstos permiten al proveedor A conectarse al equipamiento que lo llevará directamente al proveedor B y a muchos otros, sin necesidad de firmar un acuerdo con cada uno de ellos. De esta manera, el tráfico del proveedor A será enrutado directamente hacia el proveedor B sin pasar por el C. En la siguiente imagen podemos ver en detalle el ejemplo anterior. El proveedor local A (ISP-A) debería “transportar” el tráfico de …

Read moreLarga vida a la neutralidad de red

Qué es KRACK, la vulnerabilidad de la que todos hablan

Hace algunos días comenzaba a circular por Internet la noticia de que hoy, 16 de Octubre, se daría a conocer públicamente una vulnerabilidad que afecta practicamente a todas las implementaciones de redes inalámbricas Wi-Fi. Y digo “practicamente todas”, porque la vulnerabilidad afecta a aquellas redes que utilizan el protocolo WPA2 para cifrar las comunicaciones entre el router/AP y el dispositivo cliente (laptop, celular, etc). KRACK, acrónimo de “Key Reinstallation Attack” o “Ataque por reinstalación de clave”, es un ataque al protocolo WPA2, que fue descubierto este mismo año por el investigador Belga Mathy Vanhoef, y aprovecha una vulnerabilidad en el mecanismo de enlace de 4 vias (four-way handshake), que utilizan los routers Wi-Fi y los dispositivos cliente a la hora de establecer una conexión entre ellos. El protocolo WPA2 ejecuta el mecanismo de enlace de 4 vias cada vez que un cliente intenta “unirse” a una red Wi-Fi protegida, y lo utiliza para confirmar que tanto el cliente como el router/AP poseen la contraseña adecuada (pre-shared key o clave pre-compartida). Como resultado de la ejecución del mecanismo de enlace de 4 vias, se genera una clave de cifrado nueva que será utilizada para encriptar el tráfico intercambiado entre el cliente …

Read moreQué es KRACK, la vulnerabilidad de la que todos hablan