Atacantes lograron eludir la autenticación multifactor

Cuando de buenas prácticas para la protección de nuestra presencia en línea se trata, ustedes saben que mi principal recomendación es habilitar la autenticación multifactor (doble factor de autenticación, o autenticación de dos pasos). Pero los atacantes siempre se las ingenian, y esta vez lograron engañar a los usuarios para hacerse del código temporal (token) necesario para completar la autenticación multifactor. Un reporte publicado hace apenas algunas horas por Aministía Internacional muestra en detalle cómo se dieron estos ataques a cuentas de usuarios de Gmail y Yahoo, incluso a aquellos con autenticación multifactor habilitada. Las víctimas eran dirigidas a un sitio apócrifo, idéntico al de inicio de sesión de Gmail o de Yahoo, técnica conocida como phishing. Una vez que el usuario ingresaba su dirección de e-mail y contraseña, la misma infraestructura en la que el sitio falso estaba almacenada realizaba el intento de inicio de sesión en el servicio real. Si éste requeria la utilización de un factor adicional, lo notificaba al sitio apócrifo para que éste se lo requiriera al usuario. Una vez que la víctima ingresaba el token, el atacante obtenía acceso a la cuenta real. En algunos casos se detectó incluso que el atacante había generado …

Read moreAtacantes lograron eludir la autenticación multifactor

123456 sigue siendo la contraseña más utilizada

No, no es broma. Le sigue “password“, y la lista continúa. Como todos los años, el equipo de SplashData publicó el ranking de las peores contraseñas utilizadas por los usuarios. Para armarlo, evaluaron más de cinco millones de contraseñas comprometidas en violaciones de datos que se hicieron públicas. Pero no siempre se puede culpar al usuario por sus malas decisiones. Hay que tener en cuenta que, durante muchos años (y hoy sigue pasando), los sitios aplicaron políticas de restricción absurdas que obligaron a los usuarios a caer en el uso de este tipo de contraseñas. Según el NIST (National Institute of Standards and Technology), los sitios no deben forzar al usuario a utilizar una u otra combinación de caracteres en las contraseñas. En su lugar, se recomienda verificar que las contraseñas no pertenezcan a ninguno de los siguientes grupos durante su creación o cambio: Haber sido identificada en alguna violación de datos. Utilizar palabras de diccionario (dictionary words). Utilizar caracteres repetidos o secuenciales (aaaaaa, 1234abcd, 123456). Utilizar context-specific words, como el nombre del servicio o sitio en el que se está creando la cuenta, el nombre de usuario, o sus variantes. Las políticas de contraseñas suelen usarse con el objetivo de incrementar …

Read more123456 sigue siendo la contraseña más utilizada

Por qué no es una buena idea reutilizar contraseñas (el caso HSBC)

Hace pocos días uno de los bancos más grandes el mundo, HSBC, confirmó que algunos de sus clientes en los Estados Unidos fueron víctimas de un ataque conocido como credential stuffing. Este tipo de ataque utiliza nombres de usuario y contraseñas previamente comprometidos para obtener acceso a otros servicios. En respuesta a la BBC, el banco informó: HSBC lamenta este incidente, y tomamos la responsabilidad de proteger a nuestros clientes muy en serio. Hemos notificado a los clientes cuyas cuentas han podido ser víctimas de este acceso no autorizado, y les hemos ofrecido un año de servicio de monitoreo de crédito –credit monitoring- y protección de robo de identidad -identity theft protection-. HSBC confirmó que las cuentas de los clientes fueron accedidas durante los primeros quince días del mes de Octubre, y que la violación de datos incluyó nombres y apellidos de los clientes, su dirección postal, números de teléfonos, direcciones de e-mail, fecha de nacimiento, número y tipo de cuenta, historial de transacciones y saldo de sus cuentas. Responsabilidad compartida Podríamos culpar al usuario por haber reutilizado las contraseñas, pero también al banco por no haber implementado los mecanismos de seguridad necesarios para prevenir este tipo de hechos (autenticación …

Read morePor qué no es una buena idea reutilizar contraseñas (el caso HSBC)

¿Cómo funciona la autenticación multifactor?

Esta es la tercera de una serie de entregas dedicadas a temas de seguridad en Internet y cómo incrementar nuestro escudo protector cuando estamos en línea. En la primera hablamos sobre los administradores de contraseñas y en la segunda sobre las -cada vez más populares- violaciones de datos. Hoy vamos a hablar sobre el doble factor de autenticación, también conocido como two factor authentication, 2FA, o MFA -multi factor authentication-, por sus siglas en inglés. El concepto de doble factor de autenticación (aunque algunos lo llaman autenticación de dos pasos, pero eso lo vamos a hablar más adelante) dice que el usuario debe ser “desafiado” a utilizar dos mecanismos de autenticación entre los siguientes tres: Algo que sabés Algo que tenés Algo que sos Algo que sabés suele ser tu contraseña, y este es el primer factor de autenticación que usamos en todos lados. Algo que sos podría ser tu huella digital, reconocimiento facial, de retina, entre otros. Pero vamos a hablar del segundo mecanismo de autenticación más utilizado en el mundo: algo que tenés. Algo que tenés puede ser una tarjeta inteligente –smart card-, una llave de autenticación (como las YubiKey) o un token (físico o virtual). Para que …

Read more¿Cómo funciona la autenticación multifactor?