"Hackean" la contraseña de un empleado y publican datos secretos de Twitter

El caso, conocido como “Twittergate”, deja en evidencia cómo una organización está expuesta al robo de información confidencial con sólo vulnerar una "password". Un intruso robó documentación de la red social de microblogging y la distribuyó en algunos medios en Internet

El denominado “Twittergate”, como se denominó al robo de información confidencial e interna de la red social de microblogging Twitter cometido por un intruso, pone bajo discusión las aplicaciones de oficina de Google, con las que el buscador busca confrontar con Microsoft.

El caso fue revelado por la página web de noticias tecnológicas TechCrunch, que publicó unos documentos importantes de Twitter, entre ellos proyectos financieros, ofreciendo una visión de los planes de la ascendente red.

Twitter estima tener unos ingresos de 140 millones de dólares a finales de 2010, aunque espera obtener los primeros 400 mil en el tercer trimestre este año, según uno de los documentos que publicó TechCrunch, que dijo habían sido enviados por un “hacker”.

El documento, con fecha de febrero, estaba titulado "Previsión financiera" y describía cómo Twitter esperaba obtener cuatro millones de dólares en el cuarto trimestre y guardar 45 millones en el banco.

A finales de 2013, Twitter esperaba contar con 1.000 millones de usuarios, obtener u$s1.540 millones en ingresos, tener 5.200 empleados y obtener u$s111 millones en ganancias netas.

TechCrunch aclaró que había negociado con Twitter hacer públicos los documentos, y añadió en el informe que el documento no era oficial y “desde luego, ya no es preciso”. El documento publicado por TechCrunch no daba detalles sobre cómo iba Twitter a obtener los ingresos.

“Estamos en contacto con nuestro departamento legal sobre lo que este robo implica para Twitter, el hacker y cualquiera que acepta y posteriormente comparte o publica estos documentos robados”, informó la compañía en una entrada en el blog oficial.

TechCrunch explicó que un hacker anónimo había tenido “acceso fácil” a cientos de informaciones internas de Twitter, desde códigos secretos hasta las minutas de reuniones, y después le reenvió los datos.

El sitio de noticias tecnológicas empezó por publicar un solo documento, una discusión sobre la propuesta de realizar un “reality show”, A las horas de publicarlo, cientos de lectores condenaron a la web por haberlo hecho.

Michael Arrington, fundador y coeditor de TechCrunch, defendió su derecho a hacer público el material, alegando que había mantenido el control sobre material como registros de personal.

“Hemos pasado la mayoría de la tarde leyendo estos documentos. La gran mayoría de ellos pueden ser comprometedores para algunas personas, pero no son interesantes de otra manera”, escribió Arrington. “Pero algunos de los documentos tienen un valor informativo tan grande que pensamos que es apropiado publicarlo”, argumentó.

Twitter permite a sus usuarios publicar “tweets” (comentarios) de hasta 140 caracteres. Es junto con Facebook uno de los sitios de mayor presencia mediática en el mundo en el último año. La compañía intenta aprovechar la popularidad de su servicio gratis y convertirlo en un negocio para hacer dinero.

Puerta de entrada

Una de las conclusiones de este caso es que entrar al correo electrónico de una persona es algo sencillo para los intrusos. Y para Twitter no es algo nuevo.

Por tercera ocasión en este año esta compañía con sede en San Franciso fue víctima de una falla de seguridad. Esta vez, el intruso obtuvo la clave del correo personal de uno de los empleados de la compañía, quizá tan sólo con responder una pregunta de seguridad, que le permitió conseguir documentos confidenciales de la empresa.

Uno de los fundadores de Twitter desligó a Google de la responsabilidad en el episodio. Sin embargo, las técnicas que emplean los intrusos subrayan los peligros de una tendencia general promovida por Google y otras empresas, sobre almacenar más datos en Internet en vez de computadoras bajo el control de los usuarios.

Pero esta tendencia a utilizar más la Red para guardar datos significa que los errores que los empleados cometen en su vida privada también pueden afectar a sus empleadores pues una simple cuenta de correo puede unir dos mundos independientes.

Por ejemplo, como explica Jordan Robertson, de la agencia AP, si alguien obtiene la contraseña, para ingresar a la cuenta de Gmail de alguna persona no sólo tiene acceso a su correo personal sino a otras aplicaciones de Google que sirven para hacer trabajos en la oficina como hojas de cálculos y presentaciones.

En el caso mencionado de Twitter y TechCrunch, parte del material que el intruso, denominado Hacker Croll, obtuvo de las aplicaciones de Google y publicó en Internet resultó ser más vergonzante que comprometedor, como los planos para un nuevo piso en la oficina y una propuesta para un programa de televisión sobre el sitio de Internet cada vez más popular.

Twitter dijo que lo más probable es que sólo una cuenta fue violada porque una impresión de una pantalla estaba incluida entre los documentos afectados.

Pero cierta información importante sobre Twitter fue robada sólo con esa cuenta. El intruso ha dicho que cuenta con información sobre los salarios de los empleados, números de tarjetas de crédito, CV de personas interesadas en trabajar con ellos, reportes de juntas y proyecciones de crecimiento.

El autor del robo publicó en el blog francés Korben que el objetivo de su acción era únicamente llamar la atención de los cibernavegantes sobre la vulnerabilidad de sus datos en la Red.

Korben publicó el material robado y relató que Hacker Croll obtuvo acceso al correo de distintos empleados de Twitter, entre ellos los de Evan Williams, el CEO de la empresa, y su esposa.

¿Cómo se organizan los nombres de usuario y las contraseñas en la web?

El cibernauta debe ingresar varias veces sus datos para consultar sus casillas de correo basadas en la web, o su presencia en las redes sociales. Así se generan decenas de registros personales. Cómo resguardarlos de los intrusos y delincuentes informáticos

En un principio fue el nombre de usuario y la contraseña. Esta actualización del comienzo del Génesis bíblico tiene su correlato en el repaso de las rutinas informáticas de una persona que dispone de una computadora en el hogar o en el trabajo conectada a Internet o que recurre a un locutorio o cibercafé para vincularse a la Red.

Luego de iniciar la sesión en el sistema operativo (si está bien configurado, debería tener un nombre de usuario y contraseña), el cibernauta ingresa a su casilla de correo basada en la web. Hoy es habitual que uno disponga varios e-mails con diferentes fines: laborales, para parientes y amigos, para recibir promociones, para estudio o capacitación. Esas casillas pueden estar en Windows Live Hotmail, Gmail y Yahoo, por mencionar los principales proveedores de webmail. También se puede dar el caso que deba consultar a través de la web la casilla de e-mail que le provee su trabajo o la universidad. Otra vez deberá escribir entonces su nombre de usuario y contraseña.

Después, la persona ingresa y actualiza su presencia en las redes sociales, como Facebook, MySpace o Sonico; escribe algo en Twitter, la red social de microblogging; y consulta el saldo de su cuenta bancaria en el sitio de “homebanking” de su entidad financiera o chequea su situación impositiva en la AFIP. Mientras tanto chatea por el Windows Live Messenger (el MSN), Yahoo Messenger o Gtalk. Y también debe ingresar sus registros personales en sitios de noticias de acceso pago.

Al final del día, publica un resumen de la jornada en su blog basado en Blogger o WordPress y repasa la marcha de sus compras y ventas a través de un portal de subastas como MercadoLibre o Masoportunidades.

Por supuesto, en casi todos estos sitios, a excepción del homebanking, podría entrar sin necesidad de escribir su nombre de usuario y contraseña, ya que estos datos personales pueden quedar guardados en la memoria del navegador (Internet Explorer, Mozilla Firefox, Chrome, Safari, Opera) de la computadora. Sin embargo, esta práctica es muy insegura y para nada recomendable porque cualquier intruso ingresaría a esas herramientas y aplicaciones con sólo abrir el “browser”.

Algunas de las siguientes soluciones son posibles, pero generan interrogantes sobre su seguridad: ¿conviene anotar los nombres de usuario y las contraseñas en un papel, o en una agenda, o guardarlas en la misma PC? ¿Y generar el mismo "user name" y "password" para todos los sitios en la web que se utilizan para comunicarse?

-¿Cómo se deben organizar los nombres de usuario y contraseñas para los sitios web?

-Es una problemática interesante la que planteás, ya que la cantidad de aplicaciones web a las que un usuario regular accede ha crecido exponencialmente de a mano de la Web 2.0. Es por eso que es necesario, como primer paso, que se tome conciencia de lo que podría ocurrir con nuestra presencia virtual y nuestra privacidad si alguna de estas claves cae en manos de un tercero mal intencionado. En segundo lugar, es necesario que el usuario seleccione contraseñas fáciles de recordar, pero difíciles de adivinar. Para esto es precisoo que se cuente con un adecuado ejercicio mental para generarlas y un apropiado sistema de gestión seguro de las mismas.

-¿Cuándo conviene tener un nombre de usuario similar al nombre y apellido real y cuándo no?
-Es un punto interesante. En el caso de los sitios a los que accedemos sólo con un fin ocioso, temporal o bien informal, no es necesario que la información que brindemos sea real. Podríamos generar algún nickname (nombre de usuario), con su correspondiente cuenta de correo, por ejemplo Geek como nickname y geek@gmail.com como mail, para seguir un mismo patrón y evitar dejar nuestra dirección de correo "oficial" por allí. En los casos en donde nuestra identidad deba ser comprobada por vías alternativas, o bien cuando se está utilizando sistemas de comunicación formales, como la AFIP o bancos, es necesario para el correcto funcionamiento de los mismos que los datos sean reales.

-¿Cuáles son las reglas prácticas para tener contraseñas seguras?
-Las claves ideales deben estar compuestas por una combinación de números, letras y símbolos, alternando también mayúsculas y minúsculas, es recomendable que el largo no sea inferior a 8 caracteres. No deberían estar siendo generadas por un patrón predecible o bien, no estar compuestas por ninguna información directamente relacionada con la persona, como nombres, fechas, y demás. Es recomendable, además, no utilizar las mismas claves para el acceso a todos los sitios dado que esto permitiría a un potencial atacante acceder a todos ellos con el conocimiento de una única clave. Independientemente de lo anterior, lo más importante es que se mantenga secreta y correctamente almacenada con la confidencialidad que esto implica.

-La memoria no alcanza para guardar los datos de usuario y contraseña en múltiples sitios. ¿Cómo y dónde se debe almacenar esta información sensible? Por ejemplo, ¿en un archivo de texto (Word) en la computadora, o en una copia en papel en una caja de seguridad o en una agenda digital o de papel o en el teléfono móvil?
-Es verdad, la memoria puede fallar. Existen hoy varios sistemas de software que permiten el almacenamiento seguro de múltiples claves bajo una única clave maestra. Claro está que esto plantea un nuevo riesgo: el de olvidar aquella clave maestra y perder el acceso a todas o bien, que un tercero obtenga la clave maestra y luego el acceso a las demás. Lo importante que se debe tener en cuenta es que nunca, bajo ningún caso, las claves deben permanecer anotadas en texto plano, es decir, sin ningún tipo de protección, sino que, por el contrario, éstas deben permanecer cifradas. Estos softwares existen para múltiples plataformas y dispositivos como PC, notebooks y celulares.

Cómo saber si nuestras contraseñas son seguras

Cuáles son las técnicas para crear "passwords" personales y corporativas para ingresar con seguridad a equipos informáticos y servicios basados en Internet. Y los errores más comunes en la generación de las claves que resguardan el acceso a datos privados

Un viejo "chiste" reza: ¿Cuál es el eslabón más débil de la cadena de seguridad en sistemas informáticos? El usuario final.

Si usted se sintió afectado, por favor pregúntese si la clave para acceder a su sistema tiene algo que lo relacione con usted mismo. Por ejemplo: si usted se llama Alberto y tiene 42 años de edad, esta casado con Alicia y su hija se llama Rosana, ¿su password es "alber_42" o "AAR" o "alalro"?

En seguridad de la información, mantener una buena política de creación, mantenimiento y recambio de claves es un punto crítico para resguardar la seguridad y privacidad.

Comencemos por ver la forma en que nuestras claves pueden caer en manos de personas non-sanctas, mediante un antiguo método denominado "fuerza bruta" donde el atacante simplemente prueba distintas combinaciones de palabras hasta dar con la clave del usuario.

Muchas passwords de acceso son obtenidas fácilmente porque involucran el nombre u otro dato familiar del usuario y, además, esta nunca (o rara vez) se cambia. En este caso el ataque se simplifica e involucra algún tiempo de prueba y error. Otras veces se realizan ataques sistemáticos (incluso con procesamiento en paralelo) con la ayuda de programas especiales y "diccionarios" que prueban millones de posibles claves, en tiempos muy breves, hasta encontrar la password correcta.

Los diccionarios son archivos con millones de palabras, las cuales pueden ser posibles passwords de los usuarios. Este archivo es utilizado para descubrir dicha password en pruebas de fuerza bruta. Actualmente es posible encontrar diccionarios de gran tamaño orientados, incluso, a un idioma o área específica de acuerdo al tipo de organización que se esté atacando.

A continuación podemos observar el tiempo de búsqueda de una clave de acuerdo a su longitud y tipo de caracteres utilizados. La velocidad de búsqueda se supone en 100.000 passwords por segundo. Estos tiempos pueden considerarse anecdóticos dependiendo del programa utilizado y de la capacidad de procesamiento utilizado por los sistemas actuales, pero dan una idea clara sobre la diferencia en cada caso:

Aquí puede observarse que si se utilizara una clave de 8 caracteres de longitud, con los 96 caracteres posibles, puede tardarse 2.288 años en descifrarla. Esto se obtiene a partir de las 968 (7.213.895.789.838.340) claves posibles de generar con esos caracteres.

Claves débiles
Partiendo de la premisa en que no se disponen de esa cantidad de años para analizarlas por fuerza bruta, se deberá comenzar a probar con las claves más posibles, comúnmente llamadas claves débiles.

Según demuestra un análisis realizado sobre 2.134 cuentas y probando 227.000 palabras por segundo:

• Con un diccionario 2.030 palabras, se obtuvieron 36 cuentas en solo 19 segundos (1,77%).
• Con un diccionario de 250.000 palabras, se obtuvieron 64 cuentas en 36:18 minutos (3,15%).

Otro estudio muestra el resultado obtenido al aplicar un ataque, mediante un diccionario de 62.727 palabras, a 13.794 cuentas:

• En un año se obtuvieron 3.340 contraseñas (24,22%).
• En la primera semana se descubrieron 3.000 claves (21,74%).
• En los primeros 15 minutos se descubrieron 368 palabras claves (2,66%).

Según lo observado en la tabla, sería válido afirmar que: es imposible encontrar ¡36 cuentas en 19 segundos! También debe observarse, en el segundo estudio, que el porcentaje de hallazgos casi no varía entre un año y una semana.

Esto sucedió porque existían claves nulas; que corresponden al nombre del usuario; a secuencias alfabéticas tipo 'abcd'; a secuencias numéricas tipo '1234'; a secuencias observadas en el teclado tipo 'qwerty'; a palabras que existen en un diccionario del lenguaje del usuario; a que el usuario se llama Alberto y su clave es 'Alber'.

Estos simples estudios confirman nuestra mala elección de contraseñas, y el riesgo se incrementa si el atacante conoce algo sobre la víctima, ya que podrá probar palabras relacionadas a su persona o diccionarios orientados.

Normas de elección de claves
Se debe tener en cuenta los siguientes consejos:

• No utilizar contraseñas que sean palabras (aunque sean extranjeras), o nombres (el del usuario, personajes de ficción, miembros de la familia, mascotas, marcas, ciudades, lugares, u otro relacionado).
• No usar contraseñas completamente numéricas con algún significado (teléfono, DNI., fecha de nacimiento, patente del automóvil, etc.).
• No utilizar terminología conocida en cualquier materia (tecnología, medicina, abogacía, etc.).
• Elegir una contraseña que mezcle caracteres alfabéticos (mayúsculas y minúsculas) y numéricos.
• Deben contener al menos 6 caracteres o más.
• Tener contraseñas diferentes en máquinas diferentes, sistemas diferentes y en aplicaciones diferentes. Es posible usar una contraseña base y ciertas variaciones lógicas de la misma para distintas máquinas. Esto permite que si una password de un sistema cae no caigan todos los demás sistemas por utilizar la misma password.
• No utilizar las mismas contraseñas en sistemas con distinto grado de confidencialidad (por ejemplo el chat y el home-banking).
• Deben ser fáciles de recordar (pero difícil de descifrar) para no verse obligado a almacenarlas o escribirlas.

Algunos ejemplos son:

1. Combinar palabras cortas con algún número o carácter de puntuación: soy2_yo3.
2. Usar un acrónimo de alguna frase fácil de recordar: A río Revuelto Ganancia de Pescadores: ArRGdP.
3. Añadir un número al acrónimo para mayor seguridad: A9r7R5G3d1P.
4. Mejor incluso si la frase no es conocida: Hasta Ahora no he Olvidado mi Contraseña: aHoelIo.
5. Elegir una palabra sin sentido, aunque pronunciable: taChunda72, AtajulH, Wen2Mar.
6. Realizar reemplazos de letras por signos o números: En Seguridad Más Vale Prevenir que Curar: 35M\/Pq<.
7. Crear la regla mnemoténica que se prefiera, pero que solo sea conocida por nosotros.

Normas para proteger una password
La protección de la contraseña recae tanto sobre el administrador del sistema como sobre el usuario, ya que al comprometer una cuenta se puede estar comprometiendo todo el sistema y lo que es peor aún, toda la organización.

Recordar: "Un password debe ser como un cepillo de dientes. Úsalo cada día; cámbialo regularmente; y no lo compartas con tus amigos".

Las buenas prácticas a seguir para la selección de passwords, hacen referencia a la longitud, ancho (universo de caracteres posibles) y profundidad de las mismas (esfuerzo necesario para descifrarla):

• No permitir ninguna cuenta sin contraseña. Si se es administrador del sistema, repasar este hecho periódicamente (auditoria).
• No mantener las contraseñas por defecto del sistema. Por ejemplo, cambiar o inhabilitar las cuentas de Administrador, Root, SA, System, Test, Demo, Guest, InetUser, etc.
• Inhabilitar las cuentas no utilizadas o las de aquellos usuarios que hayan abandonado la organización.
• Nunca compartir con nadie la contraseña. Si se hace, cambiarla inmediatamente.
• No escribir la contraseña en ningún sitio. Si se escribe, no debe identificarse como tal y no debe identificarse al propietario en el mismo lugar.
• No teclear la contraseña si hay alguien observando. Es una norma tácita de buen usuario no mirar el teclado mientras alguien teclea su contraseña.
• No enviar la contraseña por correo electrónico ni mencionarla en una conversación. Si se debe mencionar no hacerlo explícitamente diciendo: "mi clave es...".
• No mantener una contraseña indefinidamente. Cambiarla regularmente. Disponer de una lista de contraseñas que puedan usarse cíclicamente.

Passwords en los sistemas
Muchos aplicativos incorporan medidas de gestión y protección de contraseñas, que obliga al cambio periódico y chequea su nivel de dificultad. Entre ellas podemos citar las siguientes:

• 1. Número de intentos limitado. Tras un número de intentos fallidos, pueden tomarse distintas medidas: Obligar a reescribir el nombre de usuario; bloquear el acceso durante un tiempo; y enviar un mensaje al administrador y/o mantener un registro especial.
• 2. Longitud mínima. Las contraseñas deben tener un número mínimo de caracteres (se recomienda 6 a 8 como mínimo).
• 3. Restricciones de formato. Las contraseñas deben combinar un mínimo de letras, números y caracteres especiales permitidos, no pueden contener el nombre del usuario ni ser un blanco.
• 4. Envejecimiento y expiración de contraseñas. Cada cierto tiempo se fuerza a cambiar la contraseña. Se obliga a no repetir cierta cantidad de las anteriores. Se mantiene un período forzoso entre cambios, para evitar que se vuelva a cambiar inmediatamente y se repita la anterior.
• 5. Ataque preventivo. Se utilizan crackeadores a modo de auditoria para atacar las contraseñas de su propio sistema en busca de debilidades

Auditoria de passwords
En el mercado existen múltiples herramientas que informan sobre la complejidad de las claves elegidas.
Estas herramientas pueden ser ejecutadas cada cierto período de tiempo, analizando las claves existentes y su complejidad, o bien ser incorporadas a los sistemas de forma que no se permita la existencia de passwords débiles.

Conclusión
Una parte fundamental de nosotros mismos y de nuestro trabajo depende de las passwords elegidas y de su complejidad.

La implementación de passwords seguras debería ser el principal objetivo cuando decidimos ("nos damos cuenta") que: lo que somos, lo que hacemos, lo que implica alinearse y proteger los objetivos del negocio depende de ellas.

Esta implementación depende de la educación que cada usuario recibe, de las políticas de seguridad aplicadas y de auditorias permanentes.

La seguridad existe... simplemente depende de la imaginación que tengamos a la hora de elegir nuestras claves.