Una semana en noticias: ¿es tan malo reutilizar las contraseñas?

Tener una única contraseña para cada cuenta online es la opción más segura. Sin embargo, crear contraseñas nuevas para cada cuenta resulta al final un trabajo tedioso y difícil de mantener.

Reus

Puedes llamarme escéptico, pero un grupo de investigadores de Microsoft, en colaboración con investigadores de la Universidad de Carleton, en Canadá, afirmaban en un artículo que la reutilización de contraseñas no es algo tan grave, sino más bien una estrategia necesaria para la gestión de un gran número de cuentas online. A primera vista, sus declaraciones contradicen las opiniones de la mayoría de la gente. De hecho, lo que los investigadores defienden es la existencia de un sistema jerarquizado de contraseñas donde se comparten las claves, pero se guardan las más fuertes para las cuentas más críticas y se usan las más débiles para las cuentas que contienen información menos importante.

No hay duda de que tener una única contraseña para cada cuenta online es la opción más segura. Sin embargo, crear contraseñas nuevas para cada cuenta resulta al final un trabajo tedioso y difícil de mantener.

Las herramientas de administración de contraseñas, afirman los investigadores, tampoco son perfectas al 100%. Esto se debe, como uno se puede imaginar, a que si un atacante consigue la clave para aceeder a la herramienta, podría tener acceso completo a todas las credenciales de un usuario.

Estaría mintiendo si te dijera que tengo una contraseña para cada una de mis cuentas online. No obstante, recomiendo sin ninguna duda el uso de contraseñas fuertes y únicas para cualquier cuenta relacionada con transacciones bancarias o información especialmente sensible. En cuanto a las herramientas de administración de contraseñas, lo cierto es que nos ofrecen una mejor protección que la que nosotros podemos permitirnos. Esta medida representa un grave obstáculo para los atacantes y cualquier otra persona que trate de espiar esas transacciones.

Esta medida representa un grave obstáculo para los atacantes y cualquier otra persona que trate de espiar esas transacciones

Proyecto Zero

Google ha reunido un equipo de hackers encargado de acabar con las vulnerabilidades en los software de otros servidores así como otros elementos de Internet que afectan a sus clientes y, en última instancia, a su negocio. A medida que este equipo vaya encontrando errores, se encargará de informar a los proveedores pertinentes, ayudará a los vendedores a solucionar los problemas, y publicará sus hallazgos. El equipo se llama Proyecto Zero.

“No vamos a poner límites a este proyecto y trabajaremos para mejorar la seguridad de cada software, prestando especial atención a las técnicas, objetivos y motivaciones de potenciales atacantes” escribió Chris Evans, un Ingeniero de Seguridad con una larga trayectoria en Chrome y jefe del Proyecto Zero. “Vamos a utilizar enfoques estándares, tales como la localización y presentación de informes de un gran número de vulnerabilidades. Además, vamos a llevar a cabo una nueva investigación sobre mitigación, explotación, análisis de programas y cualquier otra cosa que nuestros investigadores consideren que vale la pena”.

Apple está encriptado

Apple implementó la semana pasada un cifrado de alta seguridad de todo el correo que entra y sale de sus servidores para sus dominios iCloud.com, mac.com y me.com. Esta medida supone una gran barrera para los atacantes y todos aquellos que traten de espiar dichas transmisiones.

Como señaló el editor de Threatpost, Dennis Fisher, esto es un gran avance:

“La maniobra de Apple para utilizar el cifrado TLS en sus dominios de correo electrónico es un avance importante, ya que se hace a nivel de servidor y no requiere de la participación de los usuarios para mejorar la seguridad. Encriptar el correo electrónico en el escritorio es un proceso estresante y sólo es eficaz a nivel individual. Que un proveedor del tamaño de Apple implemente un cifrado a gran escala puede suponer una diferencia importante en la lucha contra los atacantes financiados. El uso del correo electrónico cifrado, a nivel individual, es una buena defensa contra algunas formas de vigilancia o ataques dirigidos, pero en el caso de grandes proveedores de correo electrónico, como Yahoo, Google o Apple, cifrar las comunicaciones en colaboración con otros proveedores puede ayudar a proteger a una gran cantidad de usuarios”

Soluciones

Hablando de herramientas de administración de contraseñas, LastPass, un popular gestor de claves online, ha solucionado un par de vulnerabilidades que un atacante experimentado podría haber aprovechado para generar su propia contraseña de un solo uso y acceder a la cuenta de la víctima.

Google está cambiando sus alertas de páginas web con malware y phishing. En vez de una advertencia en color blanco sobre un fondo rojo, toda la página será de color rojo, con una gran X en la parte superior de la pantalla. Tanto la advertencia de malware, como las advertencias de phishing, alertan a los usuarios de que el sitio al que están a punto de acceder puede tratar de instalar programas peligrosos en el ordenador o bien engañarle para obtener información personal.

Cisco ha parcheado una vulnerabilidad en su producto Puerta de Enlace Inalámbrica Residencial, mientras que Google publicó una actualización de Chrome para Android resolviendo un problema de spoofing en las URL.

Consejos