Las 25 peores contraseñas de 2011

Las contraseñas son una de las piezas más importante para la seguridad en la red. Sin embargo, a pesar de la importancia de tener a buen resguardo nuestro correo o nuestros datos una lista de las contraseñas más usadas revela el poco interés que prestamos a esto y lo fácil que sería violar nuestras intimidad online. La palabra ‘password y el típico 123456 encabezan este ranking de las más utilizadas, según ‘Mashable‘.

Es difícil establecer una contraseña lo bastante segura, lo sabemos. Generalmente ponemos el nombre de nuestro hijo, algún aniversario importante, nuestro cumpleaños o el nombre del perro. Pero hay quienes eligen una clave aún más fácil de hackear.

De hecho, algunos están convencidos de que “password” (“contraseña” en inglés) es una clave súper segura. Bueno, a ellos lamentamos decirles que esta palabra ultrasecreta ocupa el primer lugar en la lista anual de peores contraseñas de Internet.

La lista la encabezan las mismas contraseñas de los últimos años, prueba de que los usuarios ignoran los consejos y subestiman los peligros a los que se exponen.

Son las más habituales en Internet y otros dispositivos. El listado ha sido confeccionado por SplashData en base a los datos que se han conocido a lo largo de 2011 relativos a las cuentas que han sido crackeadas en múltiples servicios, páginas web, comunidades virtuales, etc.

  1. password
  2. 123456
  3. 12345678
  4. qwerty
  5. abc123
  6. monkey
  7. 1234567
  8. letmein
  9. trustno1
  10. dragon
  11. baseball
  12. 111111
  13. iloveyou
  14. master
  15. sunshine
  16. ashley
  17. bailey
  18. passw0rd
  19. shadow
  20. 123123
  21. 654321
  22. superman
  23. qazwsx
  24. michael
  25. football

Para tener una contraseña segura los consejos son: que tengan más de ocho caracteres, que combinen letras y números, que mezclen mayúsculas y minúsculas, además de utilizar caracteres especiales.

Anuncios

Un caso real de phising y el virus de la doble tilde.

En este enlace tenemos un interesante artículo en el que se relata un caso real de estafa bancaria usando phising. Lo último que debes hacer en una página en que te pidan todos los códigos de tu tarjeta de claves es enviarles tus claves.

Las cinco mentiras sobre los virus en internet

La primera creencia errónea es que un PC infectado ofrece síntomas claros de alojar malware. El 93 por ciento de los internautas considera que un PC infectado es fácil de detectar para el propio usuario: se bloquea por completo, funciona más lento o genera indiscriminadamente ventanas emergentes o ‘pop-ups’. Sólo el 7 por ciento sostiene que en caso de contaminación no se percibiría nada extraño, que es precisamente lo que realmente sucede en la mayoría de los casos.

Según G Data, hace ya muchos años que los que empezaban a llamarse ‘hackers’ dejaron de desarrollar virus como forma de notoriedad y demostración de sus habilidades informáticas. Hoy en día son “profesionales” cualificados cuyo objetivo es justo el contrario: pasar totalmente desapercibidos para hacerse con un suculento botín de datos personales o añadir el PC de la víctima a alguna de las redes de zombis que se alquilan en Internet. Para conseguirlo, necesitan que la infección pase totalmente desapercibida para el usuario.

El segundo mito es que el correo electrónico es la principal vía de entrada del malware. Esta suposición se ha quedado tan obsoleta como la primera, pero sigue siendo válida para el 54 por ciento de los entrevistados, el 58 por ciento en el caso de los internautas españoles. Es verdad que con los populares “Melissa” y “I love you”, los correos electrónicos fueron la vía más frecuente de difusión de malware en archivos adjuntos infectados que acompañaban una invitación para que la víctima los abriera.

Sin embargo, este sistema de infección se ha quedado anticuado y los ciber delincuentes utilizan otras formas de llegar a sus víctimas, principalmente las redes sociales y la manipulación de sitios web que sólo necesitan una visita para infectar el ordenador y que constituyen, hoy por hoy, el factor infeccioso que más se repite.

En tercer lugar, G Data destaca la creencia de que no se puede infectar un ordenador con solo visitar una página web. La compañía asegura que hace ya años que se puede infectar un ordenador a través de las que se denominan como descargas silenciosas (‘drive-by-download’) y que para conseguirlo basta tan solo con cargar en el navegador una página web convenientemente preparada por los ciberdelincuentes, un tipo de ataque que además se practica a gran escala. Sin embargo, el 48 por ciento de los encuestados aún no conoce esta realidad. Una cifra que se eleva hasta el 58 por ciento si nos ceñimos a los internautas españoles.

El cuarto mito más divulgado entre los usuarios es que las plataformas P2P y los sitios de descarga de torrents son principales aspersores  de malware. Para G Data es indudable que las plataformas de intercambio de archivos mueven gran cantidad de archivos y que parte de ellos son programas dañinos. Sin embargo, la mayor parte de los programas nocivos se propagan mediante páginas web adulteradas, aunque casi el 50 por ciento de los internautas encuestados consideran a los sitios P2P como los principales aspersores de malware.

La quinta y última leyenda urbana afecta a las páginas de pornografía, que suelen ser consideradas más peligrosas que el resto. El 37 por ciento de los encuestados considera que hay mayor peligro de infección en web con pornografía que en el resto de sitios web, quizás por la reputación dudosa del contenido pornográfico.

La realidad, sin embargo, puede ser la contraria según G Data. La industria del porno genera mucho dinero y el propietario de una web dedicada a explotar estos contenidos vive de su correcto funcionamiento y, por eso mismo, suelen encargar su programación, mantenimiento y seguridad a profesionales.

Con los datos del estudio, G Data ha llegado a la conclusión de que si bien es cierto que los usuarios conocen que hay riesgos en Internet, el 90 por ciento tiene la errónea creencia de que los virus e infecciones en la red son fáciles de detectar. El hecho de no proteger el ordenador por no detectar anomalías es un peligro puesto que las tendencias han cambiado y los virus no manifiestan su presencia. Por este motivo, los usuarios deben extremar los controles y mantener sus equipos con medidas de seguridad adecuadas.

Fuente: Las cinco mentiras sobre los virus en internet

Criptografía de clave pública con GPG4USB

Las prácticas sobre los certificados digitales, la firma digital y los sistemas de cifrado y descifrado mediante criptografía de clave pública las vamos a realizar con GPG4USB.

GPG4USB es un programa de software libre que se distribuye bajo una licencia GPL. Es un sencillo pero a la vez potente programa que nos va a permitir:

  • Crear nuestro par de claves (clave pública y clave privada o secreta)
  • Exportar nuestra clave pública, darla a conocer a nuestros compañeros.
  • Importar las claves públicas de nuestros compañeros.
  • Codificar mensajes de texto usando los algoritmos usados internacionalmente.
  • Codificar de la misma manera archivos.
  • Codificar un mismo texto o archivo para más de un destinatario.
  • Decodificar los archivos codificados con el estándar PGP de los que seamos destinatarios. Es decir, si un usuario que tenga nuestra clave pública codifica con ella un archivo con cualquier programa que siga el estándar PGP, podremos decodificarlo con nuestra clave privada usando GPG4USB.

El programa permite codificar con la clave pública del destinatario de nuestro envío. De esta forma podremos estar seguros que únicamente el poseedor de la clave privada del destinatario (si ha guardado bien su clave privada, sólo él) podrá descifrar el mensaje o el archivo.

Lo único importante que le falta al programa es la parte correspondiente a la firma digital. Como hemos visto en clase, esto consiste en codificar un pequeño mensaje con nuestra clave privada de manera que el destinatario, al poder decodificarlo con nuestra clave pública, pueda estar seguro de que hemos sido nosotros quienes se lo hemos enviado. Esperemos que esta carencia sea corregida en próximas versiones del programa.

Página web de GPG4USB.

Manual de GPG4USB (en inglés).

Lo que tarda un hacker en descifrar tu contraseña

Pensar contraseñas es una tarea difícil y a veces se nos ocurre la estúpida idea de usar passwords como 123456 o QWERTY. En realidad si tienes uno de esos dos eres una vergüenza de internet.

Pero otras claves un poco más largas también pueden ser frágiles. O así por lo menos lo deja claro este cuadro, que revela cuánto puede tomarle a alguien descifrar tu clave dependiendo de la complejidad que tiene. Así que ya saben, no le hagan la tarea fácil a quienes quieren apropiarse de tus datos…

Encontrado en FayerWayer.

 

Consejos para crear contraseñas seguras

En este artículo de Genbeta nos explican algunos métodos para crear contraseñas seguras. Copiamos a continuación una parte del artículo:

Algoritmos para crear contraseñas

Puede ser el método más sencillo y del que más fácil nos acordemos. Simplemente tenemos que crear un pequeño algoritmo para usar en cada sitio en el que nos registremos. Vamos a poner un ejemplo como si nos estuviésemos registrando en Genbeta:

  1. Las dos primeras letras de la contraseña serán las dos primeras del sitio donde nos registremos. Por lo tanto, nuestra contraseña empieza con ge.
  2. Seguiremos la contraseña con las dos últimas letras del nombre de usuario. Si nos registramos como pepito, ya tendremos geto.
  3. Lo siguiente será el número de letras del nombre del sitio. Genbeta tiene siete, así que seguimos añadiendo: geto7.
  4. Si el número anterior es impar, añadiremos un símbolo de dólar. Si es par, una arroba. Como el 7 es impar, nos queda geto7$.
  5. Cogemos las letras del medio de la contraseña y las volvemos a escribir usando la letra siguiente del alfabeto. Lo entenderéis con un ejemplo: si tenemos geto, reescribimos las dos del medio usando las siguientes letras del alfabeto, y nos queda fu. De esta forma, nuestra contraseña queda geto7$fu.
  6. Contamos el número de vocales que hay en la contraseña, le sumamos tres, y lo escribimos pero pulsando la tecla Shift, de forma que nos salga un símbolo. En este caso, tenemos 3 vocales, así que el símbolo será &, que está encima de la tecla 6.

Al final, nos ha quedado una contraseña compleja (geto7$fu&), y que podremos recordar en cualquier momento. Este método tiene la ventaja de que, al ser un algoritmo, podemos crear sin mucha complicación un pequeño programa que nos cree estas contraseñas. La desventaja es que quien adivine el algoritmo tendrá acceso a todos nuestras cuentas, ya que es un método fijo.

Crear una contraseña compleja a partir de una base

Ahora lo que vamos a hacer es crear una contraseña compleja pero fácil de recordar a partir de una base sencilla. Por ejemplo, vamos a usar como base pepe1234.

  1. Pulsa la tecla Shift carácter sí, carácter no. Con sólo esto, ya tenemos PePe!2·4, bastante más segura.
  2. Une elementos de tu contraseña con símbolos. Por ejemplo, para añadir tu ciudad natal a la contraseña anterior: PePe!2·4@bcn.
  3. Puedes añadir tu fecha de nacimiento pero sumándole uno a cada cifra. Por ejemplo, si hemos nacido el 9 de diciembre de 1980, se lo podemos añadir a la contraseña quedando así: PePe!2·4@bcn101381.
  4. Y el último, ya el colmo de la complicación: ¿Por qué no escribir la contraseña al revés? Eso sí, ya empezaríamos a tardar demasiado en escribirla, pero, ¿quién adivinaría una contraseña como 183101ncb@4·2!ePeP?
  5. Otros trucos pueden ser cambiar cada letra por la de la izquierda del teclado, cambiar las letras por números y símbolos parecidos, o cualquier cosa que se os ocurra. De hecho, cuanto más surrealista e idiota parezca esa idea, mejor.

De esta forma, hemos creado nuestra contraseña segura de la que nos podemos acordar fácilmente, y sin complicarnos demasiado la vida.

Como véis, no es muy difícil crear una contraseña segura. Simplemente usando algunos trucos sencillos podemos conseguir una contraseña de la que nos acordaremos fácilmente, y que sin embargo resultará muy difícil de adivinar tanto para descifrarla por ordenador como para adivinarla usando el ingenio y la ingeniería social.

Asegura tus contraseñas con tu correo

Además de las contraseñas, también podemos aumentar nuestra seguridad a la hora de dar nuestro correo electrónico. ¿Por qué? Porque es la identificación que damos en casi todos los sitios, y que por lo tanto vincula todas nuestras cuentas. Y que todas nuestras cuentas tengan un identificador común no es demasiado bueno que digamos. ¿Entonces, qué qué podemos hacer para evitarlo?

La primera solución es usar direcciones de correo temporal, como Mailinator, cuando la cuenta no la vayamos a usar mucho o no nos interesen los correos. Si los correos nos interesan, ya es otro tema más difícil de resolver. Por suerte, los usuarios de Gmail tenemos un pequeño truco: si nuestra dirección es pepe@gmail.com, cualquier correo enviado a pepe+loquesea@gmail.com también nos llegará a nuestra cuenta. De esta forma, podemos disponer de infinitas cuentas diferentes, pero que siempre redirigirán a la nuestra.

Práctica con MD5

¿Qué es y para qué sirve MD5?

Tal y como podemos leer en en artículo correspondiente de la Wikipedia, MD5 es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Los resúmenes MD5 se utilizan extensamente en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores.

La práctica consistirá en descargar un determinado archivo de Internet, calcular su resumen MD5 y comprobar que coincide con la que nos dan los creadores del archivo en su página web.

  1. Descarga la versión más reciente de MD5summer. Este programa sirve para calcular resúmenes MD5 de cualquier archivo.
  2. Desde la web de sus creadores, descarga la versión más reciente de K-Lite Codec Pack, en su variante Básica. El archivo descargado lo debes mover a tu carpeta.
  3. Descomprime en tu carpeta MD5summer.
  4. Usando este programa, calcula el resumen MD5 del archivo descargado en el punto 2.
  5. Comprueba si el valor obtenido coincide con el que nos proporcionan los creadores de K-Lite Codec Pack.
    (Donde dice MD5: …)

Llegados a este punto nos podemos encontrar con dos situaciones:

  1. Los valores MD5 no coinciden. En este caso, podemos estar seguros de que el archivo no se ha descargado correctamente o que ha sido modificado sin el consentimiento de los autores.
  2. El valor del resumen MD5 calculado coincide con el que aparece en la web de K-Lite Codec Pack. En este caso podemos estar casi seguros de que el archivo ha sido descargado correctamente y que no ha sido manipulado por nadie, ya que es muy difícil que un archivo distinto dé el mismo resultado al aplicarle MD5.