¿Qué aprendimos del caso Ashley Madison? Las malas contraseñas siempre suponen un riesgo

password-ashley-madison

México, D.F.- Uno de los escándalos digitales más sonados en los últimos meses es el ataque informático al sitio web de citas extramatrimoniales Ashley Madison, cuyos hackers filtraron hace un mes los datos personales y financieros de los millones de usuarios que tiene la plataforma, lo que ha dado lugar a cuestionar las medidas de seguridad adoptadas por la página.

Avast, fabricante de software de seguridad para PC y móviles, se dio a la tarea de analizar la seguridad existente en las contraseñas de los usuarios. Una de las principales conclusiones a las que llegó respecto al hackeo del portal fue que los passwords eran demasiado débiles.

Ashley Madison tuvo el acierto de usar una encriptación robusta y respetada (conocida como bcrypt). Este sistema, al igual que todas las encriptaciones, toma el password creado por el usuario y lo intercambia por otro código (hash), de modo que no queda rastro en sus sistemas de la contraseña original, pero particularmente es lento por diseño, lo que hace más difícil para los hackers obtener resultados de la plataforma.

¿Entonces qué ocurrió? Que aunque las barreras de seguridad que salvaguardan las contraseñas sean buenas, si las contraseñas en sí son malas, los datos que protegen se vuelven vulnerables. De los 36 millones de contraseñas encriptadas dadas a conocer por The Impact Team -grupo responsable del ataque cibernético-, Avast tomó el primer millón, que corresponde a los datos más antiguos de cuando el sitio comenzó a operar en 2001, y se dispuso a decodificarlos para analizar su nivel de debilidad.

Usando como base el listado de los 500 peores passwords de todos los tiempos -compilado en 2008- y la lista de los 14 millones de contraseñas difundidas en 2009 luego de la filtración de datos del sitio RockYou-, Avast descubrió que de las 25 mil contraseñas decodificadas, solamente mil 64 eran originales. El Top 20 de las contraseñas más recurrentes entre los usuarios de la web especializada en infidelidades fueron:

123456
password
12345678
1234
pussy
12345
dragon
qwerty
696969
mustang
letmein
baseball
master
michael
football
shadow
monkey
abc123
pass
fuckme

Para las personas que crearon una cuenta en el portal antes del 15 de julio de 2015, el hash (su password reemplazado por otro formato) se ha filtrado y la contraseña ya pudo haber sido decodificada, por lo que urge cambiarla inmediatamente.

Incluso con las encriptaciones de seguridad más estrictas del mundo, sólo con un listado conocido y a disposición de todo el mundo en internet es posible tirar abajo estas barreras. Por ello, hay que aprender a usar las contraseñas de manera inteligente para que cumplan con la misión de proteger los datos de atacantes y otras vulnerabilidades. Para crear una contraseña puedes apoyarte en un password manager, que generará una contraseña fuerte y hasta aleatoria.

Sigue a The markethink y entérate de los temas más actuales y sobresalientes de la industria


Evelyn Castillejos About Evelyn Castillejos
Comunicóloga por la FCPyS-UNAM y la UAM-Xochimilco, con experiencia en producción audiovisual y periodismo escrito y online. Pasión por el cine, la fotografía, la música y el teatro. Mi Twitter es @evelyngcp

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>