Malas Contraseñas: Ashley Madison

password-avast-itusersOtra lección que podemos aprender de Ashley: las malas contraseñas siempre suponen un riesgo

Lima, Perú, 21 de setiembre del 2015.— Mucho se ha hablado recientemente del ataque informático al sitio de citas extramatrimoniales Ashley Madison, que distribuyó en Internet millones de datos personales y financieros de sus usuarios, y se han cuestionado las medidas de seguridad adoptadas por la página.

Avast, creador de los software de seguridad para PC y móviles más confiable del mundo, decidió analizar la seguridad existente en las contraseñas utilizadas por los usuarios del sitio y cómo éstas eran almacenadas por el sitio.

Sin tener en cuenta otras brechas de seguridad de la página web, algo que Ashley Madison hizo bien fue el uso de una encriptación robusta y respetada (conocida como bcrypt). Este sistema, al igual que todas las encriptaciones, toma el password creado por el usuario y lo intercambia por otro código (hash), de modo que no queda rastro en sus sistemas de la contraseña original, pero particularmente es lento por diseño, lo que hace más difícil para los hackers obtener resultados de la plataforma.

Sin embargo, aunque las barreras de seguridad que salvaguardan las contraseñas sean buenas, si las contraseñas en sí son malas, los datos que protegen se vuelven vulnerables.

Avast tomó el primer millón de los 36 millones de contraseñas encriptadas que se dieron a conocer con la filtración, que corresponde a los datos más antiguos de cuando el sitio comenzó a operar en 2001, y se dispuso a decodificarlos para analizar qué tanto son usadas por los usuarios las contraseñas más débiles y reconocidas.

Usando como base el listado de los 500 peores passwords de todos los tiempos (compilado en 2008) y el difundido en 2009, luego de la filtración de los datos del sitio RockYou, que cuenta con 14 millones de contraseñas, Avast descubrió que de las 25.393 contraseñas decodificadas, solamente 1.064 eran originales.

El top 20 de las contraseñas más usadas por los usuarios de Ashley Madison, a partir de la muestra obtenida del sitio, fueron:

  1. 123456
  2. password
  3. 12345678
  4. 1234
  5. pussy
  6. 12345
  7. dragon
  8. qwerty
  9. 696969
  10. mustang
  11. letmein
  12. baseball
  13. master
  14. michael
  15. football
  16. shadow
  17. monkey
  18. abc123
  19. pass
  20. fuckme

Para las personas que alguna vez crearon una cuenta en Ashley Madison antes del 15 de julio de 2015, el hash (su password reemplazado por otro formato) se ha filtrado y la contraseña puede haber sido decodificada ya, por lo que se recomienda el cambio inmediato de la contraseña.

No hay excusa en el uso de malas contraseñas, particularmente cuando estas, al ser usadas de modo inteligente, cumplen un rol vital en proteger los datos de atacantes y otras vulnerabilidades. Incluso con una de las encriptaciones de seguridad más estrictas del mundo, sólo con un listado conocido y a disposición de todo el mundo en Internet es posible tirar abajo estas barreras.

Avast recomienda la utilización de contraseñas fuertes como el primer paso (y uno primordial) para mantener la información segura. Para más detalles sobre cómo crear una contraseña fuerte puedes encontrar una guía aquí. Sino, aún más recomendable es el uso de un password manager, que genera una contraseña fuerte y única, y contraseñas generadas aleatoriamente.

Acerca de Avast

Avast Software (www.avast.com), fabricante del antivirus más confiable del mundo, protege a más de 230 millones de personas y empresas con sus aplicaciones de seguridad. Con más de 25 años de experiencia, Avast es una de las empresas pioneras en el campo de la seguridad informática, con una variedad de productos que lo cubren todo, desde el antivirus gratuito para PC, Mac y Android a los servicios y las suites premium para consumidores y empresas. Además de ser el mejor valorado por los consumidores en los principales portales de descarga en todo el mundo, el rendimiento de Avast ha sido certificado, entre otros, por: VB100, AV-Comparatives, AV-Test, OPSWAT, ICSA Labs, and West Coast Labs.