Tag Archives: Yahoo Voices

Cientos de miles de contraseñas robadas en julio

phishing-victim-eset-itusersTres casos de robo de información durante el mes dan un total de más de 870,000 cuentas de correo electrónico vulneradas.

Lima, 02 de agosto del 2012.— Los casos de fuga de información en Yahoo! Voices y Formspring, sumados al robo de más de 1500 credenciales de correo electrónico corporativo por parte de Dorkbot, la botnet descubierta por los especialistas de ESET Latinoamérica, tuvieron como consecuencia que más de 870,000 usuarios vean sus contraseñas expuestas durante julio, según informa la compañía líder en detección proactiva de amenazas.

El primer afectado fue Yahoo! Voices, el servicio de Yahoo! para agregar contenido publicado por los usuarios. Además de las credenciales robadas, los atacantes publicaron otros datos del servidor, lo cual indicaría que han sido capaces de acceder a información adicional del sistema.

A pesar de que el grupo realizador del ataque, autodenominado D33D Company, desmiente tener fines maliciosos y asegura que la acción no fue más que una advertencia para que la compañía corrija sus vulnerabilidades de seguridad, las casi 450,000 contraseñas vulneradas fueron publicadas como archivo en texto plano en un portal de Internet.

Para conocer más sobre la fuga de información en Yahoo! Voices puede visitar el Blog de Laboratorio de ESET Latinoamérica: http://blogs.eset-la.com/laboratorio/2012/07/12/yahoo-nueva-brecha-seguridad-red/

Por su parte, Formspring, la red social de preguntas y respuestas, ha sido víctima de un ataque informático que trajo como consecuencia, la fuga masiva de al menos 420,000 contraseñas. Como medida preventiva, la empresa anunció que los 28 millones de usuarios que posee la red social, debían cambiar obligadamente la contraseña de acceso al momento de ingresar a sus respectivas cuentas. Aparentemente, la fuga de información se habría originado en primera instancia, en algunos servidores de desarrollo de la compañía.

“Frente a este tipo de situaciones, es importante recordarles a todos los usuarios que utilizar una misma contraseña para varios servicios es especialmente riesgoso en caso de incidentes, dado que con una sola clave el atacante podría acceder a varios de los servicios de la víctima.  Por eso, además de utilizar contraseñas distintas, es recomendable implementar una clave segura y actualizar todas las aplicaciones regularmente, incluso aquellas mobile como Instagram”, aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

Finalmente, Dorkbot, el código malicioso reportado recientemente por los especialistas de ESET Latinoamérica y que ya ha reclutado en la región más de 81,000 equipos zombis, también cuenta con capacidades de robo de credenciales de acceso. Según los datos analizados por la compañía, son más de 1500 las cuentas de correo corporativas que al mes de julio este malware ha logrado vulnerar.

“El robo de contraseñas de correos electrónicos corporativos suma además un importante riesgo potencial para la reputación de la empresa afectada, que se ve expuesta a la pérdida de datos sensibles del negocio o a un mal funcionamiento de la red corporativa”, agregó Raphael Labaca Castro, Coordinador de Awareness & Research de ESET Latinoamérica.

Para más información acerca de los principales ataques informáticos de julio, puede visitar el reporte de las amenazas más importantes del mes publicado en elBlog del Laboratorio de ESET: http://blogs.eset-la.com/laboratorio/2012/08/01/resumen-amenazas-julio-2012/

15 consejos para tener mejores contraseñas

Yahoo-Hakeado-mcafee-itusersPor: Robert Siciliano

Lima, Perú, 17 de Julio 2012.— En vista del ataque informático a Yahoo Voices, donde se comprometieron 450,000 contraseñas, es hora nuevamente de hacer saber a la gente qué es lo que están haciendo mal con las contraseñas. CNET señaló que:

  • 2,295: Es la cantidad de veces que se usó una lista secuencial de números, donde “123456” es la contraseña más común, por un gran margen. En muchos otros casos los números estaban invertidos o se agregaron unas pocas letras, en un esfuerzo casi simbólico por mejorar las cosas.
  • 160: La cantidad de veces que se usó “111111” como contraseña, que solo es marginalmente mejor que una lista secuencial de números.
  • La contraseña igual de creativa “000000” se usó 71 veces.

Proteja su información al crear una contraseña que tenga sentido para usted pero no para los demás.

La mayoría de las personas no se da cuenta de que existe cierta cantidad de técnicas comunes que se emplean para descifrar contraseñas y hay muchas más formas en las que nosotros mismos ponemos en riesgo nuestras cuentas, debido a las contraseñas sencillas y de uso extenso.

Formas comunes de ataques informáticos

Ataques con diccionarios: Evite combinaciones de letras consecutivas como qwerty o asdfg. No use palabras del diccionario, términos de argot, palabras con errores tipográficos comunes o escritas al revés. Estos ataques se valen de software que inserta palabras comunes en los campos de contraseña. El descifrado de las contraseñas no requiere de prácticamente ningún esfuerzo con una herramienta como John the Ripper u otros programas similares.

Descifrado de las preguntas de seguridad: Muchas personas usan nombres propios como contraseña, generalmente el nombre del cónyuge hijos, otros parientes o mascotas; todos estos se pueden deducir con un poco de indagación. Cuando hacemos clic en el vínculo “Contraseña olvidada” en un servicio de webmail u otro sitio, nos piden que respondamos una pregunta o una serie de preguntas. Frecuentemente las respuestas se encuentran en el perfil de los medios sociales. Así es cómo se vulneró la cuenta Yahoo de Sarah Palin.

Contraseñas sencillas: No use información personal como nombre, edad, fecha de nacimiento, nombres de hijos o mascotas, colores o canciones favoritas, etc. Cuando se expusieron 32 millones de contraseñas el año pasado, casi 1% de las víctimas usaban “123456”. La siguiente contraseña más frecuente era “12345”. Otras opciones comunes eran “111111”, “princess”, “qwerty” y “abc123”.

Reutilización de contraseñas en diferentes sitios: La reutilización de contraseñas para correo electrónico, uso bancario, y medios sociales puede conducir al robo de identidad. Dos infracciones recientes dejaron al descubierto una tasa de reutilización de un 31% entre las víctimas.

Ingeniería social: La ingeniería social es una forma detallada de mentir. Una alternativa para los ataques informáticos tradicionales es el acto de manipular a otras personas para que realicen ciertas acciones o divulguen información confidencial.

Consejos para crear contraseñas seguras:

  1. Use contraseñas diferentes en todas las cuentas.
  2. Asegúrese de que nadie esté mirando cuando escribe una contraseña.
  3. Siempre cierre la sesión cuando deje el dispositivo y hay alguien cerca; una persona malintencionada solo tarda un momento en robar o cambiar la contraseña.
  4. Use software de seguridad completo y manténgalo actualizado para evitar registradores de pulsaciones de teclas y otros tipos de malware.
  5. Evite escribir contraseñas en equipos que no controla (como computadoras en un cibercafé o una biblioteca), ya que pueden tener malware que robe las contraseñas.
  6. Evite escribir contraseñas al usar una conexión Wi-Fi que no está protegida (como en el aeropuerto o en una cafetería), ya que los hackers pueden interceptar las contraseñas y datos en este tipo conexión.
  7. No divulgue la contraseña a nadie. Un amigo de confianza puede dejar de ser amigo suyo en el futuro. Mantenga las contraseñas protegidas al guardárselas usted mismo.
  8. En función de la confidencialidad de la información, debe cambiar las contraseñas periódicamente y evitar la reutilización de una contraseña durante al menos un año.
  9. Use al menos ocho caracteres de letras minúsculas y mayúsculas, números y símbolos en las contraseñas. Recuerde, que mientras más mejor.
  10. Las contraseñas sólidas se pueden recordar fácilmente pero se adivinan solo con dificultad. La contraseña “Iam:)2b29!” tiene diez caracteres y significa “I am happy to be 29!” (estoy feliz de tener 29 años).
  11. Use el teclado como una paleta para crear formas. Siga por ejemplo la secuencia “%tgbHU8*” en el teclado. Es una V. La letra V puede comenzar con cualquiera de las teclas superiores. Para cambiarlas periódicamente, puede trasladarlas por el teclado. Use W si se siente revolucionario.
  12. Diviértase con códigos, oraciones o frases cortas conocidas. La contraseña “2B-or-Not_2b? ” dice “To be or not to be?” (¿ser o no ser?).
  13. Puede guardar las contraseñas por escrito; simplemente debe mantenerlas alejadas de la computadora y tenerlas mezcladas con otros números y letras, para que no salte a la vista que se trata de una contraseña.
  14. También puede escribir una “hoja de trucos” que le dará una pista para recordar la contraseña, sin que tenga que escribirla. Por ejemplo, en el caso del último ejemplo, podría anotar “¿Ser o no ser?” en vez de escribir la contraseña.
  15. Revise la seguridad de la contraseña. Si el sitio al que se está registrando ofrece un analizador de la seguridad de la contraseña, préstele atención y siga su consejo.

En última instancia, es responsabilidad del público protegerse. Debido a esta divulgación todos los usuarios expuestos deben cambiar la contraseña. Como regla general, debe cambiar las contraseñas frecuentemente, cada seis meses. Es un cliché, pero es verdad: las contraseñas deben ser seguras. Convierta su teclado en una paleta y sea creativo. Un error común que cometen las personas es que usan términos de los diccionarios o del argot. Tenga cuidado. Los ataques mediante diccionarios emplean software que inserta palabras comunes en los campos de contraseña, por lo que la descodificación no requiere casi de ningún esfuerzo para muchas herramientas.

Robert Siciliano trabaja como experto en Seguridad en línea para McAfee. Vea su análisis sobre robo de identidad en YouTube. (Divulgaciones)

Anuncio: ¡Ya salió IT/USERS N° 91!

Estimados Lectores, los invitamos a leer la Edición N° 91 de la Revista IT/USERS. Sólo tienen que seguir el enlace de la imagen y leer las instrucciones.

¡Muchas gracias por seguirnos!

itusers-91-cover-