1

Los “pescadores” dicen que hacen una fortuna usando claves reusadas

Llegué a concertar una entrevista con un “pescador” activo por medio del SunbeltBLOG de Alex Eckelberry. Es una interesante lectura para un darle una ojeada al lado oscuro, a pesar de que no rompe ninguna regla dentro del mundo de los “pescadores”.

Lo que me cautivó fue que el conocimiento de los “pescadores” que usan las claves robadas de sitios de redes sociales para irrumpir en cuentas de correo electrónico, donde luego busca detalles financiero. Dice que puede hacer de $3.000 a $4.000 por día vendiendo esa información.

La cantidad de dinero podría parecer exagerada, pero frecuentemente oigo que la duplican al tratar de reusar claves de esta forma. Así que pensé que podría ser una gran oportunidad de empujar una de mis herramientas favoritas de seguridad, Password Hash, que puede protegerlo contra este riesgo de claves incluso permitiéndole mantener la misma clave reusada en el mismo sitio.

Como lo he mencionado antes, tomaré un atajo para reenviar la información que escribí primero sobre Password Hash en la columna Download This. La única diferencia de lo que escribí en ese entonces es que los amigos de Stanford detrás de esta gran clave ahora tienen una versión disponible para IE 7 (disponible para descargarse desde su página).

Este agregado para Firefox 1.5 and 2.0 y Internet Explorer 6 le permite usar la misma clave para cada sitio, pero la convierte en una única y fuerte clave en el aire antes de enviarla al sitio indicado. Aunque corrí por un libro de profesionales en TI (Network Security Hacks de O'Reilly), es extremadamente fácil de usar. Los amigos de la Universidad de Stanford que lo crearon entendieron que la mayoría de gente no usa complicado software de seguridad.

Password Hash hace su magia cuando teclea F2 o escribe @@ en el campo de la clave en un sitio. Luego escribe su clave estándar y cuando le da Enter, el agregado combina la clave con el nombre del dominio (tal como en google.com o pcworld.com) del sitio donde está validándose y luego corre a través de un calculador (llamado hash) para crear una clave única y sólida. Usar el nombre del dominio provee una medida de protección contra sitios des “pesca”, ya que Password Hash generará una clave diferente a la de un sitio engañoso -dice bankofamerican.com- que uno la genera en el sitio real, bankofamerica.com.

Hay más, no tiene que guardar la clave en ninguna parte: Si añade Password Hash a un navegador diferente en una computadora distinta, todavía generará la misma clave en el sitio dado. Si no puede instalar el agregado pero necesita usar un navegador diferente donde quiera, puede escribir su clave usual y el URL dentro del sitio Web Password Hash y obtendrá la clave hash vía una conexión encriptada, por supuesto.

No es un esquema de seguridad perfecto –nada lo es- pero está lejos, lejos de ser afectada por la clave "Batman25"- que mucha gente usa por todo lado hoy. He sugerido usarla, al menos, para sus cuentas financieras sensibles (estoy usándola ahora y gradualmente conectando mis claves sobre ello).

-Erik Larkin

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *