Tecnología

Adivinar tu contraseña nunca fue más fácil

·

Mi trabajo como Director Técnico en TPNet hace que tenga que ocupar buena parte de mi tiempo en intentar que todo funcione como debe en nuestros servidores, y que todos nuestros sitios web sean estables, rápidos, y, atención, seguros. Leo mucho, investigo, pruebo exploits y monitorizo nuestros servidores tanto para comprobar su carga como para saber si hay algo sospechoso, y lo hago con frecuencia, sobre todo teniendo en cuenta que la actualización tanto de WordPress -CMS que usamos masivamente- como sus plugins (y de los componentes que monto en los servidores, todos con Linux) es crucial para estar lo más tranquilos posible.

Pero no estoy tranquilo casi nunca, y ya hemos vivido unas cuantas situaciones bastante agobiantes con ataques que afortunadamente logramos atajar para seguir camino. Nadie está exento de que le toquen las narices esos usuarios que por un motivo o por otro (normalmente dinero, pero en ocasiones simple diversión) atacan todo tipo de sitios web y servidores. Los backups que se hacen a diario permiten salir del paso en caso de un incidente grave, pero aún así ese peligro está presente, y molesta e inquieta. Y a quien como yo esté en el pellejo de un sysadmin, más.

Uno de los problemas esenciales no solo de un sysadmin sino de cualquier usuario es la gestión de contraseñas, en la que hay que ser especialmente cuidadoso. Confieso que yo cometo el error de usar la misma contraseña para algunos servicios, pero solo aquellos que son irrelevantes y que uso de forma ocasional o que pruebo temporalmente. Para servicios importantes tengo varias y por ejemplo en mi cuenta de Google activé hace tiempo la verificación en dos pasos, que hasta no hace mucho me daba mucha tranquilidad. Cosas como esta preocupan porque ponen en tela de juicio un sistema de seguridad de este tipo (si te hackean así ya es porque te tienen muchas ganas) , pero lo malo es que el sistema de verificación en dos pasos de Google solo lo tiene Google. Nadie más lo implementa, aunque hay formas de que uno mismo lo implemente en sus servicios (hay empresas como DuoSecurity que mandan SMS con verificación, aunque cada mensaje cuesta pasta). Así pues, hay que tener mucho cuidado con las contraseñas.

Hay todo tipo de documentos en Internet que recomiendan diversas formas de guardar las contraseñas. Que si usar frases largas (20 o más caracteres), que si usar todos los símbolos posibles que se te ocurran, etc. Chicos, me temo que todo eso es muy bonito, pero da igual, porque en muchos casos la seguridad no sólo depende de la elección de la contraseña que hayáis hecho: también depende del sistema que tenga la empresa donde os registráis para guardar esa contraseña. Por poneros un ejemplo, la reciente ruptura de 6,4 millones de contraseñas en LinkedIn fue escandalosa, pero lo fue más el descubrimiento de que ellos protegían sus contraseñas (convirtiéndolas en hashes) con la función criptográfica SHA-1. Error, porque esa función no estaba diseñada para ser segura, sino rápida. Eso permitió que un experto en seguridad obtuviera el 90% de las claves de esas cuentas en, atención, 6 días, y con un equipo potente (con cuatro tarjetas AMD Radeon HD6990) pero que cualquiera podría montarse por poco dinero.

Lo cuentan todo en un brillante pero inquietante artículo en Ars Technica que me he leído de cabo a rabo con mucho interés porque es de lo mejorcito que he encontrado en los últimos tiempos. Un reportaje ejemplar: profundo, con bastantes detalles técnicos y con muchos enlaces más que interesantes, como el del servicio CloudCracker, que en 20 minutos (y por la módica cantidad de 17 dólares) te mandará la contraseña de una red WiFi WPA/WPA2 una vez les mandes el ficherito del handshake que puedes obtener en dos patadas. Terrible.

La conclusión de Ars Technica es la que os adelantaba yo: podéis elegir la contraseña más chunga del mundo, pero si al otro lado alguien genera el hash con una función criptográfica débil y alguien logra el fichero de hashes, estáis apañaos.  ¿La solución? Bueno, en Ars recomiendan el uso de herramientas cada vez más populares como 1Password o PasswordSafe que autogeneran contraseñas aleatorias, largas y complejas para cada servicio que usamos, y las guardan en un fichero cifrado de forma muy segura (no con el SHA-1 de marras) que únicamente se desbloquea con una contraseña maestra (que sí debéis recordar, y que conviene que sea lo más larga y segura que podáis). A lo cual yo añado eso en lo que insistí hace poco.

Haced putos backups. Y hacedlos ya.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post “antiguo” las ofertas son de última hora, los Incognichollos los actualizo aparte. Aprovecha, que no suelen durar mucho tiempo:

  • Xiaomi Mi A2 Lite: el telefonazo chollo por excelencia, 5,84 pulgadas, Snapdragon 625, 4 GB de RAM, 64 GB de capacidad, cámara dual 12+5 MP, batería de 4.000 mAh, sin NFC eso sí pero aún así triunfada. Atentos porque el modelo de 3 GB y 32 GB es impresionante en precio: 133,63 euros en Banggood con Banggood.
  • Consola PS4 Slim reacondicionada: la consola de 500 GB con un mando reacondicionada con la garantía de Amazon, está a 164,74 euros en Amazon Alemania gastos de envío incluidos, alucinante. Corred. Si queréis ir a más, la PS4 Pro de 1 TB nueva está a 316 euros en Amazon Francia gastos de envío incluidos.
  • iPhone Xr: el telefonazo de Apple en su modelo de 64 GB con el A12 Bionic y su pantalla de 6,1 pulgadas está a 749 euros en eBay.
  • Reloj Casio F-91W: un súper clásico de Casio con cronómetro, alarma, calendario y duración de batería de, atención, 7 años. AÑOS. Básico y maravilloso por 8,88 euros en Amazon. Ríete tú de los relojes inteligentes.
  • Monitor Gaming Acer Predator 27 pulgadas: una maravilla de monitor que en PC Componentes está por 699 euros. Atentos: 27 pulgadas resolución 2560×1440, LED IPS, contraste 1000:1, formato 16:9, soporta frecuencias de hasta 144 Hz. Una pasada que está a 499 euros en Amazon. A darse el capricho tocan.
  • Samsung Galaxy Note 9: el telefonazo con S-Pen está de rebajas. Pantalla de 6,4 pulgadas, Exynos 9810 Octa, 6 GB de RAM, 128 GB de capacidad (ampliables), cámara dual 12+12 Mpíxeles y una batería de 4.000 mAh. Difícil pedir más, y está a 609 euros en eBay.
  • Nokia X6: un smartphone curioso con pantalla de 5,8 pulgadas, Snapdragon 636, 6 GB de RAM, 64 GB de ROM, cámara dual 16+5 y un precio estupendo, 174 euros en GearBest con el cupón QY1LR09729.
  • Portátil Xiaomi Mi Air: el equipo que rivaliza con los grandes fabricantes del mercado a menor precio vuelve a ponerse interesante. Pantalla de 13,3 pulgadas, Core i5-8250U, 8 GB de RAM, 256 GB de SSD, lector de huellas, está a 626 euros en Banggood con el cupón 1B2G11710.
  • LG G7 ThinQ: un señor telefonazo con una cámara que impresiona. Pantalla de 6,1 pulgadas 2K, Snapdragon 845, 4 GB de RAM, 64 GB de capacidad, cámara dual 16+16 MP, está a 412 euros en Amazon.
  • Monitor BenQ GW2270H 21,5 pulgadas: un monitor 1080p de 21,5 pulgadas con conexión dual HDMI por 118 euros en Amazon. Y si queréis ir a un monitor gaming, el BenQ XL2411P ZOWIE con soporte de 144 HZ está a 246 euros en Amazon.
  • Tablet Amazon Fire HD 10: una tableta de 10 pulgadas 1080p con 32 GB de capacidad y un precio estupendo: 113 euros en Amazon Alemania, envío incluido.
  • Monitor LG 29 pulgadas: un monitor panorámico 21:9 con resolución 2560×1080, conectores HDMI, Display Port y USB-C y soporte AMD FreeSync, está a 219 euros en Amazon.
  • Ratón Logitech G402: para jugones, con 8 botones programables, está a 28,99 euros en Amazon.
  • Monitor LG 38 pulgadas: esta maravilla ultrawide con formato 21:9, diagonal de 38 pulgadas y resolución de 3.840 x 1.600 píxeles es una pasada si necesitáis área horizontal a lo bestia. Tiene dos altavoces estéreo de 10W y 2 HDMI, 1 DisplayPort, 1 USB-C y 2 USB 3.0. Está a 859,99 euros en Amazon.
  • Altavoz Bluetooth Sony SRSXB31B: un modelo que además de contar con extra Bass, y modo fiesta cuenta con resistencia al agua y al polvo, hasta 24 horas de autonomía y un sistema de iluminación simpático. Está a 89,91 euros en Amazon, casi la mitad de su precio normal.
  • Zotac NVIDIA GeForce RTX 2070: una de las gráficas más potentes del momento y con ese plus de la arquitectura Turing de NVIDIA que puede ser interesante (más en el futuro que ahora). Está a 499,99 euros en Amazon Alemania.
  • Linksys Velop Intelligent Mesh: para garantizarte cobertura WiFi en casa, este conjunto de tres nodos AC3600 con banda dual es una chulada, está a 179 euros en Amazon.
  • PlayStation PSVR: las gafas de realidad virtual de la PS4 con la cámara y el juego VR Worlds están a 186 euros en Amazon Italia, envío incluido.
  • Portátil gaming Medion Erazer P6705: con pantalla de 15,6 pulgadas 1080p, un Core i5-8300H, 8 GB de RAM, 1 TB de disco, 128 GB de SSD, una GTX 1050 Ti para darle vida a los juegos y Windows 10. Teclado en español, por cierto. Está a  749 euros en Amazon.
  • Samsung Galaxy S9: el telefonazo de Samsung con un Exynos 9810 Octa (equivalente al Snapdragon 845), 4 GB de RAM, 64 GB de capacidad, y cámara estupenda, aunque sea una sola, de 12 MP. Está a 509,99 euros en Amazon.
  • Xiaomi Mi 8 (Global): con dos años de garantía en España, envío inmediato. Pantalla AMOLED de 6,21 pulgadas FHD+, Snapdragon 845, 6 GB de RAM, 64 GB de capacidad, cámara trasera 12+12 MP, cámara frontal de 20 MP, lector de huellas trasero, batería de 3.400 mAh. Está en color azul a 328,52 euros en GearBest y en color negro a 328,52 euros en GearBest. Desactivad el seguro de envío, ya sabéis. En Amazon está a 379 euros, por si preferís esta opción.
  • OnePlus 6T: el telefonazo de este fabricante (análisis) está a precio más que interesante. Con pantalla de 6,44 pulgadas con “mini-notch”, Snapdragon 845, 6 GB de memoria, 128 GB de capacidad, batería de 3,700 mAh, cámara trasera dual de 20+16 MP, cámara frontal de 20 MP, lector de huella integrado en pantalla. Está a 506,10 euros en GearBest, impresionante. Mola además que tienen 2 años de garantía en España.
  • Unidad SSD Crucial BX300: una unidad de 120 GB con prestaciones estupendas y que sale por un precio ridículo: 25,99 euros en Amazon.
  • Unidad SSD Samsung 970 EVO: genial con 250 GB y velocidades de transferencia brutales: está a 72,99 euros en Amazon, nunca la vi tan barata. Es la que tengo en mi PC, y me salió a 95 euros como súper ganga, así que imaginad. La versión de 500 GB está a 119,98 euros, gran precio también.
  • Motorola One: un smartphone basado en Android One con pantalla de 5,9 pulgadas, un Snapdragon 625, 4 GB de RAM, 64 GB de capacidad, cámara dual 13+13 MP. Está a 269 euros en Amazon.
  • Patinete Eléctrico Ninebot ES1 No. 9: otro patinete similar al anterior pero algo menos potente. Hasta 20 km/h y hasta 25 km de autonomía, muy bien también por su precio, 277,92 euros en GearBest con el cupón GB12ES1 con dos años de garantía en España. Desactivad el seguro de envío, eso sí.
  • Tarjeta gráfica Zotac GeForce GTX 1060 6 GB: una gráfica estupenda para animar vuestras sesiones de gaming. Está a 230 euros en Amazon Alemania, gastos de envío incluidos.
  • Smartwatch Huawei Watch 2: con WiFi y 4G nada menos, este reloj tiene también GPS, Wear OS 2.0 para gobernarlo y un precio fantástico de 199,99 euros en Amazon. Brutal por lo que ofrece, os lo aseguro que lo sé de buena tinta: lo analicé hace tiempo.
  • Televisión Haier 4K 55 pulgadas: vale que no es una marca top, pero tener una Smart TV de 55 pulgadas con resolución  4K/UHD (sin HDR, parece por lo que he visto) por este precio es de locos. Cuenta con Netflix preinstalado, WiFi y TDT2, además de altavoces con soporte Dolby Digital+. Se envía desde UK con garantía de Haier, y está a 365,32 euros en Banggood EU con el cupón e2bcea.
  • PocoPhone F1: telefonazo que Xiaomi se acaba de sacar de la manga. Un Snapdragon 845, 6 GB de RAM, 64 GB de capacidad
    (ampliables), pantallón de 6,18 pulgadas y dos cámaras de 12+5 Mpíxeles, además de batería de 4.000 mAh y conector de auriculares. Si no os importa que no tenga NFC, compra estrella de la temporada, sobre todo a este precio. La edición de 6 GB y 64 GB de capacidad está a 259,05 euros en AliExpress, uauh.
  • Xiaomi Mi 8 Pro: la versión más brutal del telefonazo de Xiaomi: 6,21 pulgadas, el célebre diseño con la carcasa semitransparente (de pega, pero es curiosa), Snapdragon 845, 8 GB de RAM, 128 GB de capacidad, cámara dual de 12+12 MP, cámara frontal de 20 MP, sensor de huella bajo la pantalla, en fin, de todo. Está a 452,83 euros en GearBest.
  • Unidad SSD Netac 480 GB: mucho más barata que las que os pongo al final, casi medio terabyte a precio de 200 GB en unidades de marcas reputadas. Difícil no sentirse tentado porque cuesta 48,961 euros en JoyBuy. Para que veáis la diferencia, la Samsung 860 Evo de 250 GB (casi la mitad de capacidad) cuesta más: está a 56,90 euros en Amazon… y este último no es mal precio. El otro es ya la locura, aunque la marca, claro, no es muy conocida.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

7 comentarios en “Adivinar tu contraseña nunca fue más fácil

  1. Steam también usa un sistema de seguridad, la primera vez que se inicia sesión con nuestra cuenta en algún servicio (con nuestra usuario y contraseña) se nos envía al correo electrónico un código que nos pedirá para seguir usando la aplicación, si no lo tenemos no podemos hacer nada. Igualmente con unos cuantos clicks podemos deshacer todos los permisos para que se tengan que volver a identificar los ordenadores que están conectados, a mi me parece muy práctico.

  2. Nacho dice:

    La UNICA forma de proteccion es el CAMBIO de las contraseñas cada poco tiempo. Si alguien consigue la hash, no importara q la utilicen y averiguen la contraseña siempre q nosotros la hayamos cambiado cuando quieran utilizarla. Asi de sencillo, y a la vez asi de incomodo. 🙂

  3. Pingback: ¿La solución a las contraseñas? Nada de contraseñas | Incognitosis

Comentarios cerrados