Tecnología

Adivinar tu contraseña nunca fue más fácil

·

Mi trabajo como Director Técnico en TPNet hace que tenga que ocupar buena parte de mi tiempo en intentar que todo funcione como debe en nuestros servidores, y que todos nuestros sitios web sean estables, rápidos, y, atención, seguros. Leo mucho, investigo, pruebo exploits y monitorizo nuestros servidores tanto para comprobar su carga como para saber si hay algo sospechoso, y lo hago con frecuencia, sobre todo teniendo en cuenta que la actualización tanto de WordPress -CMS que usamos masivamente- como sus plugins (y de los componentes que monto en los servidores, todos con Linux) es crucial para estar lo más tranquilos posible.

Pero no estoy tranquilo casi nunca, y ya hemos vivido unas cuantas situaciones bastante agobiantes con ataques que afortunadamente logramos atajar para seguir camino. Nadie está exento de que le toquen las narices esos usuarios que por un motivo o por otro (normalmente dinero, pero en ocasiones simple diversión) atacan todo tipo de sitios web y servidores. Los backups que se hacen a diario permiten salir del paso en caso de un incidente grave, pero aún así ese peligro está presente, y molesta e inquieta. Y a quien como yo esté en el pellejo de un sysadmin, más.

Uno de los problemas esenciales no solo de un sysadmin sino de cualquier usuario es la gestión de contraseñas, en la que hay que ser especialmente cuidadoso. Confieso que yo cometo el error de usar la misma contraseña para algunos servicios, pero solo aquellos que son irrelevantes y que uso de forma ocasional o que pruebo temporalmente. Para servicios importantes tengo varias y por ejemplo en mi cuenta de Google activé hace tiempo la verificación en dos pasos, que hasta no hace mucho me daba mucha tranquilidad. Cosas como esta preocupan porque ponen en tela de juicio un sistema de seguridad de este tipo (si te hackean así ya es porque te tienen muchas ganas) , pero lo malo es que el sistema de verificación en dos pasos de Google solo lo tiene Google. Nadie más lo implementa, aunque hay formas de que uno mismo lo implemente en sus servicios (hay empresas como DuoSecurity que mandan SMS con verificación, aunque cada mensaje cuesta pasta). Así pues, hay que tener mucho cuidado con las contraseñas.

Hay todo tipo de documentos en Internet que recomiendan diversas formas de guardar las contraseñas. Que si usar frases largas (20 o más caracteres), que si usar todos los símbolos posibles que se te ocurran, etc. Chicos, me temo que todo eso es muy bonito, pero da igual, porque en muchos casos la seguridad no sólo depende de la elección de la contraseña que hayáis hecho: también depende del sistema que tenga la empresa donde os registráis para guardar esa contraseña. Por poneros un ejemplo, la reciente ruptura de 6,4 millones de contraseñas en LinkedIn fue escandalosa, pero lo fue más el descubrimiento de que ellos protegían sus contraseñas (convirtiéndolas en hashes) con la función criptográfica SHA-1. Error, porque esa función no estaba diseñada para ser segura, sino rápida. Eso permitió que un experto en seguridad obtuviera el 90% de las claves de esas cuentas en, atención, 6 días, y con un equipo potente (con cuatro tarjetas AMD Radeon HD6990) pero que cualquiera podría montarse por poco dinero.

Lo cuentan todo en un brillante pero inquietante artículo en Ars Technica que me he leído de cabo a rabo con mucho interés porque es de lo mejorcito que he encontrado en los últimos tiempos. Un reportaje ejemplar: profundo, con bastantes detalles técnicos y con muchos enlaces más que interesantes, como el del servicio CloudCracker, que en 20 minutos (y por la módica cantidad de 17 dólares) te mandará la contraseña de una red WiFi WPA/WPA2 una vez les mandes el ficherito del handshake que puedes obtener en dos patadas. Terrible.

La conclusión de Ars Technica es la que os adelantaba yo: podéis elegir la contraseña más chunga del mundo, pero si al otro lado alguien genera el hash con una función criptográfica débil y alguien logra el fichero de hashes, estáis apañaos.  ¿La solución? Bueno, en Ars recomiendan el uso de herramientas cada vez más populares como 1Password o PasswordSafe que autogeneran contraseñas aleatorias, largas y complejas para cada servicio que usamos, y las guardan en un fichero cifrado de forma muy segura (no con el SHA-1 de marras) que únicamente se desbloquea con una contraseña maestra (que sí debéis recordar, y que conviene que sea lo más larga y segura que podáis). A lo cual yo añado eso en lo que insistí hace poco.

Haced putos backups. Y hacedlos ya.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post «antiguo» las ofertas son de última hora, los Incognichollos los actualizo aparte. También puedes seguir los Incognichollos en Twitter o en el nuevo canal de Telegram 🙂 . Aprovecha, que no suelen durar mucho tiempo.

  • Logitech G29: el volante y pedales para juegos de conducción y carreras, compatible con PS3, PS4 y PC Windows. Está a un precio escandaloso, 158 euros en Amazon Alemania envío incluido. Nunca lo vi tan bajo.
  • Smart TV LG 55 pulgadas: con resolución 4K/UHD, HDR, sonido Ultra Surround, procesador quad-core, gobernada por webOS 4.5, 20 W de altavoces, está a 459 euros en Amazon.
  • Nintendo Switch: el modelo en colores azul y rojo y con los dos mandos está a 269,99 euros en eBay. Envío desde España y dos años de garantía.
  • OnePlus 7: estupendo con sus 6,41″, Snapdragon 855, 8 GB de RAM, 256 GB de capacidad (uauh), cámara dual 48+5 MP, lector de huella en pantalla, 3700 mAh. Está a 361 euros en Gearbest con el código GBOP7GSBW, alucinante
  • Xiaomi Mi 9T Pro: Snapdragon 855. 6,39″, selfie popup, 6 GB de RAM, 64 GB capacidad, cámara de 48+13+8 MP, 4000 mAh, NFC, color rojo, lector de huella en pantalla. Está a 328 euros en AliExpress Plaza (envío desde España, 2 años garantía)
  • OnePlus 7 Pro: 6,67″ a 90 Hz gloriosos, Snapdragon 855, 6 GB de RAM, 128 GB capacidad, cámara triple 48+16+8 MP, cámara frontal 16 MP retráctil, lector bajo pantalla, 4.000 mAh, espectacular a 549,95 euros en GearBest con el código GBOP7PGSBW
  • Xiaomi Redmi Note 8: el nuevo teléfono chollo de 6,53″, Snapdragon 665, 3 GB de RAM, 32 GB de capacidad, cámara cuádruple (48+8+2+2) y 4.000 mAh de batería. Estupendo a 150 euros en Banggood con el código BGN8G3. Más versiones: 4/64 GB por 168 euros en Banggood con el código BGN841 y la de 4/128 GB está a 187 euros en Banggood con el código BGN881
  • Monitor Gaming HP 27MX: un 27 pulgadas con resolución 1920×1080 que destaca por su panel de 144 Hz, por su soporte AMD FreeSync pero sobre todo por su sistema de iluminación ambiental (tipo ambilight). Muy chulo por 209 euros en Amazon.
  • Philips Hue White Starter Kit: 3 bombillas LED E27, un bridge y un mando a distancia, luz blanca cálida, eficiencia A+, regulable, control por WiFi, el kit completo está a 66 euros en Amazon Italia, envío incluido, con el código SMART25
  • Tableta Chuwi Hi9 Pro: una tableta modesta pero interesante: 8,4 pulgadas, Helio X20, 3 GB de RAM, 32 GB de capacidad, cámara trasera de 8 MP, GPS, Android 8.0, 5000 mAh, está a 101 euros en Banggood con el código BG14c94a
  • Xiaomi Redmi S2: como no todo el mundo necesita un Google Pixel 3 XL ni gastar 1.000 euros, atentos a este móvil con un Snapdragon 625, 3 GB de RAM, 32 GB de capacidad y cámara dual (16+5). Está a 90 euros en Banggood con el código BGESS27. Y por 13 euros más, la versión de 4 GB de RAM y 64 GB de capacidad, que está a 103 euros en Banggood con el código BGESS5
  • Pack cables de USB a MicroUSB AUKEY: para cargar móviles y otros dispositivos, pack de 5 cables. 1 x 2m, 2 x 1 m, 2 x 0,3 m. Están a solo 4,1 euros en Amazon con el código 3YIQ3MWT (bajan desde los 7,69 euros).
  • Smartwatch Lenovo E1: Carcasa de aleación, 1,33 pulgadas de pantalla 240×240 píxeles, protección IP67, 180 mAh de batería, modos deportivos, frecuencia cardiaca, GPS. Está a solo 30,90 euros en GearBest con el código G399E4E32218D000
  • Portátil Xiaomi Mi Ruby 2019: estupendo con sus 15,6″, 1920×1200 píxeles, Core i5-8250U, 8 GB de RAM (¡ampliables!), 512 GB de SSD, GeForce MX110 2 GB, teclado numérico, teclado USA, gran touchpad. Está a 550 euros en Banggood con el código BGRRU9
  • Xiaomi Redmi Note 8 Pro: el nuevo cholloteléfono. 6,53?, Helio G90T, 6 GB de RAM, 64 GB capacidad, cuatro cámaras (64+8+2+2) – debuta el sensor de 64 MP!, 4500 mAh (uauh), NFC, está a 175 euros en GearBest con código GBNOTE8P1 (2 años garantía España)
  • Xiaomi Mi 9 Lite: una versión estupenda y más barata, 6,39″, Snapdragon 710, 6 GB de RAM, 64 GB de capacidad, cámara triple (48+8+2 MP), 4030 de batería, está a 215,40 euros en GearBest con el código GBMI9LITE101 (2 años garantía España)
  • Televisor LED 40 pulgadas TD Systems: modelo K40DLM7F para un televisor básico con resolución 1080p, diagonal de 40 pulgadas, 3 puertos HDMI, VGA; USB reproductor y grabador, eficiencia A+. Está increíble a 169 euros si no necesitáis más pulgadas y 4K.
  • Portátil convertible BMAX Y13: un equipo sorprendente. 13,3 pulgadas táctil, convertible en tableta, Intel Celeron N4100 (modesto ahí), 8 GB de RAM, 256 GB de SSD, teclado retroiluminado, puerto USB-C, WiFi 802.11ac. Está a 336 euros en GearBest
  • Portátil convertible Teclast F5R: de ese estilo también es este modelo de 11,6 pulgadas con un N3450, 8 GB de RAM, 256 GB de SSD; también con pantalla táctil, modo tableta, WiFi 802.11ac, está a 245 euros en Banggood con el código BGF5RP
  • Smart TV Panasonic 65 pulgadas: una televisión gigante, modelo Panasonic TX-65FX623E, diagonal de 65 pulgadas, 4K, HDR, modos gaming, compatible con Alexa y Google Assistant. Está a 699,99 euros en Amazon, casi la mitad de su precio normal, espectacular.
  • Alfombrilla SteelSeries QcK Prism: alfombrilla para ratón de 320×270 mm con iluminación RGB ininterrumpida y personalizable con 12 zonas independientes. Está a 31,98 euros en Amazon (60 en PcCom).
  • MiniPC Beelink T4: perfecto como PC de salón o para tareas ligeras, Intel Atom X5-Z8500, 4 GB de RAM, 64 GB de eMMC, Gigabit Ethernet, 2 puertos USB 3.0, HDMI, WiFi 802.11ac. Está a 109,08 euros en GearBest 
  • Portátil Lenovo Ideapad 530s: un buen modelo de 14 pulgadas Full HD, Core i7-8550U, 8 GB de RAM, 512 GB de SSD, Windows 10, teclado español, lector de huella. Está a 699,99 euros en Amazon.
  • Xiaomi Redmi Note 8: el nuevo teléfono chollo de 6,53?, Snapdragon 665, 4 GB de RAM, 64 GB de capacidad, cámara cuádruple (48+8+2+2) y 4.000 mAh de batería. Estupendo a 173 euros en Banggood con el código BGRN84
  • Robot de cocina Taurus MyCook: calienta por inducción, función sofrito, 10 velocidades, de 40 a 120 °C, balanza integrada, recetario impreso con 250 páginas, jarra de 2 litros. Está a 329 euros en Amazon.
  • Xiaomi Mi A3: 6,01?, Snapdragon 665, 4 GB de RAM, 64 GB de capacidad, cámara triple (48+8+2 MP), Android One (puro, sin MIUI), lector de huella bajo pantalla, sin NFC, brutal: 145,36 euros en AliExpress. Otra opción, 189 euros en Amazon
  • Pocophone F1: El teléfono chollo de 2018 sigue molando con un Snapdragon 845, 6 GB de RAM, 64 GB de capacidad (ampliables), cámara dual (12+5), batería de 4.000 mAh. Alucinante por 228 euros en Banggood con el código BGESF3 (se envía desde España)
  • Xiaomi Mi 9 Lite: versión algo recortada del Mi 9 en CPU y algo en sus cámaras: 6,39?, Snapdragon 710, 6 GB de RAM, cámara triple (48+8+2 MP), 4030 mAh, lector de huella bajo pantalla, está a 221 euros en GearBest con el código GBM9LITE2.
  • Unidad SSD SanDIsk Extreme 500 GB: en formato M.2 NVMe, capacidad de medio terabyte, velocidades escandalosas de hasta 3.400 MB/S. Está a 109,99 euros en Amazon (132 en PCComp).
  • Teclado con trackpad Logitech 920: un teclado QWERTY español inalámbrico perfecto para el PC de salón, por ejemplo, color blanco, está a 20,1 euros en Amazon UK, envío incluido.
  • Auriculares Sony MDR-1AM2: auriculares con sonido de alta resolución, con cable desplegable, circumaurales, color negro (también blanco), están a 118 euros en Amazon Francia, envío incluido (en Amazon.es cuestan 170).
  • Acer Aspire 3: un 15,6? FullHD muy majo con un AMD Ryzen 7 2700U, 8 GB de RAM, 128 GB de SSD, 1 TB HDD, Radeon RX Vega 10 Graphics, Windows 10 Home, teclado español, está a 479,99 euros en Amazon. Promete, desde luego.
  • Reloj cuantificador Amazfit GTR: el modelo de 47 mm de esfera, versión internacional, acero inoxidable, batería 25 días, sumergible 5 ATM, GPS, CLONASS, 5 modos deportivos, pantalla AMOLED, notificaciones. Está a 138,63 euros en AliExpress
  • Portátil HP Pavilion 15: un 15,6 pulgadas que mola por el nuevo procesador Core i5-9300H, 8 GB de RAM, 1 TB de HDD + 128 GB de SSD, y una GeForce GTX 1050 para jugar. Teclado español, viene sin Windows. Está a 599,99 euros en Amazon.
  • Amazon Fire TV Stick: el competidor del Chromecast tiene su propio mando a distancia y permite reproducir en tu tele todo lo que tengas en tu tableta o móvil. Fantástico por 29,99 euros en Amazon, baja un 25%.
  • Tablet Amazon Fire 7: la renovada tableta de Amazon con mejor procesador y sobre todo con el doble de capacidad que el modelo de 2017. La versión de 16 GB (ampliable vía microSD) está a tan solo 69,99 euros en Amazon.
  • Báscula Xiaomi Mi Smart Scale 2: estupenda para monitorizar el peso de varias personas, versión renovada, Bluetooh 5.0, está a 19,99 euros en Amazon
  • Auriculares inalámbricos Xiaomi AirDots TWS: los competidores de los AirPods de Apple con Bluetooth 5.0, 4 horas de autonomía y 12 más en el estuche, control táctil. Están a 15,6 euros en GearBest con el código GBREDMI189, dos años de garantía en España.
  • Patinete eléctrico Xiaomi Mi M365: un scooter ya clásico con 30 km de autonomía, 25 km/h de velocidad, frenos de disco, neumáticos de aire, en 5 días máx en casa. Está a 290,12 euros en Banggood con el código BGMI365CN19
  • OPPO Find X: pantalla de 6,42 sin marcos, Snapdragon 845, 8 Gb de RAM, 256 GB capacidad (uauh), cámara trasera motorizada 16+20 MP, cámara frontal 25 MP, 3730 mAh, carga super VOOC, estupendo a 509 euros en Amazon (baja de 999). Es la versión china, pero se puede poner en español.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

7 comentarios en “Adivinar tu contraseña nunca fue más fácil

  1. Steam también usa un sistema de seguridad, la primera vez que se inicia sesión con nuestra cuenta en algún servicio (con nuestra usuario y contraseña) se nos envía al correo electrónico un código que nos pedirá para seguir usando la aplicación, si no lo tenemos no podemos hacer nada. Igualmente con unos cuantos clicks podemos deshacer todos los permisos para que se tengan que volver a identificar los ordenadores que están conectados, a mi me parece muy práctico.

  2. Nacho dice:

    La UNICA forma de proteccion es el CAMBIO de las contraseñas cada poco tiempo. Si alguien consigue la hash, no importara q la utilicen y averiguen la contraseña siempre q nosotros la hayamos cambiado cuando quieran utilizarla. Asi de sencillo, y a la vez asi de incomodo. 🙂

  3. Pingback: ¿La solución a las contraseñas? Nada de contraseñas | Incognitosis

Comentarios cerrados