Tecnología

Adivinar tu contraseña nunca fue más fácil

·

Mi trabajo como Director Técnico en TPNet hace que tenga que ocupar buena parte de mi tiempo en intentar que todo funcione como debe en nuestros servidores, y que todos nuestros sitios web sean estables, rápidos, y, atención, seguros. Leo mucho, investigo, pruebo exploits y monitorizo nuestros servidores tanto para comprobar su carga como para saber si hay algo sospechoso, y lo hago con frecuencia, sobre todo teniendo en cuenta que la actualización tanto de WordPress -CMS que usamos masivamente- como sus plugins (y de los componentes que monto en los servidores, todos con Linux) es crucial para estar lo más tranquilos posible.

Pero no estoy tranquilo casi nunca, y ya hemos vivido unas cuantas situaciones bastante agobiantes con ataques que afortunadamente logramos atajar para seguir camino. Nadie está exento de que le toquen las narices esos usuarios que por un motivo o por otro (normalmente dinero, pero en ocasiones simple diversión) atacan todo tipo de sitios web y servidores. Los backups que se hacen a diario permiten salir del paso en caso de un incidente grave, pero aún así ese peligro está presente, y molesta e inquieta. Y a quien como yo esté en el pellejo de un sysadmin, más.

Uno de los problemas esenciales no solo de un sysadmin sino de cualquier usuario es la gestión de contraseñas, en la que hay que ser especialmente cuidadoso. Confieso que yo cometo el error de usar la misma contraseña para algunos servicios, pero solo aquellos que son irrelevantes y que uso de forma ocasional o que pruebo temporalmente. Para servicios importantes tengo varias y por ejemplo en mi cuenta de Google activé hace tiempo la verificación en dos pasos, que hasta no hace mucho me daba mucha tranquilidad. Cosas como esta preocupan porque ponen en tela de juicio un sistema de seguridad de este tipo (si te hackean así ya es porque te tienen muchas ganas) , pero lo malo es que el sistema de verificación en dos pasos de Google solo lo tiene Google. Nadie más lo implementa, aunque hay formas de que uno mismo lo implemente en sus servicios (hay empresas como DuoSecurity que mandan SMS con verificación, aunque cada mensaje cuesta pasta). Así pues, hay que tener mucho cuidado con las contraseñas.

Hay todo tipo de documentos en Internet que recomiendan diversas formas de guardar las contraseñas. Que si usar frases largas (20 o más caracteres), que si usar todos los símbolos posibles que se te ocurran, etc. Chicos, me temo que todo eso es muy bonito, pero da igual, porque en muchos casos la seguridad no sólo depende de la elección de la contraseña que hayáis hecho: también depende del sistema que tenga la empresa donde os registráis para guardar esa contraseña. Por poneros un ejemplo, la reciente ruptura de 6,4 millones de contraseñas en LinkedIn fue escandalosa, pero lo fue más el descubrimiento de que ellos protegían sus contraseñas (convirtiéndolas en hashes) con la función criptográfica SHA-1. Error, porque esa función no estaba diseñada para ser segura, sino rápida. Eso permitió que un experto en seguridad obtuviera el 90% de las claves de esas cuentas en, atención, 6 días, y con un equipo potente (con cuatro tarjetas AMD Radeon HD6990) pero que cualquiera podría montarse por poco dinero.

Lo cuentan todo en un brillante pero inquietante artículo en Ars Technica que me he leído de cabo a rabo con mucho interés porque es de lo mejorcito que he encontrado en los últimos tiempos. Un reportaje ejemplar: profundo, con bastantes detalles técnicos y con muchos enlaces más que interesantes, como el del servicio CloudCracker, que en 20 minutos (y por la módica cantidad de 17 dólares) te mandará la contraseña de una red WiFi WPA/WPA2 una vez les mandes el ficherito del handshake que puedes obtener en dos patadas. Terrible.

La conclusión de Ars Technica es la que os adelantaba yo: podéis elegir la contraseña más chunga del mundo, pero si al otro lado alguien genera el hash con una función criptográfica débil y alguien logra el fichero de hashes, estáis apañaos.  ¿La solución? Bueno, en Ars recomiendan el uso de herramientas cada vez más populares como 1Password o PasswordSafe que autogeneran contraseñas aleatorias, largas y complejas para cada servicio que usamos, y las guardan en un fichero cifrado de forma muy segura (no con el SHA-1 de marras) que únicamente se desbloquea con una contraseña maestra (que sí debéis recordar, y que conviene que sea lo más larga y segura que podáis). A lo cual yo añado eso en lo que insistí hace poco.

Haced putos backups. Y hacedlos ya.


Incognichollos

Esta es una selección con las mejores ofertas tecnológicas actualizadas casi diariamente, como expliqué aquí. Aunque estés en un post «antiguo» las ofertas son de última hora, los Incognichollos los actualizo aparte. También puedes seguir los Incognichollos en Twitter o en el nuevo canal de Telegram 🙂 . ¡Aprovecha, que no suelen durar mucho tiempo!

  • MSI Modern 14: un portátil de 14 pulgadas FullHD con un Core i5-10210U, 8 GB de RAM, 512 GB de SSD, una GeForce MX250, sin SO ( (licencia de Windows 10 está a 1,23 euros en eBay con código PARATODO5). Teclado en español, está a 799,99 euros en Amazon. El mejor portátil del día y del mes
  • Canon PowerShot G5 X: una cámara compacta con sensor de 20,2 MP f/1.8-2.8, pantalla de 3 pulgadas, zoom óptico 4,2 X, estabilizador digital, vídeo Full HD a 60 FPS, muy recomendada. Está a 461,95 euros en Amazon (baja de 750).
  • OnePlus 7 Pro: 6,67? a 90 Hz gloriosos, Snapdragon 855, 6 GB de RAM, 128 GB capacidad, cámara triple 48+16+8 MP, cámara frontal 16 MP retráctil, lector bajo pantalla, 4.000 mAh, espectacular a 478,80 euros en eBay con el código PARATODO5.
  • Licencia Windows 10 Pro 32/64 bits: una licencia para poder activar Windows 10 Pro, está a 1,23 euros en eBay con el código PARATODO5.
  • Xiaomi Mi 9T Pro: Snapdragon 855. 6,39 pulgadas, 6 GB de RAM, 128 GB capacidad, cámara de 48+13+8 MP, 4000 mAh, NFC, lector de huella en pantalla. Está a 381,65 euros en Amazon (baja de 449).
  • Altavoces Edifier Studio R1280T: sistema de altavoces estéreo con potencia de 42 W, entradas RCA y minijack, color marrón, sensibilidad de 85 dB, incluye mando a distancia. Están a 74,37 euros en Amazon (baja de 89,80).
  • Xbox One X: la consola más potente de Microsoft con soporte 4K HDR, 1 TB de capacidad, un mando inalámbrico, unidad óptica, está a 304,90 euros en Amazon.
  • Nest Learning: termostato inteligente de 3ª generación, color negro, programación inteligente para ahorrar energía, compatible con app de iOS y Android, está a 180,98 euros en Amazon (baja de 219).
  • Philips 6700 Series UPPUS6754: una televisión de 50 pulgadas 4K Ultra HD con dos altavoces 20 W, soporte Dolby Atmos, HDR Plus, y la iluminación Ambilight que siempre da un toque muy chulo. Está a 395 euros en Amazon (baja de 479).
  • Drone Star Wars Propel Speeder Bike: un dron muy gracioso porque parece el speeder de una de las pelis, edición especial incluso con caja perfecta, está a 39,99 euros en Amazon (baja de 80).
  • Asus R521FA-EJ545: un portátil de 15,6 pulgadas FullHD con un Core i7-8565U, 8 GB de RAM, 512 GB de SSD, diseño casi sin marcos, teclado en español, sin sistema operativo, peso de 1,8 kg, está a 549,99 euros en Amazon.
  • ASUS ZenBook 14 UX433FA: un modelo más avanzado de 14 pulgadas Full HD con marcos aún más finos, Core i7-8565U, 8 GB de RAM, 256 GB de SSD, 1,4 kg de peso, touchpad que dobla como teclado numérico, está a 849 euros en Amazon (en PcComp 999).
  • Lápices AmazonBasics: pack de nada menos que 150 lápices 2 HB de madera, afilados, y con goma de borrar. A dibujar y escribir sin fin. Están a 15,09 euros en Amazon.
  • Apple iPhone XR: el modelo con pantalla Liquid Retina de 6,1 pulgadas, CPU Apple A12 Bionic, Face ID, 3 GB de RAM, 64 GB de capacidad, cámara de 12 Mpíxeles, está a 569 euros en AliExpress Plaza (envío desde España) con el código ALIAHORRA70 (en Amazon sale por 709 euros).
  • Devolo Magic 1 LAN: un kit Powerline para conectarse a internet vía la red eléctrica, hasta 1200 Mbps de transferencia, perfecto para evitar cortes de cobertura WiFi, incluye dos adaptadores con conector Ethernet RJ45. Está a 59,97 euros en Amazon (baja de 120).
  • Olla de cocción lenta Crock-Pot: con dos niveles de potencia, función para mantener la comida caliente, fácil desmontaje y limpieza, 3,5 litros de capacidad, está a 32,99 euros en Amazon (baja de 69,90).
  • Amazon Echo (3ª Gen): nuevo altavoz inteligente de Amazon con Alexa, sonido mejorado, está a 74,99 euros en Amazon (baja de 99,99).
  • Philips 24PFS5863/12: una Smart TV de 24 pulgadas Full HD compactita pero simpática sobre todo por esa diagonal y por la presencia de ese estupendo altavoz en la parte inferior. Perfecta para espacios más pequeños, está a 180,98 euros en Amazon (baja de 299).
  • Microsoft Office 2019 Pro Plus: la suite ofimática con las últimas versiones de Word, Excel o PowerPoint, licencia de por vida, se manda por email con instrucciones de descarga. Está a 6,34 euros en Amazon.
  • Samsung Galaxy S10: el modelo G9730 Dual SIM con el Exynos 9820, 8 GB de RAM, 128 GB de capacidad ampliables, cámara triple (16+12+12), 3.400 mAh, lector de huella bajo pantalla. Estupendo por 612,04 euros en Amazon (baja de 909).
  • Samsung 55RU7475: una Smart TV de 2019 con 55 pulgadas de diagonal, resolución 4K UHD, HDR10+, Dynamic Crystal Color, One Remote Control, audio Dolby Digital Plus 20 W, 3xHDMI, 2xUSB, Ethernet, audio óptica. Está a 519,81 euros en Amazon (baja de 849).
  • Amazfit Verge Lite Smartwatch: un reloj cuantificador con pantalla AMOLED de 1,3?, monitoriza 7 deportes distintos, GPS/GLONASS, sensor de ritmo cardiaco, IP68, batería de 390 mAh, hasta 20 días de autonomía. Está a 79 euros en Amazon (120 en PcComp).
  • Cable 3 en 1 Multicarga: de USB a USB-C, Lightning y MicroUSB para poder elegir el extremo que más os guste y tener siempre un cable preparado para cargar todo tipo de móviles. Está a 4,39 euros en Amazon (baja de 7).
  • Xiaomi Redmibook Ryzen Edition: atentos a este portátil de 14 pulgadas Full HD con un AMD Ryzen 7 3700U, 16 GB de RAM (uauh), 512 GB de SSD (muy bien), una GPU Radeon Vega 10 (mejor que la MX 250), 18 mm de grosor, 1,5 kg de peso, 2 x USB 3.0, 1 x USB 2.0, HDMI (pero no USB-C, lástima), batería de 46 W, Windows 10 y teclado retroiluminado en inglés. Está a 605 euros en Banggood con el código BGXMR7W.
  • Mini Proyector LED Excelvan: 4500 lúmenes, diagonales de hasta 200 pulgadas, resolución nativa de 1.280 x 768 (pero escala a 1080p), VGA, 2 x USB, AV, HDMI, salida de audio 3,5 mm, mando a distancia, altavoz integrado. Está a 69,99 euros en Amazon (baja de 169,99 euros, descuento al tramitar el pedido).
  • Xiaomi Redmi Note 8T: 6,3?, Snapdragon 665, 4 GB de RAM, 64 GB de capacidad, cámara cuádruple (48+8+2+2), 4.000 mAh, lector trasero, buena opción recién salida del horno. Está a 147,99 euros en eBay. Otra alternativa: 160,53 euros en Amazon (baja de 200).
  • Samsung UE65RU7025: una Smart TV 4K UHD enorme de 65 pulgadas con Ultra Dimming, HDR10+, One Remote Control, además de sonido Dolby Digital Plus con altavoces de 20W. Está a 511,70 euros en Amazon (baja de 694,81). Increíble.
  • Volante Hori Apex inalámbrico (PS4, PC): un volante para juegos de conducción, licencia oficial de Sony, se conecta vía Bluetooth, función de vibración, compatible con PS4 y PC. Está a 99,95 euros en Amazon (baja de 129,99).
  • Smartwatch Fossil 4ª gen: con correa de silicona, caja de 43 mm, GPS, resistencia al agua (sumergible, 3 ATM), Wear OS, notificaciones, miniaplicaciones, monitorización del ritmo cardiaco y de diversas actividades físicas. Está a 106 euros en Amazon Francia, envío incluido.
  • Repetidor WiFi Victure 300 Mbps: perfecto para ampliar la cobertura de tu red WiFi, banda de 2,4 GHz, compatible con WPS, puerto USB y RJ45 Ethernet, está a 11,99 euros en Amazon con el código VNAC7C56 (baja de 20).
  • Barra de sonido Soundcore Infini Pro: de la conocida Anker, con Subwoofers integrados, hasta 105 dB, modos de sonido personalizados, HDMI, HDMI ARC, óptica o sin cables con BT 5.0, soporte Dolby Atmos. Está a 192 euros en Amazon Francia, envío incluido (en Amazon España está a 280).
  • Chaqueta Chubasquero Helly Hansen Dubliner: muy pensada para actividades marítimas, bolsillos laterales, capucha plegable, forro ligero de secado rápido, está a 54,77 euros en Amazon (baja de 120).
  • Xiaomi Mi Note 10 Pro: 6,47?, Snapdragon 730G, 8 GB RAM, 26 GB de capacidad, cámara penta 108+20+12+5+macro, NFC, lector de huella en pantalla, minijack, 5.260 mAh, está a 496 euros en GearBest con el código GBNT10PRO1.
  • Enchufe inteligente WiFi: compatible con Google Home, Alexa, IFTTT, soporte de iOS y Android, con temporizador, sin necesidad de hubs, perfecto para desconectar y conectar luces, calefacción y otros aparatos a distancia. Está a 17,59 euros en Amazon (baja de 22).
  • Huawei P30 Lite: 6,15?, Kirin 710, 4 GB de RAM, 128 GB de capacidad, cámara triple (48+8+2), 3340 mAh, lector de huella trasero, NFC, minijack, está a 215,99 euros en eBay. Un poquito más caro en Amazon, donde lo tenéis a 235 euros.
  • Apple iPad 10,2 pulgadas (2019): la tableta de Apple con el chip A10 Fusion, cámara trasera de 8 MP, iPadOS, WiFi5, Facetime HD, soporta teclado y lápiz, está a 256 euros en eBay con el código PDESCUENTO10 (en Amazon 349 euros).
  • Unidad SSD Sabrent 512 GB: en formato M.2 NVMe 2280, espectacular con esa capacidad de 512 GB y con un precio de 79,98 euros en Amazon (baja de 102).
  • Pendrive Verbatim 64 GB: llave de memoria USB 3.0 con 64 GB por un precio estupendo, 7,99 euros en Amazon.
  • Lenovo Legion Y540: un portátil gaming fantástico. 15,6? Full HD, Core i7-9750H, 16 GB de RAM, 256 GB SSD, 1 TB HDD, una GTX 1650, teclado retroiluminado en español, sin Windows. Está a 949 euros en Amazon (baja de 1.199).
  • Mando Xbox + Adaptador inalámbrico: el mando de la Xbox One con el nuevo grip y conector de auricular, y además el adaptador inalámbrico para poder usarlo directamente en el PC sin cables. Estupendo a 44,95 euros en Amazon (baja de 69,99).
  • Sennheiser HD 4.50 Special Edition: auriculares inalámbricos con cancelación de ruido, Bluetooth 4.0 + aptX, micrófono integrado, cuenta con NFC, plegables, están a 94,99 euros en Amazon (baja de 179 euros).
  • Apple Watch Series 3: el reloj inteligente de Apple de hace un par de años sigue siendo gran opción, integra GPS, caja de 42 mm, color gris espacial, correa deportiva, chip S4 SiP, sensor de frecuencia cardiaca. Está a 259 euros en Amazon.
  • Xiaomi Mi A3: pantalla de 6,01?, Snapdragon 665, 4 GB de RAM, 64 GB de capacidad, cámara triple (48+8+2 MP), Android One (puro), lector de huella bajo pantalla, sin NFC, estupendo a 173 euros en Amazon.
  • Crucial BX500 960 GB: una unidad SSD de casi 1 TB de capacidad con conexión SATA, transferencias de hasta 560 MB/s, está a 97,99 euros en Amazon (baja de 108,89).
  • Samsung UE55RU7105KXXC: una Smart TV de 55 pulgadas 4K UHD con Ultra Dimming, HDR10+, procesador 4K, One Remote, soporte Apple TV integrado, soporte Alexa, 3 x HDMI, 2 x USB, Ethernet, está a 449 euros en PcComponentes
  • Huawei Matebook E: un convertible llamativo con pantalla de 12 pulgadas y resolución 2K (2.160×1.440), un Core i5-7Y54, 8 GB de RAM, 256 Gb de capacidad, 1xUSB-C, sensor de huella, está a 799 euros en PcComponentes.
  • Xiaomi Mi Mix 3: el súper teléfono sin marcos baja de precio: con pantalla de 6,39» deslizable para la cámara selfie y Snapdragon 845, 6 GB de RAM 128 GB de ROM y cámara dual 12+12. Estupenda opción, está a 289 euros en PcComponentes (¡en Amazon está a 352 euros!)
  • MSI GF63 Thin 9SC: un portátil gamer bastante majo de 15,6? Full HD con un Core i7-9750H, 16 GB de RAM (muy bien), 512 GB de SSD (mola), una GeForce GTX 1650 Max-Q de 4 GB, sin sistema operativo, teclado español. Está a 898 euros en Amazon (baja de 1.149).
  • Lenovo Smart Display: una pantalla inteligente de 10 pulgadas con el asistente de Google, puedes reproducir vídeos, encontrar recetas, videollamadas, controlar tu cas inteligente. Altavoz de 10W, WiFi, Bluetooth, está a 149,99 euros en PcComponentes (baja de 239,99).
  • Chuwi UBook Pro: tipo Surface Pro pero en modesto, con un Intel Celeron N4100, 8 GB de RAM, 256 GB de SSD, pantalla de 12,3 pulgadas (1920×1280), lápiz con 4096 niveles de presión, 760 g de peso. Está a 284 euros en Banggood con el código BG33aadd
  • ASUS TUF Gaming FX505DV: un portátil gaming con pantalla de 15,6? Full HD, Ryzen 7 3750H, 16 GB de RAM, 512 GB SSD, GeForce RTX 2060 (uauh), sin SO, teclado retroiluminado en español. En eBay está a 999 euros, rebaja simpática. Licencia de Windows 10 en eBay a 3,89 euros
  • HP Omen X Mindframe: unos auriculares distintos a todo lo que conocíais: tienen refrigeración para vuestras orejitas ? Además de iluminación RGB, sonido envolvente 7.1 virtual y cable con conector USB. Están a 99,99 euros en Amazon (bajan de 199,99).
  • ASUS Dual GeForce RTX 2070 EVO: con 8 GB de memoria GDDR6, una gráfica potente y que te permitirá jugar incluso a 4K. Estupenda a 479,90 euros en PcComponentes (en Amazon está a 507,92 euros)
  • Lenovo Ideapad 520-15IKB: un portátil de 15,6 » Full HD, Core i5-8250U, 8 GB de RAM, 1 TB de HDD, una GeForce MX150, Windows 10, teclado español y lector de huella, está a 549,99 euros en Amazon (baja de 699).
  • Lenovo Ideapad C340: un portátil convertible con pantalla de 14 pulgadas Full HD, un recién estrenado Core i7-1051U, 8 GB de RAM, 512 GB de SSD (bien), lector de huella, Windows 10 y teclado en español por 899,99 euros en Amazon
  • Samsung 50RU7405: una Smart TV 4K UHD de 50 pulgadas con Ultra Dimming, HDR10+, One Remote Control, soporte Apple TV y compatible con Alexa, además de sonido Dolby Digital Plus con altavoces de 20W. Está a 449 euros en Amazon (baja de 649).
  • Xiaomi Redmi Note 8: 6,53 pulgadas, Snapdragon 665, 4 GB de RAM, 64 GB de capacidad, cámara cuádruple (48+8+2+2) y 4.000 mAh de batería. En Amazon a 153,99 euros.

¿Quieres recibir un correo de aviso cuando publique nuevas entradas?

Standard

7 comentarios en “Adivinar tu contraseña nunca fue más fácil

  1. Steam también usa un sistema de seguridad, la primera vez que se inicia sesión con nuestra cuenta en algún servicio (con nuestra usuario y contraseña) se nos envía al correo electrónico un código que nos pedirá para seguir usando la aplicación, si no lo tenemos no podemos hacer nada. Igualmente con unos cuantos clicks podemos deshacer todos los permisos para que se tengan que volver a identificar los ordenadores que están conectados, a mi me parece muy práctico.

  2. Nacho dice:

    La UNICA forma de proteccion es el CAMBIO de las contraseñas cada poco tiempo. Si alguien consigue la hash, no importara q la utilicen y averiguen la contraseña siempre q nosotros la hayamos cambiado cuando quieran utilizarla. Asi de sencillo, y a la vez asi de incomodo. 🙂

  3. Pingback: ¿La solución a las contraseñas? Nada de contraseñas | Incognitosis

Comentarios cerrados