Como evitar que te roben tus cuentas ¡ahora con 100% más Heartbleed!

El lunes pasado se dio a conocer una vulnerabilidad que afecta a un buen número de servidores en internet, originalmente se dijo que eran dos tercios, pero en realidad es más bien alrededor del 15% de todos los servidores en internet, lo cual sigue siendo alto pero no taaaan catastrófico.

Foto de https://www.flickr.com/photos/allstar/415273045

Así, pero más sanguinoliento. Foto de Allstar

Hay también mucha información alarmista sobre Heartbleed, pero si bien el riesgo no es tan alto como se escucha por todos lados sí existe y sí es necesario protegerse.

Muchos servicios populares están afectados, como Yahoo! y Flickr, Wunderlist, algunos servicios de Google, etc. Sin embargo, en vez de andar corriendo gritando que el mundo se va a acabar es mejor aprovechar este momento para adoptar buenas prácticas de seguridad.

¿Qué significa esto para ti como usuario? Bueno, el mayor peligro que puede haber es que alguien robe los certificados de autenticidad de un servidor y se pueda hacer pasar por, por ejemplo, tu banco, y te engañe para obtener tus datos y contraseñas. Normalmente uno se fijaría en el candadito que aparece junto a la dirección en el navegador y por lo general se emite una alerta que diría que el servidor podría no ser verdadero. Pero si se roban los certificados no habrá alerta y el candadito aparecerá indicando que todo es seguro.

Otro riesgo que te afectaría más directamente es que se puedan robar tu contraseña si está activa en la memoria del servidor. Esto hace que sea muy importante cambiar tus contraseñas en cuanto los servicios que usas tapen la vulnerabilidad, hacerlo antes no tendría caso.

Estos son pasos que debes seguir si quieres minimizar tu riesgo:

1. Utiliza un administrador de contraseñas. Lo mejor es tener una contraseña larga y difícil de adivinar para cada cosa. Y lo mejor para esto es contar con un programa que invente y administre estas contraseñas. Los mejores son LastPass, KeePass y 1Password. Con esto podrás crear contraseñas complicadas y no tendrás necesidad de recordarlas porque el programa lo hará por ti.

2. Utiliza la autentificación de dos pasos. Si el servicio cuenta con esta opción actívala. Cuando quieras entrar a tu cuenta desde una computadora desconocida te mandarán una clave a tu celular y tiene que coincidir tanto la contraseña como la clave. Si alguien logra robar o adivinar tu contraseña, aún así les hará falta el celular para recibir la clave.

3. No hagas click en ligas que lleguen por correo o cualquier otro medio. Ni siquiera cosas que tus amigos te manden por Whatsapp sin verificar con ellos que efectivamente es algo que te quieren mandar. Esta regla ya se la debería saber todo mundo, pero me encuentro con cada cosa.

4. No le piques a todo en Facebook. Aparece en tu muro un video que promete ser muy divertido, o impactante, o con una vieja en cueros y tú le aprietas para verlo, luego te aparecen unas cosas que debes aceptar para poder ver el video y lo aceptas. Ahora tienes una aplicación en Facebook que tiene permiso para ver una buena parte de tu información personal y otras actividades tuyas. Aunque Facebook es cuidadoso en no revelar demasiado esta información puede ser usada después para sonsacarte más cosas por otros medios.

El problema es grave pero se está arreglando. El parche salió el mismo día que se hizo el anuncio, de hecho conocían la vulnerabilidad desde antes pero no la anunciaron hasta tener el parche. Ahora es cuestión que cada servidor lo aplique. Mantente atento a los correos de los servicios que usas y cuando te avisen que ya aplicaron el parche mete su dirección directo en tu navegador (no hagas click en ligas), entra a tu cuenta y cambia tu contraseña.

El curioso incidente del dominio en la noche: Maestros del Web hackeado

Sucede que una noche de febrero a Christian Van Der Henst le robaron una cosa muy apreciada: su clave de identificación ante su registrador de dominio.

La manera en que se lo robaron aún no está muy clara. Hay quien dice que fue ingeniería social (o sea, lo agarraron en la pendeja, le aplicaron la juvenil), otros que fue abuso de confianza, pero hasta el momento nadie sabe como fue y hasta que Christian lo explique pues no se va a saber bien.

El caso es que una vez hechos con esta información los ladrones cambiaron los DNS del dominio y lo apuntaron a otro lado. Me sorprende el hecho de que la página a la que lo redirigieron no contuviera ni anuncios, ni virus ocultos ni hacks. Esto a lo mejor porque los ladrones no tenían intención de hacer más mal o a lo mejor porque ni ellos se la creyeron que les fuera a salir tan bien el plan. Más tarde aprovecharon el hecho que su cuenta de correo de seguridad estaba en ese dominio para robarse su cuena de gmail y de facebook. Trataron de robarse su cuenta de alojamiento (lo cual hubiera convertido esto de tragedia a catástrofe) pero el servidor de dominio sospechó y negó la transferencia.

El asunto no hubiera pasado a mayores, se hubiera perdido entre los cientos o miles de casos de dominios robados, de no haber sido porque dos de esos dominios son maestrosdelweb.com y forosdelweb.com, dos de los sitios más populares entre la comunidad webícola de habla hispana con miles de visitantes. El mismo Christian tiene miles de seguidores en su cuenta de twitter que fue donde dio a conocer este hecho. Inmediatamente las huestes twitteras se unieron y al grito de “teclados unidos jamás serán vencidos” se lanzaron a una campaña pidiendo a GoDaddy que regresaran el control de esos dominios Christian.

GoDaddy finalmente accedió y en vez de tardar meses, como generalmente sucede en este tipo de casos, resolvió en aproximadamente un día y devolvió estos dominios a su legítimo dueño.

Todo muy bien, final feliz, ya nos podemos ir a nuestras casas porque el mundo está finalmente en paz. ¡Bye! Nos vemos a la siguiente.

NOOOOO. ¿Qué les pasa? ¿Están idiotas, borrachos, drogados o qué? ¿No se dan cuenta que si bien el caso de Christian terminó bien si hubieran sido ustedes o un servidor los afectados, las cosas no hubieran terminado igual? ¿Acaso créen que sería la misma avalancha de twits solidarios a su favor?

No. El caso de Maestros del Web es muy especial, por su importancia y por el número de personas que dependen de él. A la mayoría de nosotros nos pueden robar el dominio, la cartera y hasta la cara y a los demás les valdría un pedo aguado lo que nos pasara. La lección que debemos tomar es que no hay nadie invulnerable, a todos nos puede pasar y probablemente algún día nos pase.

¿Ya se preguntaron ustedes qué harían en ese caso? ¿Cómo protegerían el resto de sus cuentas? ¿Pueden cambiar contraseñas de inmediato? ¿Su cuenta de correo de seguridad está bien resguardada? A muchos se les ha criticado de querer llevar agua a su molino a raíz de este caso, y si bien tal vez pueda parecer de mal gusto, razón no les falta. En internet nada es seguro y necesitamos tener un buen plan de contingencia en contra de robo de identidad o de hackeo de cuentas.

Mientras más cosas guardamos en línea, mientras más visibles somos, mayor peligro corremos. Abuzados.