En varias ocasiones hemos recordado la necesidad de usar diferentes credenciales de acceso para los diferentes servicios web que usamos. Pensémoslo por un instante. Diariamente accedemos a revisar nuestro correo web, vemos que han hecho nuestros contactos en Facebook o Twitter y accedemos a algún foro o pagina web en la que estamos registrado. Muchos usuarios piensan que es complicado recordar todas las credenciales de acceso para todos estos servicios por lo que optan por crear solo un usuario y contraseña para todos ellos. Sin embargo esto es arriesgado puesto que, con que tan solo uno de los sitios web en los que estamos registrados se vea comprometido, el resto de nuestras cuentas de acceso se verán vulneradas igualmente.
Puede parecer que esta situación es difícil que se produzca, pero solo este fin de semana hemos visto dos casos graves de filtraciones de datos y que comprometen las credenciales de acceso de miles de usuarios. Tanto el proveedor de servicios de correo electrónico de McDonald’s, encargado del envío de correos promocionales de esta empresa, como el grupo Gawker (poseedora, entre otras de las webs Kotaku y Gizmodo) han sufrido sendos fallos de seguridad que han revelado datos de sus usuarios.
El caso más grave es el de Gawker puesto que se accedió al código fuente de su web y se consiguió sustraer las credenciales de acceso de más de un millón de sus usuarios. A pesar de que en un primer momento, desde la empresa se aseguró que no se había conseguido extraer información de los usuarios y esta se encontraba cifrada, la realidad es que esta información ya está disponible en multitud de sitios en texto plano.
Los primeros efectos de esta filtración de datos no se han hecho esperar y ya se han podido observar los primeros casos de cuentas de Twitter que han visto como se empieza a enviar spam sin permiso del usuario. Al principio se pensó que había aparecido un nuevo gusano en esta red social pero varios investigadores apuntan a que, muy probablemente, los usuarios que han visto como su twitter enviaba mensajes no autorizados, compartan las credenciales de acceso tanto en las webs del grupo Gawker como en Twitter. Es muy probable que esta y otras campañas de spam y enlaces maliciosos se extiendan por otras redes sociales como puedan ser, por ejemplo, Facebook.
Este ejemplo que acabamos de comentar es solo una muestra de lo que puede suceder si compartimos nuestras credenciales en varios servicios webs y uno de ellos se ve comprometido. Hay otros como la suplantación de identidad que pueden hacer aun mas daño al usuario que los sufra. Por eso, desde el laboratorio de ESET en Ontinet.com, recomendamos crear usuarios y contraseñas diferentes para cada servicio y, si nos resulta difícil memorizarlas, siempre podemos usar uno de los múltiples gestores de contraseñas gratuitos que existen para facilitarnos esa tarea.
Josep Albors