El fallo de seguridad Heartbleed afectó a dos tercios de internet. El fallo permitía a los atacantes robar nombres de usuario y contraseñas. Incluso servicios populares como Google y Yahoo! se vieron afectados, aunque desde entonces han solucionado la vulnerabilidad.
Aunque no se puede evitar que los hackers ataquen sitios web, puedes tomar medidas para proteger tu información. La primera línea de defensa es crear contraseñas seguras y únicas para cada sitio y cada servicio que utilices. El problema es, ¿cómo se supone que vas a recordarlas todas? La respuesta es con un gestor de contraseñas.
¿Qué es un gestor de contraseñas?
Los gestores de contraseñas son programas que generan, almacenan, y cifran todas tus contraseñas. Tú sólo tendrás que recordar una contraseña maestra para entrar en tu base de datos de contraseñas.
Al crear contraseñas únicas y al azar con letras, números y símbolos, evitarás comprometer todas tus cuentas si te roban la contraseña . Si entran en tu cuenta de Facebook , el hacker puede acceder fácilmente a tus otras cuentas que utilizan la misma contraseña.
Las contraseñas débiles con sólo letras y números son vulnerables a los ataques de fuerza bruta. Las contraseñas cortas hacen que estos tipos de ataques sean aún más fáciles.
Aplicaciones como 1Password y LastPass son excelentes opciones y actúan como mucho más que un simple gestor de contraseñas: pueden almacenar documentos importantes, información de la tarjeta de crédito, e incluso las licencias de software.
Pero, ¿qué pasa si alguien roba mi contraseña maestra?
Esto es altamente improbable, y los gestores de contraseñas hacen que resulte difícil para los atacantes descifrar la contraseña maestra. Hemos hablado con Jeffrey Goldberg, Defensor contra las Artes Oscuras (este es su cargo, de verdad) de 1Password, acerca de cómo la aplicación protege las contraseñas maestras: “Tus datos de 1Password están cifrados con claves derivadas de la contraseña maestra.” nos comenta Goldberg. “Nadie tiene acceso a las claves o a la contraseña maestra. Si alguien captura tus datos de 1Password, no pueden descifrarlos sin la contraseña maestra.”
Lo mismo ocurre con LastPass. Aunque sincroniza tu base de datos de contraseñas con sus servidores, no envía ni almacena ninguna clave de cifrado. Todas las claves de cifrado se derivan de la contraseña maestra y se almacenan de forma local en tu ordenador o dispositivo.
“Usamos SSL sólo como un segundo nivel de protección. Nuestra principal protección consiste en almacenar las claves localmente”, dice Joe Siegrist gerente general de LastPass.
¿Realmente es necesario cambiar todas mis contraseñas ?
En primer lugar, comprueba si alguno de los servicios online que usas se vio afectado por Heartbleed y asegúrate de que ha solucionado el problema. Mashable tiene una extensa lista de sitios populares y sus reacciones a Heartbleed. Asegúrate de que el sitio ha arreglado el fallo Heartbleed antes de cambiar la contraseña, de lo contrario te arriesgas a que tu nueva contraseña esté igualmente expuesta. Aunque ha habido informes de que puede que se haya exagerado sobre Heartbleed, no hay nada de malo en ser un poco paranoico…
Cloudflare, una red de entrega de contenido, propuso un desafío consistente en robar claves privadas mediante un sitio con el fallo Heartbleed . En cuestión de horas, varias personas consiguieron usar el fallo para robar claves de cifrado privadas, lo que significa que la amenaza es muy real.
“[Heartbleed] no fue una exageración”, afirma Siegrist. “Cloudflare ha demostrado que es aprovechable. Es muy posible que se hayan robado nombres de usuario y contraseñas.”
Cambiar las contraseñas con un gestor de contraseñas es fácil, ya que las aplicaciones recordarán las contraseñas y las almacenarán para ti. LastPass, hace que sea aún más fácil alertando a los usuarios sobre qué sitios y cuentas son vulnerables al fallo Heartbleed. Tienen una página web pública en la que se pueden escribir las direcciones URL para comprobar si se han visto afectadas.
Si bien no hay herramientas de automatización, tanto 1Password como LastPass, están trabajando en esta función.
“Tienes que buscar el formulario de cambio de contraseña y, a continuación, dejar que 1Password te ayude a crear y guardar un nuevo inicio de sesión fuerte. Mejorar este proceso es algo que siempre estamos haciendo”, dijo Goldberg.
Aún así, un poco de trabajo ahora puede prevenir un dolor de cabeza en el futuro.
¿Qué más puedo hacer para protegerme?
Activar un gestor de contraseñas es el primer paso que debes tomar para proteger tus cuentas. Presta atención a las noticias sobre seguridad y ten cuidado con las páginas web que visitas.
Los ataques de phishing, páginas web hechas para engañar a los usuarios haciéndoles creer que son otras páginas, son una forma muy popular de robar los datos del usuario. Nunca hagas clic en enlaces sospechosos recibidos a través del correo electrónico o chat.
Los gestores de contraseñas pueden ayudar en este sentido llevando a los usuarios directamente al sitio correcto. A veces, el más pequeño error en una dirección web te puede llevar a un sitio web de phishing, y es posible que no se note.
“La gente debería tratar de tomar las advertencias de SSL/TLS en sus navegadores más en serio”, dice Goldberg. El candado en la barra de la URL en los navegadores modernos muestra que los sitios son legítimos y están utilizando el cifrado. La mayoría de los navegadores te advertirán si estás visitando un sitio peligroso, pero estar atento no duele.
Conviene también permitir la doble autentificación en las páginas y servicios que la soporten. La doble autentificación requiere básicamente dos formas de identificación: una contraseña y un código generado aleatoriamente. Una vez que introduzcas la contraseña, se te pedirá que proporciones un código aleatorio, que puedes recibir por SMS o a través de una aplicación de autentificación como Google Authenticator. Los códigos sólo funcionan durante un corto espacio de tiempo antes de caducar.
Facebook, Google, Twitter, Evernote, y muchas otras compañías proporcionan esta capa adicional de seguridad. Puede que cueste un poco más entrar en tu cuenta, pero vale la pena, para mantener tus cuentas seguras.
Por último, asegúrate de mantener todos los equipos, teléfonos y tabletas actualizados. Los fallos de seguridad se suelen arreglar en las actualizaciones de sistema y de software.
Aplicaciones como avast! alertan a los usuarios de software anticuado. Softonic para Windows también ayuda a los usuarios a mantener sus aplicaciones actualizadas .
Para obtener más información acerca de Heartbleed y de qué puedes hacer para protegerte, comprueba la información que ofrecemos a continuación.
Lastpass:
- Descargar LastPass para Windows
- Descargar LastPass para Mac
- Descargar LastPass para Windows 8
- Descargar LastPass para Windows Phone
1Password:
- Descargar 1Password para Windows
- Descargar 1Password para Mac
- Descargar 1Password para iOS
- Descargar 1Password para Android
MÁS SOBRE HEARTBLEED
- “Heartbleed” fallo de seguridad deja a la mayoría de la web vulnerable
- Heartbleed: cinco pasos para proteger tus cuentas
- El Minuto Softonic: Heartbleed, Twitter, Facebook y Windows XP
Artículo original de Softonic EN. Adaptado del inglés.
