Seguramente, dentro de nuestro círculo de amigos, conocidos o compañeros de trabajo, conozcamos a alguien que utiliza la misma contraseña para todos los servicios en los que está registrado, mantiene un mismo patrón que se repite o utiliza alguna palabra demasiado obvia (como el nombre de su perro). El usuario es, realmente, la última línea de defensa que evita que alguien con no muy buenas intenciones intente suplantarle en Facebook, Twitter o LinkedIn. Precisamente, en LinkedIn, una de las redes sociales profesionales más conocidas, están pasando un día algo complicado tras conocerse que en un foro de Rusia se han publicado más de 6 millones de contraseñas de usuarios del servicio.
Según parece, un usuario de un foro ruso había lanzado una pregunta al resto de usuarios para ver si le podían ayudar a poner en claro casi seis millones y medio de contraseñas que, afortunadamente para los usuarios cuyas credenciales han vulnerado, por ahora, se encuentran cifradas mediante el algoritmo SHA-1. Sin embargo, según un experto en seguridad consultado por el medio noruego Dagensit, el método de cifrado utilizado puede vulnerarse y, por tanto, existe riesgo de que este buen número de usuarios sufra una suplantación de identidad (según algunos medios unas 300.000 son contraseñas muy débiles y, seguramente, hayan sido ya descifradas) en el peor de los casos.
¿Y dónde está la conexión entre las cuentas y LinkedIn? Según parece, tras descifrar algunas de las contraseñas habría aparecido la cadena "LinkedIn" en algunas de ellas y eso sería lo que ha hecho poner el foco en esta red social. Lógicamente, LinkedIn se ha puesto manos a la obra y ha comentado a través de su perfil en Twitter que está sobre el asunto y que informará en cuanto sepan algo.
Our team is currently looking into reports of stolen passwords. Stay tuned for more.
— LinkedIn (@LinkedIn) junio 6, 2012
Our team continues to investigate, but at this time, we're still unable to confirm that any security breach has occurred. Stay tuned here.
— LinkedIn (@LinkedIn) junio 6, 2012
La verdad es que el asunto es bastante delicado porque el mal uso de una cuenta de LinkedIn, que es una red social profesional, podría afectar muy negativamente a los usuarios afectados y perjudicar a su carrera profesional (por muchas explicaciones que posteriormente se intenten dar sobre el tema). ¿Y cómo ha podido alguien hacerse con este listado de contraseñas? Esa es una de las preguntas que muchos nos estamos haciendo en estos momentos y, seguramente, sea uno de los asuntos que estén analizando ahora mismo en la compañía y del que deberían dar explicaciones (porque no es el primer incidente de seguridad que tienen).
¿Qué hacer? Según se ha podido saber, la única información publicada hasta ahora son las contraseñas y no el nombre de los usuarios, lo cual no significa que no lo tengan y que las cuentas no estén en riesgo. Si eres usuario del servicio y tu contraseña es insegura, vale la pena invertir unos minutos en cambiarla por una algo más complicada y así minimizar cualquier tipo de riesgo mientras el asunto se aclara.
Tras ver como hace apenas unas semanas se publicaban las credenciales de 55.000 usuarios de Twitter, hackearon hace unos meses la cuenta en Twitter de la NBC y retransmitieron un falso atentado o incluso han llegado a suplantar a Mark Zuckerberg en su propia red social, mantener contraseñas seguras y cambiarlas periódicamente es una buena forma de ponérselo algo más complicado a los que pretenden robar nuestras cuentas.
Actualización: LinkedIn ha publicado un comunicado en su blog en el que confirman que entre los 6 millones de contraseñas que se han publicado se encuentran, efectivamente, contraseñas de usuarios del servicio. Si bien siguen investigando las causas de esta tremenda filtración, han tomado una serie de medidas de emergencia para mitigar cualquier posible efecto.
Se les ha bloqueado la cuenta a los usuarios identificados dentro del listado de contraseñas comprometidas con la idea de forzar el cambio a una contraseña nueva. Los afectados recibirán un correo electrónico indicando que deben cambiar la contraseña y cómo deben hacerlo (puesto que no se incluirá ningún tipo de enlace para evitar cualquier resquicio que pueda dar lugar a un ataque de Phishing). Además, el servicio de atención al cliente de LinkedIn les enviará otro correo electrónico con más información sobre todo lo que ha pasado y se les reiterará que deben cambiar su contraseña.
De todas formas, este plan de choque no deja de ser eso, un plan rápido para mitigar posibles consecuencias pero, bajo mi punto de vista, lo realmente importante de toda esta situación es conocer las causas que han llevado a que alguien pueda publicar en un foro más de 6 millones de contraseñas de una red social profesional como LinkedIn con la idea de preguntar a otros usuarios cómo puede descifrar las contraseñas. Si sumamos este hecho a algunos agujeros encontrados en la aplicación para iOS, parece que la seguridad es uno de los temas urgentes que deberían ser tratados por LinkedIn con bastante celeridad.