Dropbox fue hackeado en 2012 y se robaron casi 69 millones de cuentas de sus usuarios con sus contraseñas cifradas en diferentes mecanismos. No es la primera vez, ni será la última.
Los hacks masivos son ya comunes y, si nada cambia, serán parte de nuestro día a día los próximos años. Es posible que incluso aunque nuestras claves estén cifradas en las bases de datos de los servicios, los hackers puedan descifrarlas utilizando diferentes métodos. Todo depende del nivel de acceso que los hackers tuvieran a los servicios que comprometieron.
360 millones de cuentas de MySpace, 164 millones de LinkedIn, 152 de Adobe, 112 de Badoo, 93 de VKontakte, 65 de Tumblr, más de 30 millones de Ashley Madison, el servicio online para adúlteros en Norteamérica, y la lista sigue y sigue.
¿Cómo protegerte?
Es fácil… y difícil a la vez. Dividamos las protecciones en dos partes. La primera es poder saber cuándo nuestros datos están en peligro, y la segunda es saber si tus claves de acceso han sido descifradas y pueden ser utilizadas para poner en peligro más datos tuyos.
Saber si alguien ha robado tus datos
La inmensa mayoría de registros solicitarán tu cuenta de email. Si solo disponemos de un servicio gratuito como Gmail.com u Outlook.com, deberías registrarte con una dirección única en cada servicio importante.
Puedes añadir ‘extensiones’ a tu dirección de forma sencilla añadiendo un ‘+’ seguido de un término corto. Un ejemplo: si nuestro email es “MariaFernandez@gmail.com” o “JaimeEscobar@outlook.com” podemos cambiarlo por “MariaFernandez+Dropbox@gmail.com” cuando te registres en Dropbox, y para Twitter utilizaríamos “JaimeEscobar+Twitter@gmail.com”.
En principio esta dirección de email es secreta, y nadie debería saberla excepto el servicio en donde te has registrado. Así que si unos hackers entran y roban la lista de usuarios, lo más seguro es que inmediatamente la vendan a una lista de spammers. En el momento que recibas spam a esa dirección específica (“MaríaFernandez+Dropbox@gmail.com”), sabrás que este servicio ha sido comprometido y hackeado.
Si tienes un dominio propio para tu correo electrónico, por ejemplo “Pepe@Garcia.com”, podrás configurar tu servidor de correo para añadir reglas que nos permita hacer un sistema similar “Pepe+Adobe@Garcia.com”.
Saber si tu clave ha sido robada.
A pesar de que nunca jamás debes repetir claves en Internet, y menos en servicios de vital importancia para ti como Gmail, iCloud, Facebook, Amazon, tu banco y demás, también deberías registrarte en servicios como HaveIBeenPwnd.com, un servicio gratuito que te enviará un correo electrónico cuando tus datos aparezcan en el mercado negro.
Cuando sepas que tus datos circulan en el mercado negro, deberás preocuparte tanto de cambiar la clave del servicio afectado, así como de cambiar la clave en otros servicios donde sea la misma. Si alguien hackea Dropbox, y utilizas la misma clave en Amazon, por ejemplo, hay una remota posibilidad de que puedan acceder no solo a tu Dropbox —si consiguen romper el cifrado— también a tu cuenta de Amazon.
Como medida extra, deberías cambiar la dirección de email en los servicios donde tus datos hayan sido comprometidos. En el caso reciente de Dropbox, deberías aprovechar para pasar tu dirección a una nueva dirección única utilizando los consejos de arriba utilizando la técnica del “+” seguido de una palabra única.
¿Cómo protegerte a fondo?
Varios consejos sencillos que harán imposible o mucho más difícil a los hacker acceder a tus datos o venderlos en el mercado negro.
- Usa una clave distinta en cada servicio. Si te parece muy aburrido y tedioso, utiliza un gestor de contraseñas robusto y que funcione en todas tus plataformas. Aquí tienes varios recomendados.
- Emplea diferentes emails y nombres de usuario. Es importante que los hackers no puedan acceder a otros servicios tuyos si han robado la clave de uno. No puedes tener el mismo email ni clave en Dropbox, Twitter y también en Gmail, por poner ejemplos. Utiliza los trucos comentados arriba, o ve más allá, con direcciones completamente distintas de email si quieres ser más precavido. Los gestores de contraseñas harán esto muy fácil.
- Utiliza un sistema de verificación doble. La mayoría de servicios importantes lo ofrecen. Cada vez que te conectes desde un smartphone, tablet o PC nuevo, el sistema nos pedirá una segunda clave (normalmente enviada en forma de SMS). Servicios de especial importancia como tu correo electrónico, tus compras online, tu almacenamiento remoto en la nube o tu banca online, deberían estar en todas protegidas así. Aquí una lista extensa de servicios que ofrecen verificación de dos pasos.
- No utilices redes públicas desprotegidas. ¿Esa WiFi gratuita en el bar, aeropuerto o centro comercial? Puede ser falsa y estar simplemente interceptando los datos de cualquiera que se conecte, o incluso puede ser legítima y haber sido comprometida. Un servicio de VPN gratuito te protegerá en parte o en totalidad de este tipo de ataques. Usa un VPN siempre que puedas.