“Password” siguen siendo las contraseñas más usadas y más inseguras

common-passwords

El problema de las contraseñas débiles parece no tener fin cada vez que caemos en la cuenta de que millones de usuarios alrededor del mundo descuidan su método principal de autenticación en la web. Desde 2011, cuando SplashData comenzó a publicar su listado anual de peores contraseñas, “123456” y “password” ocupan los dos primeros lugares, lo cual, a nuestro entender, son malas noticias.

Y si bien el ranking de 2015 tiene algunas nuevas incorporaciones, en ocasiones de mayor longitud, siguen sin ser seguras. Por ejemplo, “1qaz2wsx” podría parecer compleja a primera vista, pero si prestamos atención, se trata de los caracteres que ocupan las dos primeras columnas de teclas principales de un teclado común. Algo similar sucede con “qwertyuiop”, que también sigue un patrón fácilmente adivinable por un atacante.

A continuación pueden ver el listado completo de las 25 peores contraseñas de 2015, y su variación respecto a 2014:

Puesto Contraseña Cambio desde 2014
1 123456 Sin cambio
2 password Sin cambio
3 12345678 Subió 1
4 qwerty Subió 1
5 12345 Bajó 2
6 123456789 Sin cambio
7 football Subió 3
8 1234 Bajó 1
9 1234567 Subió 2
10 baseball Bajó 2
11 welcome Nueva
12 1234567890 Nueva
13 abc123 Subió 1
14 111111 Subió 1
15 1qaz2wsx Nueva
16 dragon Bajó 7
17 master Subió 2
18 monkey Bajó 6
19 letmein Bajó 6
20 login Nueva
21 princess Nueva
22 qwertyuiop Nueva
23 solo Nueva
24 passw0rd Nueva
25 starwars Nueva

¿Sorprendidos? No lo creo – aunque es notable cómo las tendencias impactan en la creación de contraseñas con ejemplos como “starwars”, “solo” y “princess” quizás. También podemos notar la presencia de los deportes (“baseball” y “football”).

El listado anual de SplashData es elaborado en base a la revisión de alrededor de 2 millones de contraseñas que fueron filtradas durante 2015, pertenecientes en su mayoría a usuarios de Norteamérica y Europa Occidental.

Mucho se ha debatido sobre cuán posible es adivinar el patrón de desbloqueo  de un dispositivo móvil o su código de cuatro dígitos, y lo cierto es que los ataques de fuerza bruta continúan siendo una herramienta útil de los cibercriminales para robar contraseñas. Este listado nos muestra cómo los usuarios siguen exponiéndose al robo de identidad y al compromiso de sus cuentas usando claves débiles y poco seguras.

Así que, para no estar entre ellos, dada la frecuencia con la que filtran datos por internet obtenidas a raíz de brechas de datos, tengan a bien crear claves seguras y complejas y no reutilizarlas en distintos servicios online.

Les compartiré una página para aquellas personas que no saben como crear una contraseña segura o bastante segura.

Norton Identity Safe ( dar clic y te abre a una página) es una página de un antivirus donde te ayuda a generar una contraseña bastante segura.

Explico los pasos del generador de contraseñas.

  • Longitud de contraseñas: es dependiendo los caracteres

ejemplo en casi la mayoría son de 8. pero puedes aumentar de más caracteres. En este caso yo siempre aconsejo que sea de 10 en adelante, ya que es más difícil de hackear.

 Esta parte, tú puedes seleccionar si quieres que sea con letras o con mayúsculas o minúsculas o incluir números, eso ya depende de tu elección. Y la cantidad es de cuantas contraseñas deseas. Si solo es para un correo, solo usa una.

Gilberto Castro                                                                                                                             Asesor de Tecnologías de Información y Comunicaciones.

Anuncios

¿Qué se debe tener en cuenta para auditar la seguridad?

auditoria2

 

Cuando se trata de implementar modelos para gestionar la seguridad de la información el aspecto más importante para garantizar la mejora del sistema son las revisiones, y una de sus principales herramientas son las auditorías de seguridad.

Realizar una auditoría de seguridad suele ser una tarea complicada pero que sirve para entregar mucha información acerca del estado actual de la protección de la información en una empresa. Además, brinda la posibilidad de comparar los sistemas de gestión con respecto a normativas y requerimientos legales que deben cumplir las organizaciones.

Con todas la implicaciones que tiene una auditoría de seguridad de la información es necesario tener claro cuáles son los puntos por los cuales se quiere empezar. Para esto es recomendable analizar queen la política de seguridad se tenga en cuenta la clasificación de los activos de información al igual que las medidas de protección respectivas.

Con una auditoría se debe llegar a validar que los niveles de riesgo a los cuales está expuesta una organización realmente cumplen con sus políticas, garantizando que esta, a su vez, cumple con las regulaciones externas y los estándares que apliquen según la industria. Este análisis debe ser transversal a la organización, revisando todos sus procesos.

Cuando se trata de auditoría de un sistema de gestión de la seguridad, se pueden considerar dos opciones. La primera es realizar una auditoría interna es decir, utilizando un equipo de trabajo de la empresa. La gran ventaja de este tipo de auditorías es que las realizan personas que conocen los procesos y cómo funciona la empresa, por lo cual puede llegar a ser más rápida y realizarse con una mayor periodicidad.

La otra opción es hacer una auditoría externa, en la cual participa un experto ajeno a la empresa y se hace más independiente. La principal ventaja que tiene hacer este tipo de auditorías es que al no conocer mucho de la empresa no hay prejuicios que puedan hacer que se omitan algún tipo de revisiones, que de otra forma parecerían obvias. Dentro de este tipo de auditorías es común que se realice algún Penetración Test para buscar las vulnerabilidades que puedan dar lugar a un incidente de seguridad.

Independiente del tipo de auditoría seleccionado siempre se debe velar porque además de tener especialistas técnicos, se incluyan también especialistas en gestión de procesos para trabajar no solamente sobre la tecnología sino también sobre la forma en que fluye la información a lo largo de la empresa.

En cualquier caso debe ser clara la necesidad de la revisión periódica de los riesgos en las empresas, lo cual se puede lograr a través de auditorías constantes, siguiendo un proceso juicioso y que esté incorporado como parte de la gestión de la seguridad. Finalmente para que una auditoría genere realmente valor debe estar ligada a los objetivos estratégicos de tal forma que su cumplimiento no sea ajeno a garantizar la seguridad de la información.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

¿Cómo funciona el phishing?

como funciona el phishing

Favor de dar clic en la infografía (imagen) para que lo enlace a la página adecuada y volver a dar clic en la imagen para que puedan visualizar en pantalla completa. Gracias!!!

Salón De La Fama De Desastres De Datos

salon de la famaFavor de dar clic en la imagen para que lo enlace a la página correspondiente y después dar clic en los círculos para interactuar con los mensajes de la linea del tiempo. Diviertete y aprende.

Kroll Ontrack anuncia la lista de los 10 peores desastres de pérdida de datos de 2013

Kroll Ontrack, proveedor de recuperación de datos y gestión de información, ha anunciado hoy los diez casos más curiosos de pérdida de datos ocurridos en 2013. Durante los últimos 11 años, Kroll Ontrack ha recopilado y publicado la lista de los peores casos de pérdidas de datos tanto físicos como lógicos en todo el mundo.

Del 10 al 1, los extraños desastres de pérdida de datos de este año 2013:

  1. Un disco duro roto tras un largo viaje (Hong Kong): Después de recorrer 40,000 kilómetros en bici para recaudar fondos, un fotógrafo descubrió que el disco duro con todas las fotos y vídeos que había hecho durante su aventura estaba roto. La recuperación de los datos supuso un enorme reto para el equipo de Hong Kong debido a que el disco duro estaba dañado en varias zonas y en múltiples superficies. Después de probar todas las técnicas de recuperación posibles, el equipo de ingenieros pudo recuperar casi todas las imágenes.
  2. Un caos de película (Polonia): El problema surge durante el proceso de producción de una película para un festival de cine. El primer día de producción estaban haciendo una copia de seguridad del portátil a un disco duro externo cuando uno de los miembros del equipo de manera accidental golpea y tira la mesa. El ordenador portátil y el disco duro se rompieron al caer al suelo, haciendo imposible acceder a los datos. 18 meses después de un trabajo de producción e inversiones infructuosas, y a solo dos meses de la celebración del festival, el equipo de Kroll Ontrack pudo recuperar el 80% de los datos, permitiendo que los productores llegasen a tiempo para presentar su película en el festival. Tal fue su agradecimiento, que en los créditos de la película, Kroll Ontrack está incluido como socio tecnológico.
  3. Datos perdidos después de una fiesta salvaje (Reino Unido): Una estudiante universitaria recurre al servicio de emergencia de Kroll Ontrack para recuperar el trabajo de final de curso de su portátil. Cuando los ingenieros le preguntan por las causas de la pérdida de datos, ella les explicó que en la fiesta de fin de curso su portátil terminó flotando en un charco de bebidas.
  4. La furia del jugador (Francia): Una madre intenta encender el ordenador familiar sin éxito, recibiendo siempre el mismo mensaje de error. Cuando les pregunta a sus tres hijos si saben si ha pasado algo raro con el ordenador, ya que ellos fueron los últimos en usarlo, ninguno responde. Sospechando que sí deben de saber qué le pasó al ordenador, les vuelve a preguntar. El mayor de los hijos confesó que su hermano, enfadado después de perder una partida en un videojuego, estampó sus puños contra el teclado en un acto de ira contra el aparato.
  5. Atraco frustrado (Italia): Un ladrón robó en una casa, entre otros elementos, un ordenador portátil. Pero algo le debió de asustar durante el robo, y en su huida, abandonó el portátil en el jardín. Su dueño lo encontró al día siguiente, después de haber pasado toda la noche bajo la lluvia. Kroll Ontrack recuperó todos los datos del disco de estado sólido interno.
  6. Cuidado si estás bajo los efectos del alcohol (Estados Unidos): Después de una noche de fiesta, un hombre se levantó en mitad de la noche para ir al cuarto de baño. A la mañana siguiente descubrió que había confundido el inodoro con su ordenador portátil. Kroll Ontrack logró recuperar el 100% de los datos.
  7. Sabotaje (Reino Unido): Kroll Ontrack recibe un paquete con los trozos de un disco duro. Cuando los ingenieros se ponen en contacto con la empresa para conocer la razón por la que estaba roto, la compañía les explica que el disco duro había sido golpeado repetidas veces con un martillo, e insiste en que necesita recuperar los datos. Kroll Ontrack recuperó un archivo, a partir del cual la empresa pudo confirmar que un empleado había tratado de borrar el archivo y destruir la prueba. Gracias a ese archivo recuperado se pudo procesar al empleado.
  8. Desastres naturales (Estados Unidos): Desafortunadamente, algunos de los mayores casos de pérdida de datos se deben a desastres naturales. Una compañía dedicada al diseño de espacios, prevenida por la llegada del huracán Sandy, hizo copias de seguridad de todos sus servidores. Sin embargo, no pudieron prever el desbordamiento del río situado casi a un kilómetro de distancia, que inundó sus oficinas dejando todos los servidores y cintas de backup sumergidos bajo más de 70 cm de agua. Kroll Ontrack pudo recuperar el 100% de los datos de esta empresa, en activo desde 1957. La compañía reconoció que, de no haber recuperado todos los datos, tendrían que haber reconstruido su negocio desde cero.
  9. ¡Arañas! (Italia): Kroll Ontrack recibió el encargo de recuperar los datos de un servidor de cinco años de antigüedad que se había roto. Cuando el ingeniero abrió el disco duro se encontró con arañas e incluso un nido dentro, cerca de los cabezales. En esta ocasión, también se recuperó el 100% de los datos.
  10. El teléfono móvil no está hecho a prueba de balas (Estados Unidos): no hace falta añadir más. Se recuperaron todos los datos, 10GB en total.

Hacker que publicó en el muro de Zuckerberg se lleva 11 mil dólares

La buena noticia es que ganó dinero detectando el error, la noticia deprimente es que los 11 mil dólares no los da Facebook.

597230_1376942540.6806

Sin importar que en realidad se hubiera detectado un fallo y que este hubiese sido conocido a nivel global por la forma como el Hacker lo hizo dar a conocer, Facebook no quiso dar un solo centavo al palestino que puso en ridículo aMar Zuckerberg luego de restregarle en su propio muro de Facebook las debilidades de su plataforma.

Por el momento se desconoce el motivo por el cual Facebook decidió no dar incentivo económico al palestino que fue noticia durante esta semana en la red cuando Facebook ha pagado sumas que van desde los 500 dólares por fallas menores detectadas, hasta 20 mil dólares por errores críticos en el sistema.

Pero… ¿De dónde salió el dinero?

Pues bien, las maravillas que tiene el Internet y algo hermoso llamadoCrowdfunding campaña que fue promovida por la organización GoFundMe y en la cual gracias a las donaciones de al rededor de 208 personas, se ha logrado recaudar hasta este momento un total de 11,976 dólares (y sigue contando)

Hackean el perfil de Facebook de Mark Zuckerberg

La página del creador de la red social fue atacada por un experto informático de origen palestino. El cibercriminal exige una recompensa por haber descubierto “una vulneración a la seguridad”

El perfil del creador de FacebookMark Zuckerberg, fue hackeado este fin de semana por el experto en informáticaKhalil Shreateh, quien dijo que apeló a ese ataque para llamar la atención de la red social sobre una falla de la seguridad.

El informático había comentado en su blog que había encontrado una manera de saltearse la seguridad de Facebook y cambiar los artículos publicados en una página de la red social.

Para demostrarlo, publicó primero un video de Enrique Iglesias en el muro de Sarah Goodin, una amiga de la universidad de Zuckerberg. Después de informar a los ingenieros de Facebook de esta manipulación y de ser ignorado por los equipos de seguridad en el grupo, Shreateh publicó un mensaje directamente en la página de Zuckerberg.

“Querido Mark Zuckerberg, siento haber violado la privacidad de su página y haber publicado un mensaje en su muro, pero no tuve otra opción después de que todos los informes (para indicar una falla de seguridad) que envié al equipo de Facebook fueron ignorados”, escribió en el perfil.

Shreateh, de origen palestino y que tiene una imagen de Edward Snowden en su perfil, exige ahora el pago de una recompensa, ya que Facebook acostumbra a dar un incentivo a las personas que reportan vulneraciones o problemas en la plataforma.

No obstante, Facebook desactivó inmediatamente la cuenta personal del investigador, le envió un mensaje para informarle que no le daría dinero y lo acusó de “violación de los términos y servicios” del grupo al hackear las páginas de la compañía.

El domingo, un ingeniero de seguridad de Facebook, Matt Jones, escribió en un foro de seguridad informática que el problema descrito por Shreateh había sido “arreglado el jueves”, pero admitió que su equipo debía “pedir (al experto palestino) más detalles pronto”.

Aquí se muestra la evidencia a no detallada de como se vulnero por medio de exploits, en la cual fue de esa forma para avisar a la seguridad de facebook que estaba totalmente vulnerable, a sabiendas de que nadie hizo caso y por eso mismo le acribillo un mensaje en su muro.

 

Al ver la respuesta poco favorable de los ingenieros de Facebook, el hacker decidió explotar la vulnerabilidad encontrada para escribirle un mensaje al Fundador y CEO de la red Social Mark Zuckerberg.

Querido Mark Zuckerberg,

En primer lugar  siento romper su privacidad y publicar en su muro,pero no tengo otra elección  después de que todos los informes que envié al equipo de Facebook.