Como personas modernas y bien informadas que sois, imagino que estaréis al tanto de
la última revelación de Wikileaks: varios millones de emails de la empresa Stratfor. Se trata de una empresa dedicada a la recogida y procesado
de datos de inteligencia. Algunos la
consideran una CIA privada, aunque oficialmente se dedica a
realizar análisis geopolíticos:
Nuestro fin es simple, hacer que la
complejidad del mundo sea comprensible para un lector inteligente, al margen de
ideología, agenda y prejuicios nacionales.
Se supone que una agencia como Stratfor debería mantener una férrea
seguridad en sus comunicaciones. Pero sorpresa, sorpresa, en navidad de 2011 el propio fundador reconoció
que su empresa había sufrido una intrusión informática. Los atacantes consiguieron una lista de
miembros y clientes, incluyendo números de tarjetas de crédito y, como se
reconoció posteriormente, casi un millón de direcciones de email y contraseñas
de acceso.
Por supuesto, un archivo con las contraseñas de los usuarios es un botín muy jugoso para los atacantes. ¿Cómo lo protegemos? Lo mejor es ... no tener un archivo de contraseñas. En su lugar, se guardan los valores hash de las
contraseñas. Las funciones hash, muy
útiles en diversos campos de la criptografía, sirven para comparar las
contraseñas sin revelarlas.
Una empresa con conciencia de
seguridad hace lo siguiente: toma todas las contraseñas de los usuarios, somete cada una a
la función hash, y guarda el resultado.
Cuando el usuario entra una contraseña
C, el sistema usa una función
hash
H y determina su valor para ese caso, digamos
h. A continuación, el sistema consulta la base
de datos de hashes. Si el correspondiente al usuario
coincide con
h, eso significa que el usuario ha usado una contraseña
válida.
Aunque el uso de hashes en lugar
de contraseñas aumenta la seguridad de sistema, tiene diversos fallos.
El más gordo sigue siendo el hecho de que las contraseñas habituales son sencillas y predecibles. Un
atacante podría tomar su “diccionario” de contraseñas y aplicar la función hash
H a cada una de ellas.
Eso fue lo que sucedió en el caso de Stratfor. Una de las cosas que se llevaron los asaltantes fue la base de datos con las contraseñas. Éstas se guardaban en
forma de hash (no en texto llano).
Un análisis del diario online The Tech Herald utilizó un conjunto de
diccionarios (términos comunes en varios idiomas) y una lista de contraseñas
reveladas en anteriores ataques informáticos, y los combinó con el programa
hashcat,
similar al ya mencionado
Jack The Ripper.
El resultado es demoledor: de los 860.160
hashes que obtuvieron para estudio, consiguieron recuperar casi 82.000
contraseñas en algo menos de cinco horas, usando un sencillo ordenador de
trescientos euros. Algunas contraseñas
eran tan absurdas como ****** (seis asteriscos). Diversos usuarios utilizaron contraseñas lo
bastante largas como para proporcionarles seguridad, pero luego lo estropearon
escogiendo términos como 111222333444,
qwerty123456, lawenforcement, surveillance4u
o intelligence.
También se vio cómo algunos
usuarios, en un intento por aumentar su seguridad, utilizaban sustituciones de
caracteres fácilmente adivinables, como sustituir O por 0, o poner @ en lugar de a. Eso es algo desaconsejado porque proporciona solamente una
sensación de seguridad, no más seguridad en sí mismo. Una de las contraseñas de
seis caracteres más utilizadas en el caso Stratfor era ¡@#$%^ … que no es más el resultado de pulsar 123456 con el bloqueo de mayúsculas y la tecla AltGr; otras
elecciones poco inteligentes incluían $intel,
@gn0st!c [agnóstico], @irF0rce [airforce], @tt0rn3y [attorney]. Por supuesto, la cadena de cinco dígitos más
utilizada fue nuestra conocida 12345,
con 55555 en segundo lugar.
El uso de contraseñas tontas es un tópico tan extendido que forma parte del folklore de Hollywood.
Sheldon Cooper, el protagonista de la la exitosa serie de TV The Big Bang Theory, no encuentra gran
dificultad en acceder al ordenador de una tienda de informática: “puede entrar hasta un niño, 1234 no es una
contraseña muy segura” En la parodia La
Loca Historia de las Galaxias, el planeta Druidia protege su atmósfera
mediante un escudo que tiene el código 12345.
Cuando el malvado planeta Spaceballs consigue el código, su presidente
no sale de su asombro: “¿12345? ¡Es la misma contraseña que tengo en mis
maletas!”
El presidente Skroob nos parece
un tonto redomado, y de hecho fracasó en sus malévolos planes (a pesar de tomar
la precaución de cambiar la combinación de sus maletas), pero en nuestro
planeta Tierra no lo hacemos mucho mejor.
En febrero de 2012, el grupo Anonymous hackeó la cuenta de correo
electrónico del presidente sirio Bashar al-Assad. Más concretamente, entraron en el servidor de
correo del ministro sirio de asuntos presidenciales y accedieron a casi ochenta
carpetas de mensajes. Lo crean o
no, la contraseña que custodiaba toda esa información era … 12345.
Seguro que su colaborador, el que creó la contraseña, pensó algo así como "la gente pensará que cualquier idiota la podría en sus maletas, así que nadie creerá que vamos a usarla realmente." O, por supuesto, es un luser redomado que se merece ser azotado con un látigo LART. Por cierto, señor presidente sirio, convendría que fuese revisando usted sus maletas. Por si acaso.
