En un entorno como el de TI, se necesita muy poco para ser despojado de los datos de acceso a cualquier servicio: simplemente abra el correo electrónico incorrecto, un enlace a una página modificada o reciba un mensaje falso para que los atacantes ingresen a nuestras cuentas. Además, y este es ahora el caso más común, si un sitio en el que tenemos una cuenta es pirateado, como realmente sucedió con Linkedin, MySpace y Twitter y se encuentra una contraseña con nuestro nombre de usuario anterior, los piratas informáticos o quien lo encuentre Estas listas (que se publican en Internet) podrían probar la misma contraseña en nuestras otras cuentas . Entonces, si usamos las mismas contraseñas en todas las cuentas, estas están en riesgo y deben cambiarse.
Si ha estado leyendo este artículo y no ha cambiado sus contraseñas importantes durante mucho tiempo, vale la pena tomarse 10 minutos y hacerlo de inmediato para proteger sus cuentas importantes .
LEA TAMBIÉN -> Robo de contraseñas en Internet: las 5 técnicas más utilizadas
1) En primer lugar, puede verificar si una cuenta con correo electrónico y contraseña ha sido robada, es decir, si alguien ha logrado descargar los datos de inicio de sesión de un sitio popular, como Linkedin, como Facebook, Google, Yahoo (el más afectado en estos años) y así sucesivamente. Si nuestro correo electrónico terminó en estas listas de cuentas comprometidas, cualquier pirata informático puede leerlo y utilizar los datos extraídos para intentar acceder a otros sitios, utilizando la misma contraseña y correo electrónico, poniendo en riesgo todas nuestras otras cuentas.
Para hacer esta verificación, puede usar algunos servicios en línea que realizan un seguimiento de todo el robo de datos y la lista de cuentas de lavandería.
- BreachAlarm.com
Se puede hacer una primera verificación de sus cuentas utilizando el sitio web BreachAlarm.com, disponible aquí -> BreachAlarm.com.
Ingrese la dirección de correo electrónico que usualmente usamos para acceder a tantos sitios como sea posible (generalmente uno siempre se usa como nombre de usuario para todos) en el campo mi dirección de correo electrónico y finalmente haga clic en Verificar ahora .
Se abrirá una pequeña ventana donde se nos informará de la recopilación de información necesaria para el funcionamiento del sitio, acompañada de una solicitud de confirmación de CAPTCHA; haga clic en el cuadro No soy un robot y confirme con Entiendo .
Si nuestra dirección de correo electrónico se ve comprometida o se ha visto comprometida en el pasado, aparecerá inmediatamente una ventana de alarma que también informará la fecha del último informe sobre la fuga de datos publicada por los piratas informáticos.
El mensaje es bastante genérico y no proporciona ninguna información adicional, pero lo invita a activar el servicio gratuito de alerta Watchdog para recibir rápidamente nuevos informes sobre futuras cuentas comprometidas.
El resultado también se le enviará por correo electrónico, para que pueda consultarlo si es necesario.
- ¿He sido Pwned "> ¿He sido Pwned?
Nuevamente, solo ingrese la dirección de correo electrónico que utilizamos para la mayoría de los servicios en línea en los que estamos registrados y haga clic en el botón en el lado pwned ">
En este caso, el sitio también muestra los sitios comprometidos, y también proporciona un examen de la información que los piratas informáticos lograron recuperar después de un robo de datos debido a exploits, errores explotables o malware.
Además de las cuentas comprometidas, también muestra información robada y guardada en línea en archivos de texto compartibles (pastas), lo que puede poner en riesgo la seguridad de nuestras cuentas (presente y futura).
3) Qué hacer en caso de cuenta comprometida
En primer lugar, repetimos la prueba en ambos sitios para asegurarnos de haber sido comprometidos en el pasado.
Luego seguimos los siguientes pasos para poder aumentar el nivel de seguridad de todas nuestras cuentas:
- Recuperamos el acceso a todos los sitios donde utilizamos el correo electrónico ofensivo
- Cambiamos la contraseña a todos los sitios, comenzando por el principal del correo electrónico y pasando por los sitios de comercio electrónico o banca en casa (el más peligroso)
- Eliminamos cualquier acceso o asociación a los navegadores, PC o dispositivos (para cuentas que permiten el control de acceso, como Facebook y Google)
- Si es posible, activamos la autenticación de dos factores, en particular para los sitios más peligrosos o pirateados (redes sociales, banca en casa y comercio electrónico)
- Verificamos regularmente si la dirección de correo electrónico comprometida ha sido ingresada en nuevos incidentes por los dos sitios informados (si ocurre una nueva fuga de datos en una fecha posterior después de la aplicación de los pasos, repítalos todos para mayor seguridad)
- Elegimos contraseñas largas para sitios (al menos 12 caracteres alfanuméricos, con símbolos y mayúsculas)
- Evitamos usar la misma contraseña para diferentes sitios, a fin de reducir el acceso del hacker a múltiples sitios donde tenemos la misma contraseña
- Evitamos usar redes WiFi públicas sin una herramienta de seguridad como una VPN
Todas estas precauciones deberían ser suficientes para evitar que los incidentes de pérdida de datos (que a menudo no tienen nada que ver con esto, dependiendo de la incapacidad de mantener los servidores actualizados) terminen dañando nuestras cuentas sin que hagamos nada.
4) Cambiar contraseña
Cambiar las contraseñas de las cuentas en línea es técnicamente muy fácil, siempre que recuerde su contraseña actual.
Para muchas personas sin experiencia, esto está lejos de ser obvio, solo piense en aquellos que compran un nuevo teléfono móvil y crean una nueva dirección de correo electrónico, Gmail para Android, Apple para iPhone o Microsoft para Windows Phone y olvídalo.
Afortunadamente, siempre es posible recuperar contraseñas y acceder a los sitios más importantes, utilizando procedimientos de recuperación basados en una dirección de correo electrónico o número de teléfono.
En otros artículos hemos visto los procedimientos para recuperar una cuenta de Google y Gmail y resolver problemas de acceso y para recuperar cuentas y contraseñas en Gmail, Outlook y Yahoo Mail.
También es importante cambiar su contraseña en una PC segura y libre de virus que sea nuestra.
En caso de duda, escanee con Malwarebytes antes de realizar cambios y use un navegador web sin extensiones de barra de herramientas y complementos externos.
Si se ve obligado a cambiar las contraseñas de una PC que no sea la nuestra, escríbala usando una sesión de navegador anónima y use un teclado virtual.
La seguridad cibernética, desafortunadamente, es una de esas cosas que mientras más tiempo pasa, peor es la situación en lugar de mejorar.
A pesar de los grandes avances tecnológicos de los últimos años, las infracciones de seguridad son cada vez más frecuentes y cada mes hay otra alarma en las cuentas de los diversos servicios en línea.
5) Cómo generar contraseñas seguras
El problema ahora no es tanto el técnico de cómo cambiar las contraseñas, sino el de qué palabra usar para que sea inatacable.
Ya hemos abordado el problema en otros artículos, sobre cómo elegir contraseñas seguras que son imposibles de descubrir y sobre cómo generar contraseñas seguras .
El mejor truco, si no desea utilizar un software o una aplicación (consulte el punto 5 a continuación), es utilizar contraseñas formadas por las iniciales de las palabras de una oración .
De esta manera, puede crear una contraseña fácil de recordar, con letras que parecen aleatorias y que no forman ninguna palabra del diccionario en ningún idioma.
Por ejemplo, la frase " hoy escribo 3 artículos sobre Google en Navigaweb " puede formar la contraseña de mi cuenta de Google, es decir, ossN3uacpdG
Con la misma lógica, puedo hacer la contraseña para Facebook, Microsoft y otras cuentas, tal vez cambiando la letra final.
Será muy difícil descubrir este tipo de contraseña para un hacker.
En resumen, las reglas para crear contraseñas únicas y completamente impredecibles que puedan defenderse contra las capacidades de craqueo más avanzadas utilizadas por los hackers son:
- Evitar fórmulas predecibles
Nunca use palabras de sentido común, nombres propios, fechas de nacimiento, nombres de perros o de ciudades o equipos de fútbol o actores y ni siquiera palabras trivialmente mal escritas como, por ejemplo, Sup3r, con un número al final, quizás usando el 0 en lugar de o y poner una letra mayúscula al principio.
Estos trucos previamente efectivos ahora son conocidos por los hackers.
Incluso escribir una palabra al revés no es una buena técnica.
- Use una contraseña única para cada sitio
El uso de una contraseña diferente para cada sitio limita el daño que se puede hacer si / cuando hay una violación de seguridad.
Sin embargo, desafortunadamente, usar una variante de la misma contraseña para cada sitio, como se ve arriba, aún no es óptimo para la seguridad.
- Use contraseñas aleatorias generadas por un programa
Una contraseña aleatoria, compuesta de 15 0 20 caracteres aleatorios, es la contraseña más segura, prácticamente imposible de recordar, como por ejemplo: gfETdç.ò3ve534ò5ge .
Si no tenemos suficiente imaginación para generar una contraseña segura para nuestras cuentas (comprometida o no), podemos ayudarlo con algunas herramientas gratuitas, para reducir aún más la posibilidad de que un hacker pueda acceder a nuestra cuenta.
La primera herramienta gratuita que recomendamos usar es KeePass, descargable desde aquí -> KeePass .
Vamos a instalarlo en nuestra PC, crear una nueva base de datos eligiendo una contraseña maestra y, en la ventana que se abrirá, haga clic en el menú Herramientas -> Generar contraseña .
Ahora se abrirá una nueva ventana donde podrá elegir todas las funciones que debe tener nuestra nueva contraseña para aumentar la seguridad.
Como ya se mencionó, asegúrese de que tenga al menos 12 caracteres y que contenga una letra mayúscula, un número y un carácter especial (como @ € & $ ect.).
Las contraseñas generadas también se pueden guardar en la base de datos KeePass creada para protegerlas y usarlas cuando sea necesario.
LEA TAMBIÉN -> Programas y extensiones para guardar contraseñas
Alternativamente, podemos usar el servicio LastPass como un programa de administración de contraseñas en línea, accesible desde aquí -> LastPass .
En la página, hacemos clic en la parte superior Get LastPass Free y creamos nuestra cuenta, teniendo cuidado de usar como contraseña maestra una combinación segura y difícil de adivinar.
Una vez que se ha creado la cuenta LastPass, podemos instalar las extensiones y aplicaciones dedicadas, usando el enlace aquí -> Descargar LastPass .
Si hemos usado la extensión, solo inicie sesión con la cuenta LastPass y use el elemento Generar contraseña segura para tener a mano de inmediato una nueva contraseña a prueba de piratas informáticos.
6) Utilice siempre una verificación doble en sitios importantes
La verificación doble es el mecanismo por el cual, para acceder a una cuenta, debe ingresar la contraseña y luego también un código generado por una aplicación o recibido en el teléfono móvil.
La verificación de doble contraseña se puede activar en la configuración de la cuenta de sitios como Facebook, Google, Microsoft, Apple, Paypal y muchos otros.
LEA TAMBIÉN: Proteja las cuentas del sitio web para no perder la posesión de ellas
