Contraseñas de Geelbe publicadas: a ver si aprendemos…

Seba Bortnik —  24 marzo 2010 — 3 comentarios

En el día de hoy ocurrió un incidente con un portal de compras bastante popular, Geelbe.com. En resumen, atacantes lograron ingresar a la base de datos del portal, y descifrar las contraseñas que utilizaban un algoritmo de cifrado, como decirlo, obsoleto (podría usar estúpido, casi lo mismo que no cifrar las contraseñas). La noticia es eso, saben que no me extiendo en las noticias así que le dejo algunos enlaces sobre el incidente:

Ahora, veamos algunas moralejas interesantes sobre la noticia que creo pueden ser de utilidad para los lectores.

Moraleja 1: los mecanismos de seguridad deben actualizarse

Aunque en este caso parece peor la situación, por la antiguedad del sitio todo indica que utilizaron un mecanismo de seguridad que ya era obsoleto e insuficiente al momento de su implementación. Lo importante aquí es que de una u otra forma se estaba utilizando un algoritmo de cifrado obsoleto (esto lo explican muy bien en Rompecadenas: “las claves tenían un proceso que se basaba en una directiva que convería “1234″ en “15sa1SWDs8sd45″, pero luego existe una misma directiva que trasforma ese “15sa1SWDs8sd45″ en “1234″“).

Hace un tiempo escribí un artículo sobre este tema, titulado Actualizarse o sufrir, esa es la cuestión, que está disponible en la sección artículos. La idea es muy sencilla: lo que hoy es una tecnología de seguridad segura (valga la redundancia), mañana deja de serlo. ¿Por qué? Básicamente porque hay atacantes dedicados a romper los mecanismos de seguridad. Lo que estaba haciendo Geelbe utilizando Base64 es como si yo a mi casa le pongo una cerradura de hace 40 años, que cualquier ladrón amateur sabe como abrir. Es seguridad obsoleta.

Moraleja 2: tus contraseñas nunca están seguras

Esto tiene que estar claro, al desligar la responsabilidad a decenas (¿cientos?) de empresas y portales donde dejamos nuestras contraseñas, nunca puede saberse si alguna base de datos será afectada, por lo que siempre es bueno tener en cuenta los varios consejos varios sobre contraseñas que ya he compartido en el blog.

Los más importantes son, por un lado, que recuerden el por qué de utilizar contraseñas fuertes, ya que minimiza el riesgo a que la misma sea adivinada.

Por otro lado, y un tema que deja lugar a subjetividades, la importancia de contar con más de una contraseña, y no compartir claves entre servicios críticos y servicios no tan importantes, algo que también ya discutimos por aquí. Vale destacar que pienso que es imposible tener una contraseña para cada servicio que utilizamos, pero sí es posible diferenciar en categorías los servicios, de forma tal que un incidente de este tipo no afecte temas importantes como las cuentas bancarias o el correo electrónico.

Moraleja 3: la responsabilidad es de todos

Hoy leía en Twitter la idea de que “si fuiste tan inconsciente de usar la misma clave de Geelbe en otros servicios, no los culpes a ellos… sos vos el imprudente” (vía @Xyborg), lo cual es un punto de vista válido que, aunque no comparto por lo que mencioné más arriba (no se puede tener una contraseña para cada cosa, y uno puede no ser inconsciente y verse afectado igual), sí creo que tiene algo para destacar: acá los responsables somos todos.

Por un lado le mencionaba a @Xyborg que me parece que no hay que olvidarse de la enorme responsabilidad de los desarrolladores del portal, los responsables (no principales porque para eso están los atacantes, pero sí en segundo lugar) de un incidente como el ocurrido.

Sin embargo, sí me parece otra oportunidad para refrescar lo que decía más arriba: no sean inconscientes. Repito, no se puede tener una contraseña para cada servicio porque me resulta imposible, y no se puede vivir con paranoia, pero tengan contraseñas fuertes y usen un número razonable de contraseñas para tener una administración lo más segura posible al respecto.

Las contraseñas son el acceso a datos muy sensibles y privados (o incluso a nuestro dinero). Son como las llaves de nuestra casa, y vale la pena cuidarla.

El usuario debe cumplir con su parte de responsabilidad, sobre todo cuando las empresas no cumplen con la suya. 😐

Anuncios

3 comentarios para Contraseñas de Geelbe publicadas: a ver si aprendemos…

  1. 

    Yo era una de las inconscientes que tenia la misma contraseña en uno de mis emails y en geelbe, asi que apenas me entere de esto fui corriendo a cambiarla. No tengo nada relacionado con plata asociado a ese mail, pero si el facebook por ejemplo, y por las dudas fui y la cambie. Aprendi mi lección. 😦

  2. 

    No puedo estar más de acuerdo con lo escrito Sebastían.

    Muy buen post 🙂

  3. 

    Creo que repercutió negativamente porque un emprendimiento que cuenta con 3.2 millones de U$S de inversiòn, esté basado en un sistema hecho por freelancers. Cuando lo empezaron a desarrollar internamente, no lo reescribieron desde cero, además de no contratar gente calificada por los niveles de sueldo que pagan.
    Espero que hayan aprendido la lección: programadores bien pagos e idóneos y sistemas en base a frameworks bien conocidos (ej.: Symfony o Zend Framework)

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s