Diez claves de seguridad para redes sociales

El peligro de las contraseñas débiles

Un estudio realizado a gran escala sobre las páginas Web protegidas con contraseñas ha revelado que la falta de estándares en la industria repercute directamente en la seguridad de los usuarios finales, perjudicándoles notablemente. Ésta es una de las conclusiones a las que han llegado los investigadores que han llevado a cabo el estudio de la Universidad de Cambridge.
En particular, desde su punto de vista, la debilidad de las implementaciones de autenticaciones basadas en contraseñas en páginas web de baja seguridad compromete las protecciones que sí ofrecen sitios web con alta seguridad. Esto es así porque los usuarios reutilizamos las contraseñas con mucha frecuencia. Es lo que han explicado Joseph Bonneau y Soren Preibusch en un Workshop sobre la economía en la seguridad de la información que se ha celebrado en Cambridge, Massachusetts. 

Los atacantes pueden aprovecharse así de las páginas Web con bajas medidas de seguridad  para conseguir contraseñas asociadas a ciertas direcciones de correo electrónico y luego utilizar esas contraseñas robadas para acceder a cuentas que se encuentran en páginas web con mayores medidas de seguridad como las de comercio electrónico, por ejemplo.
En un esfuerzo que ha sido descrito por los investigadores como la investigación empírica más grande realizada hasta el momento sobre implementación de contraseñas, recolectaron datos de 150 páginas web y encontraron “cuestionables elecciones de diseño, inconsistencia y fallos imperdonables”, tal y como describen Bonneau y Preibusch.
Estos investigadores no culpan a los usuarios por reutilizar sus contraseñas o por utilizar unas muy sencillas y, por tanto, fáciles de averiguar. Y es que, desde su punto de vista, la mayor parte de los usuarios tienen tantas cuentas online que gestionar, que es muy difícil tener una contraseña para cada una de ellas, haciéndolas así más impenetrables. “La decisión de los sitios web de recopilar contraseñas puede ser vista como una tragedia, sobre todo si se tiene en cuenta que hay tantos sitios Web que compiten entre sí y agotan la capacidad de los usuarios de recordar contraseñas seguras”. Así, la gran mayoría, el 78 por ciento de las páginas examinadas por estos analistas, fallaron a la hora de proporcionar a los usuarios feedback o advertencias para que escogieran contraseñas más consistentes. Sólo cinco de las páginas analizadas permitían a sus usuarios registrar pistas, una estrategia que animaría a los usuarios a utilizar contraseñas más robustas. Sólo siete sitios requirieron a sus usuarios mezclar números y letras y sólo dos les pidieron contraseñas que incluyeran también caracteres no alfanuméricos.
Bonneau y Preibusch también señalaron la debilidad del modo en que las contraseñas son subidas al servidor cuando un usuario las introduce en la Web. Sólo tres páginas utilizan técnicas que previenen que el servidor pueda recibir una contraseña a simple vista a la hora de entrar en la web, aunque lo cierto es que dos de ellas recogían los textos sin encriptar cuando se inscribían por primera vez. 
La mayoría de los sitios web, 126 en total, parecían permitir intentos ilimitados para averiguar contraseñas; los investigadores llegaron a intentar hasta 100 veces introducir una contraseña. Finalmente, teclearon la contraseña correcta y pudieron acceder a la web sin problemas. Esto indica que la mayoría de las páginas web no se molestan en proteger a sus usuarios de posibles ataques de este tipo, en los que los cibercriminales se dedican a intentar deducir las contraseñas.
Así las cosas, la impresión general indica que las mejores prácticas en lo que a seguridad de contraseñas se refiere son básicamente ignoradas. De hecho, bastante más de la mitad de las páginas presentaron fallos a la hora de utilizar TLS para proteger la transmisión de contraseñas en todas sus fases.
Y en lo que Bonneau ha denominado “la peor práctica de la industria”, el 29 por ciento de las páginas probadas, los usuarios de correo electrónico tecleaban las contraseñas de manera visible, es decir, no se ocultaban los caracteres tras los consabidos asteriscos.
Así las cosas, la adopción de protocolos como OpenID podrían ayudar a homogeneizar todo esto, repercutiendo en beneficio de todos. Sin embargo, Bonneau y Preibusch son pesimistas al respecto y creen que el coste de soportar estas soluciones se pagará con la disminución de oportunidades para recopilar más información de los usuarios. 
Un tercio de los resultados de las búsquedas en Internet son peligrosos

Así lo afirma un estudio realizado por Symantec, en el que aborda las amenazas a las que hace frente su solución de seguridad Norton.

Un tercio de los resultados de las búsquedas que realizamos en Internet ofrecen links peligrosos. Así lo afirma el fabricante de soluciones de seguridad, Symantec, que ha realizado un estudio de mercado al respecto. Para llegar a esta conclusión, sus investigadores han analizado, durante dos semanas, los 100 principales resultados de las búsquedas de los 300 términos más populares.
Es más, en un momento dado, 99 de los 100 primeros resultados de una búsqueda correspondiente a una frase determinada, que no han revelado desde Symantec, conducían hasta páginas web maliciosas que habían sido diseñadas para infectar a los usuarios con malware o para robar datos personales como contraseñas.

Desde Symantec afirman que motores de búsqueda como Google sólo son capaces de identificar y eliminar la mitad de todos los links peligrosos. De este modo, tal y como advierten en Symantec, los resultados “envenenados” se convierten en una de las principales amenazas on-line a la que debemos hacer frente los internautas. Eso sí, sin olvidar los ataques en las redes sociales y las constantes ofertas de antivirus falsos.
Como resultado, el desarrollador de soluciones de seguridad ha querido ayudar a evitar estos peligros con su nueva herramienta, Norton Internet Security 2011.
El producto, que actualmente se encuentra en fase beta y puede descargarse de manera gratuita desde la página web de Norton, cuenta con el software de comprobación de URL de Symantec. Norton Safe Web Lite comprueba las páginas web que aparecen como resultado en las búsquedas realizadas en Google, Yahoo y Bing y alerta al usuario sobre aquellas de las que sospecha que pueden ser peligrosas.
Desde Symantec ya han confirmado que la versión final de Norton Safe Web Lite estará disponible a finales de este mes.
Noton Internet Security 2011 también cuenta con Norton Safe Web para Facebook, que escanea la red social para detectar posibles URL maliciosas, marcándolas de modo que el usuario las detecte y sepa que son peligrosas antes de que haga clic en ellas y vaya al sitio web peligroso. 
En el futuro, desde Symantec esperan extender esta herramienta a otras redes sociales como Twitter o LinkedIn.
Está previsto que la versión completa de Norton Internet Security 2011 se lance en septiembre. Los detalles sobre su precio aún no han sido revelados.