En junio se reveló que habían sido hackeadas las cuentas en redes sociales de varias celebridades. Que eso le pase a la cantante Katy Perry, que perdió el control de su cuenta de Twitter con 90 millones de seguidores, es llamativo, pero no grave. La sorpresa es que Mark Zuckerberg, el fundador y presidente de Facebook, fue una de las víctimas. Hay que aclarar que no penetraron en su cuenta de Facebook, pero sí tomaron el control de cuentas de Twitter, Instagram y Pinterest que él no usa tan seguido. Uno esperaría que un ‘hacker’ como Zuckerberg no sufra ese tipo de contratiempos.
Esto fue posible porque hace poco se pusieron en venta millones de nombres de usuario y contraseñas de LinkedIn, que habían sido robados en un ataque realizado en el 2012. Fortune dice que están comprometidos los datos de 167 millones de cuentas. Al parecer, de ahí salieron las contraseñas que permitieron hackear las cuentas de las celebridades. Aunque los sitios web serios guardan las contraseñas de sus usuarios encriptadas, con suficiente poder de cómputo y tiempo se pueden violar (por eso debe crear contraseñas fuertes y muy largas, ideal de mínimo 12 caracteres: así les dificulta esa tarea a los hackers). Pero lo que el episodio mostró es que incluso Zuckerberg tiene la riesgosa costumbre de reutilizar sus contraseñas, algo que los expertos en seguridad desaconsejan.
Mucha gente utiliza una misma contraseña para todo: en su cuenta de Facebook, la de Twitter, la de LinkedIn, el correo de su empresa, su correo personal, la cuenta de iTunes Store, la cuenta de Amazon, la cuenta del banco que tiene su pensión o cesantía y en todos los sitios que le piden registrarse. Esa es una receta para el desastre: si le hackean una de sus cuentas, los delincuentes ya tienen acceso a toda su vida digital.
Mucha gente utiliza una misma contraseña para todo. Esa es una receta para el desastre: si le hackean una de sus cuentas, los delincuentes ya tienen acceso a toda su vida digital.
¿Qué puede hacer para disminuir el riesgo? Crear contraseñas fuertes, usar una contraseña diferente para cada sitio y habilitar la seguridad de dos pasos en todos los sitios que lo permitan.
Si le preocupa lo que pasó con LinkedIn (debería), vaya inmediatamente a ese sitio web y cambie su contraseña. También vale la pena que visite el sitio Have I Been Pwned?, que le dice si sus datos están comprometidos. Al introducir su correo electrónico en ese sitio, este le avisa si servicios web en los que usted usa esa dirección han sufrido robos de datos.
Hicimos la prueba con nuestra dirección corporativa y el sitio nos dijo que efectivamente está comprometida debido a robos de datos en dos servicios: LinkedIn y un sitio de Adobe. ¿Nos preocupa? No tanto, porque no reutilizamos contraseñas, así que el daño es fácil de contener. Si no es su caso, no solo debe cambiar su contraseña de LinkedIn, sino las de los otros servicios en donde esté usando el mismo password. Y al hacerlo, NO recicle la contraseña.
Puede sonarle paranoico, pero así es como debe manejar la seguridad de sus cuentas. Nosotros tenemos una contraseña diferente para cada uno de los servicios mencionados. ¿Es engorroso? Por supuesto. Nos tocó invertir muchas horas creando un sistema de contraseñas que fuera eficiente, y que no fuéramos a olvidar, pero es lo único que permite tener cierta tranquilidad. Hay personas que emplean administradores de passwords para esa tarea, pero preferimos no hacerlo porque algunos de esos administradores también han sido hackeados, así que no queremos poner todos los huevos en la misma canasta.
Otra medida, que también es aburridora pero imprescindible, es habilitar la seguridad de dos pasos en todos los servicios web que la tengan disponible. Por fortuna, los sitios más importantes suelen incluir esta opción.
La verificación de dos pasos agrega una capa de seguridad a las cuentas en línea. Consiste en pedirle al usuario que compruebe su identidad con un segundo método. Generalmente se envía al celular de la persona un mensaje de texto con un número de verificación, que esta debe introducir –además de la contraseña– para acceder a su cuenta. Eso quiere decir que el acceso a las cuentas requiere algo que el usuario sabe (su contraseña) y algo que tiene (su teléfono). Este método hace que las cuentas sean mucho más seguras porque la persona que quiera acceder a ellas debe tener su teléfono (aunque alguien haya logrado averiguar su contraseña, no podrá violar su cuenta sin su celular).
Es molesto tener que esperar a que le llegue un SMS con un código de verificación cada vez que quiere entrar a su correo o a Facebook, pero algunos sitios le permiten indicar que no quiere que le vuelvan a pedir el código en el PC desde el que está accediendo durante un mes (por ejemplo, el PC de su casa, que es el más seguro). Sin embargo, tendrá que introducir el código de verificación cuando acceda desde otros navegadores u otros PC.
Imagen: iStock
