Nuestras últimas encuestas muestran que más de la mitad de los adultos estadounidenses poseen seis o más cuentas en línea con clave. ¿Quién se acuerda las claves? Tratas de que sean cortas y simples: el nombre de tu mascota y “123”; usas la misma clave en varias cuentas, y las mantienes a mano en la billetera.

Tips para evitar el robo de claves

No estás solo: en nuestra encuesta, el 32% de los encuestados usaron una referencia personal para sus claves, casi el 20% usó la misma clave en más de cinco cuentas y el 23% mantenía una lista escrita de las claves en un lugar poco seguro. En octubre, el Centro Nacional de Investigación de Consumer Report (Consumer Reports National Research Center) llevó a cabo una encuesta nacional entre 1000 adultos.

El problema es que estas prácticas te exponen al tipo de ataques que los hackers lanzan contra los sitios Web. Cuando los hackers tienen tus claves, obtienen acceso a tus cuentas.

Y no tiene que ser así. Aprende sobre los mejores y los peores tipos de claves, cómo crear claves fuertes, dónde guardarlas para que estén a salvo y -mejor aún- cómo recordarlas.

Una amenaza en crecimiento

Las posibilidades de que te roben una clave son bajas, pero el riesgo es real y crece cada vez más. Para entender por qué, tienes que saber cómo trabajan los hackers hoy en día. No, no está en un sótano buscando entrar a tu cuenta golpeando las teclas hasta que lo logra. Es más probable que entre en un sitio Web no seguro con muchas claves, entre las que figura la tuya. Luego, descubre varias de esas claves con un software sofisticado para sacar claves y una computadora mejorada. Te presentamos algunos de los adelantos más preocupantes que descubrimos:

Poca seguridad en los sitios Web. Muy común. Según la cronología de Privacy Rights Clearinghouse de filtración de datos, en los últimos seis años hubo más de 312 registros de datos expuestos por hacker s que entraron a sitios Web. (No todos los registros incluían claves). En un estudio que Whitehat Security, una empresa de California que ayuda a que las empresas protejan sus sitio Web, publicó el invierno pasado sobre más de 3,000 sitios, se mostró que la mayoría de ellos estaban expuestos a una vulnerabilidad de seguridad seria cada día de 2010.

Los bancos y los sitios de cuidado de la salud obtuvieron los mejores resultados; los sitios de comercio minorista y de servicios financieros tuvieron un desempeño menor al promedio general.

Uno de cada siete sitios estudiados era vulnerable a un ataque llamado inyección de SQL en la que el hacker ingresa en la computadora de una organización engañándola para que ejecute las instrucciones de programación que le da el mismo hacker. Según el informe mensual de tendencias de septiembre de 2011 de Imperva, una empresa de seguridad informática de California que ayuda a las empresas para evitar robo de datos, se usó la inyección de SQL para hackear los sitios de Sony Pictures, Nokia y Lady Gaga.

Una vez que se hackeo un sitio, la principal garantía de las claves de los usuarios que alberga es cuán seguros están almacenadas esas claves. Algunos sitios usan formas de almacenamiento menos seguras que lo que deberían. Por ejemplo, Sony Pictures guardaba las claves de sus usuarios en formato leíble. Los profesionales de la seguridad lo llaman “texto simple” y no constituye un obstáculo para los hackers.

Visita sitios seguros

Varios sitios con buena reputación utilizan una técnica de almacenamiento seguro conocida como hashing, que hace que los hackers trabajen para convertir los datos robados en claves utilizables. Según los expertos con los que hablamos, el consumidor promedio no sabe cuán segura está su clave en determinado sitio. Pero, si usas una clave muy fuerte, tendrás mejores oportunidades de resistir algunos ataques.

Bajar los costos de hackeo. Bajaron mucho los precios del tipo de hardware que se usa para craquear claves. Según Robert Imhoff-Dousharm, jefe de seguridad de la información de SanDisk, con $3,000 puedes comprar una PC con el poder para decodificar claves cuando, en 1994, costaba 30 millones. Una PC con ese poder puede armarse con partes que compras en un negocio de artículos de computación y puede craquear cualquier clave de ocho caracteres en apenas 23 horas. ¿Tu presupuesto es más acotado pero tienes más tiempo? No hay problema. Una versión de $800 puede hacer lo mismo en 40 días.

Mejores herramientas para hackear. Aumentó el poder de las herramientas para craquear claves. La tecnología clave es la misma tarjeta de gráficos veloz, también llamada “Unidad de Procesamiento Grafico” (GPU), que las computadoras personales utilizan para acelerar los juegos de acción.

Las últimas GPU también sirven para el software para craquear claves, explica Imhoff-Dousharm. “La tecnología de las GPU avanzó rápidamente y los craqueadotes de claves lo aprovecharon a punto tal que pronto los nueve caracteres no serán más útiles”, dice. Es bastante fácil encontrar en Internet software para craquear claves. John the Ripper, un programa popular del experto en seguridad Alexander Peslyak, está diseñado para realizar controles de seguridad legítimos. Y Cain & Abel, del consultor en seguridad Massimiliano Montoro, es una empresa para recuperar claves. Pero aquellos programas también pueden usarse para craquear claves en forma ilegal.

Más posibles hackers. Con hardware barato y un software poderoso a mano, no sorprende que muchos tengan de hobby –o de ocupación- craquear claves. Según Imhoff-Dousharm, la cantidad de gente que intercambia consejos sobre los cuatro programas más populares para craquear claves y de las últimas GPU aumentó de unos pares de miles a más de 80,000 en la actualidad.

Las cifras:

•    El 10% de los encuestados tenían más de 30 cuentas en línea con clave.

•    El 29% de los encuestados guardan las claves en una lista que llevan con ellos, cerca de su computadora o en un archivo no protegido en su computadora, tablet o dispositivo móvil.

•    El 75% de los encuestados no usaban las claves más seguras (de ocho caracteres o más, con mayúsculas y minúsculas, un número y un carácter especial) en sus cuentas más confidenciales.

La gente que usa la misma clave en varias cuentas se arriesga mucho. Hay cada vez más pruebas de que los delincuentes se aprovechan mucho de esas tendencias. En el último año, dos sitios de consumo, Gawker.com y Sony Pictures sufrieron robo de datos, lo que expuso las millones de claves de los consumidores a los hackers. Si esas claves se usaban para otras cuentas, los hackers tenían acceso a ellas también. En octubre, el FBI detuvo a un hombre que hackeó las cuentas de correo electrónico de 50 personas, incluyendo las de la actriz Scarlett Johansson y la de la cantante Christina Aguilera. Les dijo a las autoridades que dedujo la clave de Johansson buscando información de acceso público y de las redes sociales para obtener sus datos personales.

La encuesta de Consumer Reports “State of the Net” (el status de la red) de 2011 publicada en junio mostró que, en el último año, 3.7 millones hogares norteamericanos que usan Internet fueron notificados por el gobierno o alguna organización de que su información personal fue robada, perdida o hacheada. Además, la misma encuesta proyectó que, en el último año, la información de ingreso a Facebook y las cuentas de casi un millón de miembros fueron utilizadas con propósitos no autorizados.

Por supuesto que, sin importar cuán seguras sean tus claves, aún deberás vigilar las otras formas en las que la gente puede obtener acceso a tus cuentas.

Toma medidas para evitar el phishing

Por ejemplo, los sitios que hacen phishing, son sitios fraudulentos que usan direcciones de correo electrónico que parecen verdaderas, como si fueran de un banco o de otra institución conocida, para engañar a las víctimas. Una vez que ingresaste tu número de identificación y tu clave o PIN, el phisher puede utilizarlas para robarte la cuenta. La encuesta de Consumer Reports “State of the Net” de 2011 indico que, en el último año, aproximadamente 6.4 millones de usuarios de Internet enviaron información personal en respuesta a un correo electrónico que llevaba a ese sitio.

También hay keyloggers. Este software malicioso, que captura y muestra a hurtadillas lo que marcas en el teclado, puede instalarse en tu computadora en línea si la hackean o si alguien tiene acceso a ella. El software de seguridad también puede detectar un keylogger. Aunque todavía no los probamos, los programas anti-keylogger también están disponibles en línea. Un dispositivo para keylogging (del tamaño de una batería) puede sujetarse al cable del teclado.

Debes tener cuidado con lo que haces. Si revelas una clave a alguien a quién no conoces y en quién no confías o si la escribes pero no aseguras la versión escrita, expusiste tu cuenta a accesos no autorizados.

Fuente y agradecimiento:

http://dinero.univision.com/finanzas-personales/credito/robo-identidad/article/2011-12-12/consejos-proteger-claves-password-hackers-invasores