Su dinero o su vida – Krebs on Security


Cuando los usuarios normales de computadoras caen en el desagradable hábito de reciclar contraseñas, el resultado suele ser algún tipo de pérdida financiera. Cuando los ciberdelincuentes desarrollan el mismo hábito, eventualmente puede costarles su libertad.

Nuestras contraseñas pueden decir mucho sobre nosotros, y mucho de lo que tienen que decir es poco halagador. En un mundo en el que todas las bases de datos, incluidos los foros de piratas informáticos, eventualmente se ven comprometidas y filtradas en línea, puede ser difícil para los ciberdelincuentes mantener su anonimato si tienen el hábito de reutilizar las mismas contraseñas inusuales en múltiples cuentas asociadas con diferentes correos electrónicos.

La serie Breadcrumbs de larga duración aquí rastrea cómo los ciberdelincuentes son atrapados, y es principalmente a través de conexiones extrañas entre sus seres en línea y fuera de línea esparcidos por Online. Curiosamente, una de las conexiones más comunes implica reutilizar o reciclar contraseñas en varias cuentas.

Y sí, los piratas informáticos comprometen sus contraseñas al mismo ritmo que el resto de nosotros. Lo que significa que cuando un foro de ciberdelincuencia es pirateado y sus bases de datos de usuarios se publican en línea, a menudo es posible trabajar hacia atrás desde algunas de las contraseñas más exclusivas para cada cuenta y ver dónde más se usó esa contraseña.

Batir la mosca

De todas las historias que he escrito aquí durante los últimos 11 años, probablemente la pieza que más me piden que cuente es la que trata sobre Sergey «Fly» Vovnenko, un hombre ucraniano que en 2013 tramó y ejecutó un prepare para comprar heroína de la internet oscura, enviarla a nuestra casa y luego burlar una llamada a la policía de uno de nuestros vecinos diciendo que traficamos con drogas.

Fly era el administrador de un foro de robo de identidad en ruso en ese momento, y como un merodeador secreto en su foro, KrebsOnSecurity observó cómo se desarrollaba su system en tiempo real. Como describí en una historia de 2019 sobre una entrevista que Fly le dio a una publicación rusa después de su liberación de una prisión de EE. UU., Su propensión a la reutilización de contraseñas finalmente lo llevó a la peor prisión de Italia durante más de un año antes de ser extraditado para enfrentar cargos. En América.

Casi al mismo tiempo que Fly estaba recibiendo donaciones de bitcoins para un fondo para comprar heroína en mi nombre, también estaba comprometido para casarse con una mujer joven. Pero Fly aparentemente no confiaba completamente en su futura esposa, por lo que tenía un malware instalado en su sistema que le reenviaba copias de todos los correos electrónicos que ella enviaba y recibía.

Pero Fly cometería al menos dos grandes errores de seguridad operativa en este esfuerzo de espionaje: primero, envió los mensajes de su prometida a una cuenta de correo electrónico que había utilizado para muchos ciberdelincuentes relacionados con sus diversas identidades de «Fly».

El error número dos fue que la contraseña de su cuenta de correo electrónico era la misma que la de su cuenta de administrador del foro de ciberdelincuencia. Y sin que él lo supiera en ese momento, ese foro fue pirateado, con todas las direcciones de correo electrónico y contraseñas hash expuestas.

Muy pronto, los investigadores estaban leyendo el correo electrónico de Fly, incluidos los mensajes reenviados desde la cuenta de su esposa que tenían detalles sobre sus próximas nupcias, como direcciones de envío para sus artículos relacionados con la boda y el nombre completo de la prometida de Fly. No pasó mucho tiempo para concentrarse en la ubicación de Fly en Nápoles.

¿POBRES CONTRASEÑAS COMO BUEN OPSEC?

Si bien puede parecer poco possible que un tipo tan enredado en el espacio del ciberdelito pueda cometer tales errores de seguridad novatos, he descubierto que una gran cantidad de ciberdelincuentes en realidad tienen una seguridad operativa peor que el usuario promedio de Net.

Innumerables veces a lo largo de los años me he encontrado con grandes cantidades de datos valiosos y peligrosos, como un panel de management de botnet o credenciales de administrador para foros de ciberdelincuencia, que estaban llenos de contraseñas incorrectas, como password1 o 123qweasd (una contraseña de patrón de teclado increíblemente común).

Sospecho que esto puede deberse a que la naturaleza de la actividad ilícita en línea requiere que los ciberdelincuentes creen un gran número de cuentas de uso único o breve y, como tales, tienden a reutilizar las credenciales en varios sitios, o bien, eligen contraseñas muy malas, incluso para recursos críticos.

Independientemente de las razones o la falta de ellas para elegir contraseñas deficientes, es fascinante que, en términos de mantener la seguridad operativa, de hecho beneficie a los ciberdelincuentes utilizar contraseñas deficientes en muchas situaciones.

Por ejemplo, a menudo son los habitantes del ciberdelito clandestino que eligen contraseñas de mierda para las cuentas de sus foros los que terminan haciéndose un favor a sí mismos en el futuro cuando el foro finalmente es pirateado y su base de datos de usuarios se publica en línea.

ALGUNOS CONSEJOS PARA TODOS

Realmente apesta que estamos a mediados de 2021 y todavía dependemos tanto de las contraseñas. Pero mientras ese sea el caso, espero que quede claro que la opción más inteligente para todos los usuarios de World-wide-web es elegir contraseñas únicas para cada sitio. Los principales navegadores world-wide-web ahora sugerirán automáticamente contraseñas largas, complejas y únicas cuando los usuarios establezcan una nueva cuenta en algún lugar en línea, y esta es obviamente la forma más sencilla de lograr ese objetivo.

Los administradores de contraseñas son ideales para las personas que no pueden romper el hábito de reutilizar contraseñas, porque solo tiene que recordar una contraseña maestra (segura) para acceder a todas sus credenciales almacenadas.

Si no confía en los administradores de contraseñas y tiene problemas para recordar contraseñas complejas, considere confiar en la longitud de la contraseña, que es un factor mucho más importante para determinar si una contraseña determinada puede ser descifrada por las herramientas disponibles en cualquier período de tiempo que pueda ser razonablemente útil para un agresor.

En ese sentido, es más seguro y prudente concentrarse en elegir frases de contraseña en lugar de contraseñas. Las frases de contraseña son colecciones de varias palabras (idealmente no relacionadas) mezcladas. Las frases de contraseña no solo son generalmente más seguras, sino que también tienen el beneficio adicional de ser más fáciles de recordar. Su principal limitación es que innumerables sitios todavía lo obligan a agregar caracteres especiales y establecer límites arbitrarios en las posibilidades de longitud de la contraseña.

Finalmente, no hay absolutamente nada de malo en escribir sus contraseñas, siempre que a) no las guarde en un archivo en su computadora o las grabe en su computadora portátil, yb) que su cuaderno de contraseñas esté almacenado en algún lugar relativamente seguro, es decir, no en su bolso o coche, pero algo así como un cajón cerrado con llave o caja fuerte.

Más información: ¿Quién está detrás del ransomware GandCrab?



Enlace a la noticia original