Ha sido el medio The Hacker News el que dio como exclusiva la noticia el día de ayer tras ser informado por LeakBase sobre la filtración de datos padecida por Taringa. LeakBase se ha hecho con una copia de 28.722.877 de cuentas con información detallada, incluyendo nombres de usuario, direcciones de email y contraseñas cifradas.
Obviamente, al estar las contraseñas cifradas, se supone que los usuarios todavía cuentan con una barrera para evitar el acceso a sus cuentas, sin embargo, todo cambia si decimos que el algoritmo de cifrado empleado es MD5, el cual es considerado obsoleto y poco seguro desde hace años. Lo descrito en este párrafo significa que los hackers lo tienen relativamente fácil para realizar ataques mediante fuerza bruta y obtener las contraseñas de los usuarios.
De hecho, el mismo equipo de LeakBase ha reconocido haber conseguido crackear en pocos días aproximadamente el 94% de las contraseñas cifradas obtenidas, suponiendo esto un número cercano a los 27 millones. Por otro lado, también ha filtrado una muestra de 4,5 millones de contraseñas para ayudar a verfiicar la autenticidad de los datos, cosa que fue confirmada por algunos usuarios de Taringa.
Como ya ocurriera con Yahoo o Myspace, nos enteramos en diferido del ataque, ya que este se produjo el mes pasado. Con el fin de evitar un daño mayor, Taringa está enviando contraseñas de reinicio a través de email para forzar su actualización. También ha reforzado el cifrado, pasando del obsoleto MD5 al más fuerte y seguro SHA256.
Estos los números obtenidos por LeakBase sobre la cantidad de contraseñas, el conjunto de caracteres utilizado por estas y el porcentaje que ha sido crackeado con éxito.
Como bien han apuntado nuestros compañeros, los mantenedores del sitio web son en parte responsables al usar un cifrado obsoleto y no confiable, pero los usuarios también tienen parte de culpa al usar contraseñas muy débiles. La más utilizada era 123456789, empleada por 160.860 usuarios, mientras que 123456 era empleada por otros 90.399. Luego vemos nombres comunes o famosos, como fernando, america, alejandro, nacional, naruto e incluso la misma palabra contraseña, lo que muestra la poca seriedad en la seguridad propia mostrada por muchos.
La longitud de las contraseñas es otro punto a tener en cuenta, ya que la mayoría de estas solo eran de 6 caracteres, acaparando el 29,82%. Después están las de 8 caracteres, que acaparaban el 20,2% y luego las de 9, 10 y 7 caracteres se quedan muy cerca del 10% o no lo superan por mucho.
La inmensa mayoría de las cuentas utilizaban una cuenta de hotmail.com, el antiguo dominio usado por Microsoft para su servicio de webmail. Sin embargo, sorprende ver hotmail.es en el tercer puesto, ya que ese es el dominio creado para España y Taringa tiene como público objetivo a los habitantes de América Latina, aunque por cuestiones de idioma un español no tendría ningún problema para desenvolverse en dicha red social.
Con las contraseñas, siempre con pies de plomo
Los casos de filtración de grandes cantidades de contraseñas y/o datos de cuentas de usuario han sido uno de los grandes protagonistas del 2016. El caso más importante afectó a Yahoo, con 1.000 millones de cuentas hackeadas, pero también son para destacar los de Myspace, VK, LinkedIn y Tumblr.
Desde MuySeguridad recomendamos la utilización de contraseñas fuertes que contengan diez caracteres e incluyan números, letras en mayúsculas y minúsculas y al menos un carácter especial. Sin embargo, hoy en día no es raro estar registrado en decenas de servicios, lo que termina dificultando el mantenimiento e incitando a la reutilización y repetición, dejando al usuario desprotegido en varios servicios con solo obtener una contraseña.
Para evitar la situación descrita en el párrafo anterior, recomendamos encarecidamente la utilización de un gestor de contraseñas para no repetirlas y así facilitar la generación de una fuerte para cada servicio, formando palabras que difícilmente pueden estar en un diccionario empleado para ataques de fuerza bruta.
Fuente: muyseguridad
