123456 todavia la contraseña más usada y la seguridad como tarea activa

Hay una gran contradicción entre las preocupaciones expresadas públicamente por los usuarios de casi cualquier servicio online y lo en serio que se toman esos mismos usuarios ponérselo algo difícil a los amantes de los datos ajenos 

Como ya resulta normal (nada novedoso) leer que tal o cual compañía importante ha sido hackeada liberando miles o millones de cuentas de usuario, eso implica al menos dos cosas:

Primero que la tarea de auto-protegerse con una clave algo trabajada debería estar en la agenda mental de aquellos que por ejemplo tienen suscripciones mensuales (movimientos de una cuenta bancaria a una empresa)

segundo y en efecto que todos esos datos personales robados no desaparecen y de hecho la mayoria termina dando vueltas durante años en webs públicas como GitHub donde acceden desde los malos hasta investigadores que tratan de aumentar la seguridad de las cuentas de usuario

Con todo lo que históricamente ha llovido en el robo de cuentas en Internet, todavía se puede afirmar que el (tristemente) famoso 123456 sigue siendo la contraseña más usada del mundo, al menos esta es la conclusión de un estudio de más 1000 millones (1 billion) de cuentas hackeadas y que ha realizado un investigador turco  cuyas conclusiones estan disponibles en GitHub

Es más, si tomamos la totalidad de los mil millones de cuentas, a toda ellas se acceden con menos de 169 millones de contraseñas (passwords) de los cuales 7 millones son la citada cadena  123456 

Esto significa que 1 de cada 142 contraseñas o el 0,7% de todos los passwords analizados es 123456!!  , ahora pensemos si esto no es una invitación con barra libre para que unos pocos con algo de tiempo se dediquen a hackear servicios populares , en efecto es muy lucrativo y muy fácil!!

Hay algo en la didáctica  digital (como se ha enseñado) que nos anima a esforzarnos cada vez menos, ya que la curva de aprendizaje siempre se consideró barrera de entrada para muchas empresas de Internet dispuestas a conseguir cuantos más usuarios (y antes) mejor

La privacidad y la seguridad puede y debe ser un derecho del cliente, usuario etc, pero no es un derecho pasivo cuya resolución debe recaer en la empresa que te da el servicio o en el (papa) Estado siempre vigilante de los villanos (mean men), de modo que o rompemos la cultura de la facilidad en Internet reescribiéndola (en parte) desde el principio o seguiremos en la vagancia del 123456 ....

  

Mercado del fraude: una identidad completa por 1200 $

Las continuas advertencias y llamadas de las principales plataformas nos dan una idea del (enorme) volumen de robo de datos en la red, lo que se ha convertido en la principal amenaza de todos los servicios presentes y futuros que se presten online

Pero, ¿cuanto valen exactamente los datos de nuestras redes sociales, cuentas de comercio electrónico o  de plataformas de entretenimiento como iTunes o Netflix? 

La web Top10VPN acaba de publicar un Indice del valor de mercado de la Dark Web donde se recogen mes a mes los precios que se pagan los amigos de lo ajeno (defraudadores) por los datos de los usuarios

En un resumen rápido podemos ver que los datos más caros son los de las cuentas de PayPal por el que se pagan hasta 247 US$ (unos 200 Euros), seguido de los detalles de cualquier cuenta bancaria que vale unos 160 dolares (129 Euros)

En efecto y como es fácilmente imaginable los datos de entidades de pago, sobre todo las tarjetas de crédito son la joya de la corona del comercio ilícito de datos, lo que puede incluir datos tan jugosos como el saldo de una persona, o la cuenta donde carga los pagos 

Al otro lado del espectro del mercado negro o sea los datos más baratos de comprar son los login de las redes sociales (social login), las plataformas de ocio, las cuentas del correo electrónico y las app de citas como la popular Tinder, por la que se paga poco más de 3 dolares 

¿Y para que quieren estos "hackers malos" este tipo de datos, o como pueden lucrarse con ellos? 

Bueno pues en las redes sociales hay que distinguir entre Facebook y el resto, por que esta red ofrece más datos de sus usuarios que las demás, y por eso un login robado de Facebook puede valer más de 5 dolares y por uno de Instagram no se paga más de 1.2 dolares 

Las cuentas de tus plataformas de ocio favoritas como Apple, Netflix o Spotify también tienen valor de mercado pero con muchas diferencias. Las de Apple alcanzan 15 dolares, pero por Netflix apenas se paga 8 dolares y la de Spotify se vende por 21 centavos 

Estas cuentas permiten en muchas ocasiones suplantar la identidad de un usuario y por ejemplo ofrecer el acceso gratuito a los contenidos contratados (ver películas gratis etc) hasta que el dueño de la plataforma se da cuenta de este fraude y corta esta oferta free, de ahi su bajo valor 

Como veis incluso tus datos de app de citas (dating) se venden en mercado negro, algo que parece difícil de entender ya que no es fácil imaginar un fraude lucrativo con estos datos. En general estos datos se venden ya que el defraudador/a crea una identidad falsa con la que engañar a su potencial y enamorada victima ,,,

Lo que llama la atención es que sumando todos los item que definen la identidad de una persona en la red su valor NO pasa de los 1170 dolares,  lo que en si es un incentivo (de mercado) para que haya más robo ya que como te puedes imaginar hay identidades muy rentables...

El hackeo de Uber: porqué puede ser positivo

Lo que se vino en llamar "economía colaborativa", con tintes románticos de participación entre personas, ha devenido en un monopolio de escala global cuyas caras más visibles son Airbnb y Uber

En especial Uber ha generado una espiral de controversias donde se mezclaba la lógica pero irracional resistencia de los taxis por NO ser relegados en el mapa del transporte y otras más fundamentadas que tienen que ver con su formas de gestión

El anuncio esta semana de que Uber pagó 100.000 dolares a una pareja de hackers para que no revelara el acceso no permitido de datos personales de 57 millones de cuentas, ha puesto de nuevo en guardia a todas autoridades regulatorias de paises donde actúa la plataforma de transporte

El principio ético que rige estos ataques es el de NO pagar frente al acceso NO permitido a datos de clientes/colaboradores de una empresa, aunque desde luego es estadisticamente probable que muchas empresas prefieran pagar calladamente ya que las perdidas por el escándalo superan siempre el coste del chantaje

O sea que lo hizo Uber, callarse y pagar, NO creo que sea una excepción insólita, sino una practica extendida en un sector al que se le presupone un volumen de 2000 millones de dolares anuales (además en negro!)

Lo positivo de este nuevo caso Uber es que dada la dimensión simbólica de la empresa (una especie de nueva economía de free lance que facturan para plataformas globales) se empiecen a poner las bases legales para una actuación en situaciones de crisis cuando se pone en peligro datos personales de ciudadanos de un país

Como se puede ver en este episodio el negocio de los hackers no esta en desvelar si una persona trabaja o no para Uber o si has ido de tu casa a un centro comercial 5 veces al mes, sino en diseñar un escándalo que intranquilice a usuarios e inversores 

Los (casi) continuos escándalos de hackeos de empresas como Equifax o la propia Yahoo quien reconoció que todas sus cuentas de usuario resultaron afectadas  (+3000 millones!) demuestran que cualquier empresa que trabaje en red esta expuesta sin que existan garantías 100% de protección

De cuantas violaciones de datos NO nos habremos enterado? gracias Uber por que a partir de ahora al que no lo desvele le costara la cabeza 

Computadoras con ruedas: en que se ha convertido el automóvil

Hace unos dias, como todos, me impactó la noticia del Jeep hackeado ,en el cual el conductor perdia el control de determinadas funciones como el aire acondicionado, la radio, los limpiaparabrisas, por obra y gracia de dos hackers (buenos) que tomaban control del vehículo a distancia (wireless) sin más intención que mostrarle la vulnerabilidad a su fabricante FCA (Fiat Chrysler Auto)

No obstante, el salto exponencial de este hackeo de coches es la forma de acceso al control electronico del vehículo. Es decir, hasta ahora cualquiera que tuviera acceso al puerto de diagnostico del coche (a través del cual se analiza en el taller los posibles fallos y estado de seguridad) con un USB podia , por ejemplo, reescribir el soft que controla el coche

Pero, la sorpresa ahora ha sido que con una común conexión 3G de una red celular/movil se puede hackear miles de coches vulnerables, lo que ha supuesto un hito no solo para la industria, sino para la apreciación que a partir de ahora tendrán los compradores de coches de sus maquinas 

La idea de un vehiculo como un Sistema conectado a un plataforma con creciente inteligencia, donde las partes mecanicas son meros perifericos no es nueva, pero no creo que muchos tuvieran conciencia clara de cuan cerca estábamos de esta etapa

Es cierto que Tesla lleva haciendo pedagogia (y marketing) con las versiones sucesivas de sus sistemas de control (algo asi como el OS del coche) disponibles para descarga OTA, para los privilegiados dueños de sus maquinas eléctricas, pero como esta automotriz ocupa un nicho pequeño todavia (muy local USA y además dentro del subsegmento de los eléctricos) no muchos se han dado cuenta que donde hay un SO y conectividad puede haber control no deseado

El factor seguridad da un salto exponencial del hard al soft pero no solo para los fabricantes, sino para las familias que ahora (logicamente) preguntarán al vendedor el grado de vulnerabilidad de un modelo o marca, y viceversa, las marcas podrán crear referentes en seguridad frente a ataques no deseados, como si de un airbag se tratase o de la resistencia a un choque

La sensación que dan los coches nuevos de que te metes en una computadora con ruedas, va muy en sintonia con nuestra vida conectada entre pantallas, pero no debemos olvidar que en cada aparato tenemos un antivirus y un update regular del SO, algo que los fabricantes deberan especificar a partir de ahora como un criterio más de calidad