La revelación en línea de decenas de miles de contraseñas robadas de Webmail sugiere que es hora de encontrar una mejor protección.
Este otoño, más de 20.000 nombres de usuario y contraseñas robadas para proveedores de Webmail como AOL, Gmail, Hotmail y Yahoo aparecieron en Pastebin.com, un sitio de la Web para programadores.
El Webmaster, Paul Dixon, escribió que “por razones desconocidas”, unos “sinvergüenzas” publicaron los datos en su sitio. Dixon quitó la información robada, que Microsoft y algunos investigadores de seguridad piensan fue recopilada mediante ataques de phishing (vea find.pcworld.com/64036).
Un investigador en ScanSafe argumenta que los datos posiblemente provinieron de programas maliciosos diseñados para robar contraseñas, no del phishing (find.pcworld.com/64037). De cualquier manera, los malhechores claramente quieren acceso a su Webmail. Pero ¿por qué? Una amiga mía recientemente fue víctima de una estafa y su experiencia me ayuda a contestar esa pregunta. Después que su cuenta de Hotmail fuera robada, todos los mensajes que ella enviaba incluían un anuncio indeseable.
Los piratas también han empezado a usar cuentas de Webmail y de Facebook robadas para enviar peticiones supuestamente de una víctima de amigos o contactos. Algunos mensajes falsos alegan que el remitente está varado en el extranjero y que necesita una transferencia urgente de dinero.
NO PASE LA CONTRASEÑA
Para protegerme de los ladrones de contraseñas, yo uso LastPass (find.pcworld.com/64108). La herramienta ofrece un complemento gratuito para administrar contraseñas para Firefox en Windows, Linux, o Mac OS X; Internet Explorer en Windows; y Safari en Mac OS X. Un complemento para Google Chrome está en camino.
LastPass completa su nombre de usuario y contraseña para sitios verificados que concuerdan con un URL verdadero; las estafas de phishing que usan direcciones falsas de la Web pero similares no lo engañarán. Y a menos que usted escriba su contraseña, los monitores de actividades de teclas no pueden captar sus pulsos de tecla y encontrar su contraseña.
Otras aplicaciones, como Password Hash (find.pcworld.com/64015), ofrece una protección similarmente prometedora, pero LastPass almacena todos sus datos en sus servidores (usando el cifrado AES de 256 bits) así como en su PC. Como la compañía nunca tiene la clave de cifrado del software ni su contraseña, nadie en LastPass puede obtener su información.
Como sus datos están almacenados centralmente, usted puede usar el complemento con cualquier navegador, entre con la información de su cuenta maestra de LastPass y acceda todas sus contraseñas. Incluso sin el complemento, usted puede entrar en el sitio de LastPass para conseguir a su información. Eso significa que debería crear una contraseña maestra bastante compleja para el sitio de LastPass, pero también significa que tendrá una copia de seguridad si su PC se daña.
ENTRADA INSTANTÁNEA
El práctico complemento puede abrir sesiones automáticamente en los sitios y puede llenar formularios, pero para mayor seguridad se recomienda cambiar algunas de sus configuraciones predeterminadas. Por ejemplo, para impedir que alguien se siente en su escritorio y tenga acceso a sus cuentas, pulse Preferencias y seleccione Desconectar automáticamente después de un período de inactividad. Yo configuré la mía para que saliera de mi cuenta de LastPass después de una hora.
También es conveniente requerir una repetición de la contraseña para cuentas delicadas; la aplicación pedirá su contraseña maestra antes de escribir su nombre de usuario y contraseña, aún cuando ya tenga la sesión abierta. LastPass también ofrece aplicaciones para el iPhone, BlackBerry y otros dispositivos móviles, pero esos le costarán US$12 al año.
-Erik Larkin