Ayer por la tarde saltó la alarma en la cabeza de todos los usuarios de LinkedIn al entrarnos que se habían publicado, en un foro de Rusia, las contraseñas de casi 6,5 millones de usuarios del servicio. Si bien las contraseñas estaban codificadas mediante el algoritmo SHA-1, algunos expertos en seguridad alertaron que se trataban de contraseñas de LinkedIn y que, además, algunas era fáciles de descifrar. LinkedIn, la verdad, tardó bastante en confirmar lo sucedido y en aplicar un plan de respuesta rápido para minimizar el impacto; sin embargo, parece que esta filtración masiva no solo afecta a esta red profesional puesto que, entre la filtración, también hay 1,5 millones de contraseñas del servicio de búsqueda de pareja eHarmony.
Tal y como comentábamos ayer, un misterioso usuario bajo el alias "dwdm" publicó los 6,5 millones de contraseñas de usuarios de LinkedIn y, según hemos conocido hoy, entre todo el material publicado se encontraban 1,5 millones de contraseñas de usuarios de eHarmony que, igualmente, se encontraban cifradas. dwdm lanzó al aire una pregunta para ver si otros usuarios le ayudaban a descifrar las contraseñas y , a partir de ahí, comenzó el que seguramente haya sido uno de los peores días de LinkedIn y eHarmony. Una contraseña por sí sola no sirve de mucho si no se acompaña del nombre del usuario o su dirección de correo electrónico pero, por ahora, nadie puede confirmar ni desmentir que quien se haya hecho con las contraseñas no tiene también los nombres de los usuarios.
Al igual que pasó con LinkedIn, al descifrar algunas de las contraseñas, varios expertos en seguridad han encontrado la cadena "eharmony" formando parte de éstas y al ver que el número de coincidencias era alto dedujeron que, entonces, también habían logrado hacerse con información procedente de los usuarios de este servicio. ¿Y cuál es el impacto de esta filtración? 1,5 millones de contraseñas frente a los más de 20 millones de usuarios registrados en los países en los que opera (Estados Unidos, Australia, Canadá, Reino Unido y Brasil) implica que, aproximadamente, algo más del 7% de los usuarios se habrían visto afectados.
eHarmony, a través de su blog, ha reconocido el hecho y, como es de suponer, también estarán investigando las causas que han llevado a que un 7% de sus usuarios haya visto cómo sus cuentas han quedado expuestas y sus datos comprometidos (aunque la compañía intente minimizar lo sucedido):
Después de investigar los informes relativos a contraseñas que habían quedado comprometidas, hemos encontrado que una pequeña parte de nuestra base de usuarios está afectada. Continuamos investigando lo ocurrido y definiendo actuaciones que protejan los datos de nuestros usuarios. De manera preventiva, hemos reseteado las contraseñas de los usuarios afectados y se les ha enviado un correo electrónico inicando cómo pueden cambiarla
El número de servicios disponibles en la red es enorme y, en su gran mayoría, requieren de un registro en el que tenemos que facilitar datos personales y nuestra dirección de correo electrónico. Si las compañias, realmente, no invierten en las medidas de seguridad necesarias ni realizan auditorías o análisis de posibles vulnerabilidades, nuestros datos (que son uno de sus activos) quedarán totalmente desprotegidos a merced de alguien que, con no muy buenas intenciones, intente acceder a ellos.
Si bien las empresas tienen responsabilidad como custodios de nuestros datos, el usuario también debe poner los medios oportunos para que, fruto de una mala gestión por parte de los responsables de un servicio, no se vean afectados otros servicios en los que mantengamos una cuenta. ¿A dónde quiero ir a parar? Como bien comentaba el equipo de Gmail anoche, a través de su perfil en Google+, es importante "mantener una distancia de seguridad" entre servicios, es decir, mantener contraseñas distintas en cada servicio, cambiarlas con cierta regularidad y utilizando patrones seguros y que no sean fácilmente identificables (y en este grupo no entra usar la misma contraseña siempre y concatenarle el nombre del servicio).