Hoy 7 de mayo es el Día Mundial de las Contraseñas, y qué mejor forma de celebrarlo que con unos consejos básicos sobre cómo proteger nuestras identidades digitales en Internet. La elección de buenas contraseñas es fundamental para proteger nuestra identidad online, pero no sólo con contraseñas podremos proteger nuestras cuentas, a continuación os mostramos unos consejos fundamentales para protegerlas.

La primera recomendación para crear unas buenas contraseñas es no usar fechas de... Continuar leyendo

net-creds.py es un script escrito en python para obtener las contraseñas y hashes esnifando mediante un interfaz o analizando un archivo pcap. Concatena los paquetes fragmentados y no se basa en los puertos para la identificación del servicio. Por el momento soporta:

•     URLs visitadas
•     POST enviados
•     logins/passwords de formularios HTTP
•     logins/passwords de autenticación básica HTTP
•     búsquedas HTTP
•     logins/passwords FTP
•     logins/passwords IRC
•     logins/passwords POP... Continuar leyendo

Los responsables de FIDO han publicado las especificaciones finales de la versión 1.0 de un estándar que pretende iniciar una nueva era donde las inseguras contraseñas y PINs queden como un mal recuerdo. Microsoft ya había unido a FIDO hace un tiempo, junto a otras empresas.

La alianza FIDO nació en julio de 2012 para hacer frente a la falta de interoperabilidad entre tecnologías de autenticación, solucionando los problemas que enfrentan los usuarios teniendo que crear y recordar múltiples nombres de usuario y contraseñas.

El sistema de autenticación FIDO promete ser más fuerte, privado y fácil de usar al autenticar en servicios en línea por ejemplo utilizando sensores biométricos. La junta de administración de FIDO incluye empresas de la talla de Google, Microsoft, ARM, Alibaba, RSA, Samsung o VISA, lo que asegura una rápida implantación de la norma.
... Continuar leyendo

Hace unas semanas, informábamos que habían sido publicadas 5 millones de cuentas y contraseñas de GMail y la mía estaba en ese grupo de cuentas.

El archivo con cuentas y passwords, que estaba alojado en un foro ruso, fue limpiado por los administradores del foro y quedaron disponibles solo las cuentas de correo, sin las contraseñas asociadas.
Sabiendo que mi cuenta de GMail era una de las involucradas en la publicación, pude verificar en un foro italiano, que la contraseña que se mostraba no era la que utilizaba en GMail y que en realidad nunca había usado esa palabra clave en ese servicio, aunque sí la había utilizado en un foro. Esto habla a las claras de los intentos de engaños de los cuales se pueden valer los delincuentes... pero eso quedará para otro día.

Esta situación dió pie para que lleguen muchos correos de phishing y correos válidos de servicios a los cuales me encuentro suscripto con esa cuenta de correo. Una de las empresas preocupadas por la situación es... Continuar leyendo

Nadie está libre de usar contraseñas poco robustas (ni los hackers). La idea de tener una palabra compleja, recordable y diferente para cada lugar en que necesitas ingresar una contraseña es algo bastante obsoleto. El modelo es frágil y por algo las grandes empresas están trabajando en desarrollar formas de reemplazar las contraseñas como método de autentificación.
Una nueva prueba de que nadie está libre de este problema intrínseco de las contraseñas es el estadounidense Jeremy Hammond, miembro de LulzSec acusado de entrar a los servidores de la firma de seguridad Stratfor y de entregar informes internos a WikiLeaks. El hacktivista fue arrestado en 2012 por el FBI tras encabezar la lista de los... Continuar leyendo

Los documentos de identificación, las llaves para entrar en la oficina e incluso las engorrosas claves que utilizamos para registrarnos en Internet podrían desaparecer en menos de una década.

"Sitúese frente a la puerta", sugiere una voz pregrabada de mujer. "Por favor, espere a que el ordenador escanee su cerebro", añade la voz de un sistema ideado en San Sebastián que permite reconocer a las personas leyendo las características únicas de su actividad cerebral.

El sistema, creado por el Basque Center for Cognition, Brain and Language (BCBL), podría ser la forma de abrir la puerta del hogar en el futuro.

Sus creadores dicen que se podría realizar una identificación sin posibilidad de error, sin riesgo de robo de identidad y a prueba de coacciones externas.

El investigador del centro vasco Blair Armstrong trabaja en la ciencia básica que puede hacer posible este sistema de identificación en colaboración con la profesora Sarah... Continuar leyendo

Nunca subestimes el peligro de las contraseñas por defecto. No sólo podría dejar tu red Wi-Fi casera abierta a un vecino listillo, sino que, si utilizas cámaras IP para vigilancia, podrías estar haciendo streaming de toda tu vida sin saberlo. Existen sitios web, como Insecam, que se dedican a recoger vídeo en directo retransmitido por cámaras IP cuya contraseña no se ha cambiado, siguiendo activa por tanto la clave que viene por defecto.

Acceder a este tipo de cámaras no protegidas no es nada difícil, como ellos mismos explican: una simple búsqueda en Google con los contenidos de la página de identificación de cada fabricante de cámaras y voilà. Si, además, sabes con qué contraseña entrar (y, en este caso, al ser una contraseña por defecto la sabes), puedes acceder a la retransmisión de seguridad privada de un número importante de cámaras.

En Estados Unidos, y volviendo a Insecam, aparecen más de 10.588 cámaras desprotegidas. En España tampoco nos libramos: 1... Continuar leyendo

Google ha anunciado una mejora de su sistema de verificación en dos pasos añadiendo soporte para el protocolo Universal 2nd Factor (U2F) de la FIDO Alliance.

Como sabes, hace tiempo que Google comenzó a ofrecer un sistema de autenticación de dos factores para proteger accesos no autorizados a cuentas de usuario, incluso en robos de contraseña, algo como sabes a la orden del día. Su funcionamiento es sencillo. Google envía a tu teléfono móvil un código que debes introducir junto a tu password para aumentar la seguridad.

Google Security Key hace los mismo pero mediante una llave física que se conecta a un puerto USB, se pulsa un botón dedicado que incluye para introducir la contraseña y loguearse de forma segura en el navegador Chrome y para todos los servicios ... Continuar leyendo