A propósito de una reciente resolución de la AEPD en la que aparece como indicador de un uso no diligente de sus claves por parte de un usuario, escribimos este post. El caso es que las claves aparecieron en el sitio web haveibeenpwned.com. En la resolución se alega que el reclamante es un exponente de acreditada escasa diligencia en la gestión y custodia de sus credenciales.
Podríamos traducir libremente del inglés el término “pawned” como “comprometido”. El sitio web ofrece un servicio gratuito para que el usuario pueda comprobar si su dirección de correo electrónico o contraseñas aparecen en sus listas y, en consecuencia, si sus claves han sido comprometidas y conviene cambiarlas inmediatamente.
¿Por qué son importantes las contraseñas?
Acceso a la gestión de la información, utilización de servicios como la banca en línea o compras por internet son tres ejemplos cotidianos en los que usar contraseñas adecuadas resulta imprescindible.
Si pueden suplantar nuestra identidad, pueden tener acceso a nuestra información confidencial (por ejemplo, la almacenada en el cloud con documentos, fotos y videos, etc.), entrar en nuestra cuenta bancaria (con consecuencias imprevisibles) o hacer compras importantes que tendremos que pagar nosotros.
Podríamos traducir libremente del inglés el término “pawned” como “comprometido”. El sitio web ofrece un servicio gratuito para que el usuario pueda comprobar si su dirección de correo electrónico o contraseñas aparecen en sus listas y, en consecuencia, si sus claves han sido comprometidas y conviene cambiarlas inmediatamente.
¿Por qué son importantes las contraseñas?
Acceso a la gestión de la información, utilización de servicios como la banca en línea o compras por internet son tres ejemplos cotidianos en los que usar contraseñas adecuadas resulta imprescindible.
Si pueden suplantar nuestra identidad, pueden tener acceso a nuestra información confidencial (por ejemplo, la almacenada en el cloud con documentos, fotos y videos, etc.), entrar en nuestra cuenta bancaria (con consecuencias imprevisibles) o hacer compras importantes que tendremos que pagar nosotros.
¿Qué tenemos que hacer?
La mayoría de consejos que se pueden dar son de sentido común. Sobre todo, de aquello que no se tiene que hacer. Post-it en el monitor, bajo el teclado, libretas con lista de claves, … son prácticas que ya hace tiempo tendrían que estar desterradas.
En cualquier caso, conviene insistir.
- No compartir la contraseña con nadie.
- Contraseñas robustas (al menos 8 caracteres, mayúsculas, números, símbolos, …
- No usar la misma contraseña en diferentes servicios. Por ejemplo, la del banco y la de Facebook (FB).
- No entrar en un servicio con la cuenta de Google o FB. Si este se ve comprometido, el atacante tendrá acceso a todos los servicios que dependen de esta cuenta. Y de otros muchos porque, estéis seguros, lo probarán con todos.
- Cuidado con las preguntas de seguridad. Solo tú deberías conocer la respuesta (y que no se pueda deducir de tus redes sociales, como la fecha de nacimiento, nombre de la mascota, etc.).
- Usar siempre que sea posible el doble factor de autenticación (2FA).
- Utilizar gestores de contraseñas. Hay muchas opciones en el mercado a precios muy asequibles.
¿Qué pasa si nuestra cuenta aparece a haveibeenpwned.com?
Pues obviamente estamos ante una situación comprometida y tenemos que actuar inmediatamente.
Primero identificando los correos y contraseñas que han sido expuestos. A continuación, usando un gestor, generar contraseñas fuertes y diferentes por todos los servicios comprometidos, empezando por los más críticos (primero el banco antes que FB) y cambiarlas todas.
Cuidaos!
