Estamos en pleno 2016 y a pesar de que nos han dicho millones de veces que no usemos contraseñas fáciles de descifrar, todavía hay personas que siguen colocando claves como “123456” o palabras simples como ”password” como contraseña de sus cuentas personales en redes sociales y toda clase de servicios online.
Un buen ejemplo de ellos es el caso de Last.FM, una red social popular por permitir a los usuarios crear emisoras de radio y compartir gustos musicales, la cual fue victima en 2012 de un ataque que expuso los datos personales y claves de acceso de al menos unos 43 millones de usuarios. Entre la lista de claves y nombres de usuario que han sido publicadas ahora en el portal leakedsource, se encuentra un curioso top 50, de las contraseñas inseguras mas utilizadas por los miembros de esta red social, donde podemos ver que a pesar de que nos lo han advertido un montón de veces, miles y miles de personas siguen usando contraseñas muy débiles, a continuación las primeras 15 contraseñas más usadas.
| Top | Contraseña | Frecuencia |
|---|---|---|
| 1 | 123456 | 255,319 |
| 2 | password | 92,652 |
| 3 | lastfm | 66,857 |
| 4 | 123456789 | 63,984 |
| 5 | qwerty | 46,201 |
| 6 | abc123 | 36,367 |
| 7 | abcdefg | 34,050 |
| 8 | 12345 | 33,785 |
| 9 | 1234 | 30,938 |
| 10 | music | 27,975 |
| 11 | 12345678 | 25,876 |
| 12 | 111111 | 25,313 |
| 13 | abcdefg123 | 21,555 |
| 14 | aaaaaa | 19,098 |
| 15 | 123123 | 18,147 |
En realidad parte de la culpa de una brecha de seguridad de este tipo no la tienen los usuarios del todo (peso si les facilitan mucho el trabajo a los hackers), sino el propio portal en sí, que no solo permitía a sus miembros crear perfiles con contraseñas tan inseguras, sino que además utilizaba un algoritmo de protección de contraseñas MD5 básico que no brindó prácticamente ninguna resistencia a los ataques de los hackers, quienes en menos de dos horas se hicieron con más de un 90% de los datos de los usuarios de la red social.
Algo realmente preocupante además, es que a pesar de que Last.FM estuvo consiente de esta filtración por los últimos 4 años, parece que no se tomaron medidas mas drásticas que la de informar por medio de un correo electrónico a sus usuarios que tomaran precauciones cambiando sus claves de acceso. Si consideramos que los atacantes han tenido al menos 4 años para aprovechar esta base de credenciales de acceso, y que la mayoría de las personas suelen usar la misma clave en múltiples servicios online es mucho el daño que ya se ha podido causar.
Una lección que nos debe quedar a todos de este caso de la vida real, es que nuestras claves deben ser lo suficientemente fuertes como para que un algoritmo de predicción por fuerza bruta logre dar con ella. Una combinación lo suficientemente larga de letras, números y caracteres especiales es preferible a una simple frase o fecha de cumpleaños.
Foto | Pixabay