Ayer,
25/08, nos
enterábamos vía redeszone que la empresa de alojamiento Hostinger había sido hackeada el
pasado día 23, accediendo los atacantes a datos privados de sus 14
millones de usuarios (sí, yo tengo un par de webs alojadas con
ellos…) Entre los datos robados figuran las cuentas de correo
electrónico de acceso al servicio y las contraseñas, hasheadas, eso
sí. Aún con todo, Hostinger ha reseteado las contraseñas de todos
sus usuarios quienes nos hemos visto forzados a un cambio ¡Y digo
c-a-m-b-i-o y no volver a poner la misma! ¿Por qué aconsejan
siempre lo mismo cada vez que hay un hackeo de este tipo, o un leak
(fuga) de información de bases de datos de hackeos?
Porque el
ser humano es vago por diseño, y tendemos a usar la misma cuenta de
correo y la misma contraseña para todos los servicios que empleamos
¿o me vas a decir que tus correos de acceso a Facebook, a Instagram,
a Twitter son distintos al de Gmail que tienes en el móvil Android?.
Con un poco de suerte haces lo que
¿recomiendan? De añadir al final de la misma contraseña la “fb”
para Facebook, o “ig” para Instagram o… #OMG. Ya hablaré en
otro momento de contraseñas…
Pero nos
volvemos a Hostinger, quienes tenían las contraseñas “hasheadas”
en sus bases de datos. Y ¿eso es bueno? Sí, porque aunque tengan
las cuentas de correo “en claro”, las contraseñas
correspondientes no lo están, por lo que en principio el par
correo-contraseña no está disponible, temporalmente al menos, para
los malotes.
Y vamos por
partes: ¿qué es eso de “hasheadas”? Pues eso de “hashear”
es aplicar una función matemática irreversible, de sólo un
sentido, a la contraseña en este caso de modo que se puede almacenar
sin que sea “legible” o comprensible.
Así, cuando nos logueamos en un servicio, al poner nuestro usuario y
contraseña (en claro) lo suyo es que se transmita cifrada (vía
https://) y al llegar al servidor éste aplique la función hash a la
contraseña en claro, obtenga un resultado (hash) y lo compare con el
hash almacenado en la base de datos: si coinciden, adelante; si no
coinciden, vuelta al principio del logueo.
De esta
forma nuestra contraseña está a salvo… ¡al menos durante un
tiempo! Porque como insisten en redeszone “...ya que es cuestión
de tiempo que crackeen el hash de la contraseña”. Y entonces
podrán obtener las contraseñas en claro para cada uno de los
usuarios.
Pero si es
cuestión de tiempo ¡puede llevar mucho! Es la objeción-tipo
(recordad que los usuarios somos un tanto vagos…) que
aplicamos para no cambiar la contraseña ¡con lo que cuesta
aprendérsela! Ya, pero es que los malotes -que son muchos y
avispados- mientras llega ese crack al hash de las contraseñas lo
que hacen es buscar la “inversa”: si a toda palabra “en claro”
corresponde un “hash” ¡cada hash tiene su correspondiente
palabra en claro! Y, claro, claro: hay herramientas para hashear ¡y
bases de datos, de libre acceso, con hashes y sus correspondientes
palabras (contraseñas)! Y los malotes lo saben, y se van con ese
listado de 14 millones de contraseñas hasheadas y lo comparan con
ese otro listado de sopotocientosmil millones de hashes hasta que
encuentran una coincidencia, hasta que encuentran la aguja en el
pajar. Y, sí: no buscan la aguja a mano sino que emplean un detector de
metales, que para eso son malos pero hábiles y nada tontos.
Así que
para evitar que nuestra aguja sea encontrada y empleada para
pincharnos, lo mejor es desecharla y hacernos con una nueva; vamos,
que hay que cambiar las contraseñas de los servicios hackeados a la
mayor brevedad, por aquello de “más vale un por si acaso que un yo
pensé”.
Y como una
parrafada sin imágenes es un tostón, os muestro lo fácil que es
hacer el proceso de hashear una contraseña (Administrador) y buscar
su reverso.
Comenzamos
yéndonos aquí, por ejemplo y sin dar muchas más vueltas buscando por ahí.
Recordad que este blog tiene como objetivo a usuarios básicos, que
para aquellos que sois ya avanzados o, directamente,
maestros en estas lides, hay otros sitios mejores y más técnicos que, además, conoceréis…
En la página podéis entreteneros un rato viendo todo lo que nos permite hacer: lo del correo de usar y tirar es bastante útil, ver los listados de contraseñas ya hasheadas…
Aunque
podemos empezar directamente introduciendo nuestra palabra de muestra
(o contraseña real, cosa que yo personalmente no haría, pero…) en
la caja de texto al lado del botón rojo, si no tienes demasiados
problemas con el inglés haz clic en la opción que indica la imagen,
y la siguiente pantalla nos “cuenta” qué es la función hash de
un modo muy resumido y clarito.
Tecleamos
nuestra contraseña súper-secreta para
calcular el hash a guardar en la base de datos y que esté segura…
Tras lo que
nos pide superar un reto de Captcha (hay que entrenar a la
Inteligencia Artificial de turno)… Por cierto ¿será alemana la
página web?
Superado el
reto, comienza el proceso de hasheo…
Y obtenemos el hash en formato MD5, uno de los 66 posibles que nos ofrece la página web. Si hacemos scroll hacia abajo podemos ver el hash en otros formatos (he de confesar que muchos de ellos me eran/son totalmente desconocidos)…
Pues un
resultado equivalente a este, que tiene una cantidad finita y
determinada de dígitos de
salida de la función hash independientemente del tamaño de la
palabra de entrada, es el que los “malotes” han robado
de, en este caso, Hostinger.
Ahora, con
este resultado que hemos obtenido (2a2e9a58102784ca18e2605a4e727b5f)
vamos a hacer el proceso inverso: nos vamos de nuevo a la página de
inicio
seleccionando la opción “Hash Type Checker” (Comprobador de tipo
de Hash) en la columna de la izquierda…
Lo que nos
brinda como resultado un listado de las
posibles funciones de hash que dan como salida nuestro dato de
entrada…
Hacemos
un poco de trampa, y nos vamos directamente a seleccionar la opción
de MD5 en la casilla verde de “Decrypt”…
¡Eureka!
Ya tengo tu contraseña…
¿Cuánto
estarías dispuesto a pagar por recuperar tu cuenta de…?¿En cuánto
tasarías/tasarían los daños reputacionales que puede acarrearte
que un malote se haga con tu perfil profesional en redes sociales,
por ejemplo?
PUes ¡hala! vayamos cambiando contraseñas en caso de ser uno de los "agraciados"; y si no ha sido así, también es un buen momento para empezar a adoptar la rutina de cambiar las contraseñas periódicamente.
No hay comentarios:
Publicar un comentario