miércoles, diciembre 09, 2020

iPhone con iOS 14 y las alertas de contraseñas filtradas: Ponte un Segundo Factor de Autenticación

Apple ha activado hace algo de tiempo su gestor de seguridad de contraseñas en iOS 14. Eso quiere decir que ahora se dedica a hacer algo que en ciberseguridad, en el servicio de CyberThreats de ElevenPahts, por ejemplo, hacemos hace mucho tiempo, es decir, avisarte cuando tu identidad o tu contraseña ha caído en una filtración de identidades en la red.

Figura 1: iPhone con iOS 14 y las alertas de contraseñas filtradas.
Ponte un Segundo Factor de Autenticación

Esto lo podrás ver en iOS 14 fácilmente. Solo debes entrar en la sección de Settings y buscar la zona de Passwords. Ahí, entrar en la sección de Security Recomendations y ver si lo tienes activado o no para que te salgan las alertas. Como veréis, hay una lista de avisos de seguridad - seguro que tienes alguno ahora mismo - con las contraseñas que estás utilizando -.

Figura 2: Detect Compromised Passwords

Si tienes alguno de esas alertas, lo que te recomienda Apple con esta característica en iOS, es que cambies inmediatamente la contraseña por una que no haya sido filtrada, lo que está bien. Pero este asunto es importante de entender. No está diciendo que tu usuario y tu contraseña asociada a este servicio haya sido filtrado en la red. No. Lo que te está diciendo es que tu contraseña ha aparecido en una filtración de datos en Internet (o en la Deep Web) lo que puede hacer que se introduzca dentro de un diccionario de contraseñas y se pruebe contra tu dirección de e-mail en un intento de romper el acceso a tu cuenta.

Figura 3: Libro de Hacking iOS:iPhone & iPad (2ª Edicón) en 0xWord de
Chema Alonso, Ioseba Palop, Pablo González y Alejandro Ramos entre otros.

Por supuesto, si alguien quiere hackear tu iPhone, o alguna de las apps que tienes instaladas en tu iPhone, una de las cosas que seguro que va a probar es a buscar identidades filtradas en Internet y listas de contraseñas filtradas en la red para hacer un ataque de diccionario, antes de probar un ataque de fuerza bruta. Por lo qué cuanto menos información pueda existir sobre tu contraseña, mucho mejor. Pero no solo sobre la contraseña. Si se filtra tu usuario en una lista de datos en la red, el riesgo es mucho mayor. Por eso en Latch decidimos avisar de cuándo tu e-mail asociado a cualquier servicio de la red, ha sido publicado en una filtración de identidades en la red.

Figura 4: Opciones de Security Breaches en Latch

Ahora bien, volvamos al tema de contraseñas. Si no quieres que te salga ninguna alerta, olvídate de usar contraseñas que puedas recordar y vete directamente a usar un gestor de contraseñas de los muchos que hay, tipo 1Password o similares. Con ellos crearás una contraseña suficientemente aleatoria y difícil como para que alguien haya generado la misma y caiga en una filtración de datos en Internet. Eso sí, no hay garantía de que otro no haya usado la misma y haya sido filtrada, y por seguro que no va a ser fácil de recordar.
- Proteger Dropbox con Latch Cloud TOTP
- Proteger Facebook con Latch Cloud TOTP
- Proteger Amazon con Latch Cloud TOTP
- Proteger Google/Gmail con Latch Cloud TOTP
- Proteger MS Live/Outlook Online con Latch Cloud TOTP
- Proteger Office 365 con Latch Cloud TOTP
- Proteger WordPress/Joomla/Drupal/PretaShop con Latch
- Proteger tu cuenta ACENS con Latch
- Proteger Linkedin con un segundo factor de autenticación
- Proteger WordPress con Latch Cloud TOTP
- Proteger Twitter con Latch Cloud TOTP
- Proteger ProtonMail con Latch Cloud TOTP
- Proteger tu cuenta 0xWord con Latch
Como sabéis, yo creo que las passwords complejas no tienen ningún valor en los servicios online de Internet, y que la seguridad de tu cuenta es infinitamente mayor si tienes un 2FA tipo Latch o Latch Cloud TOTP que si has puesto una contraseña compleja. Para que quede claro. Si tienes una cuenta en Google/Gmail, Office 365, WordPress, Drupal, Joomla!, etcétera, con 1FA un factor de autenticación (la contraseña) siempre será más insegura - no importa la contraseña que utilices - que si tiene 2FA dos factores de autenticación. Es decir:

- Cuenta1, Passowrd:!"QWSADXCV$%RTEGDF$·ERFDASDFSD (1 Factor) 
 
- Cuenta 2, Passowrd: casa#de#papel más Latch (2 Factores)

La Cuenta2 tiene mucha, pero mucha, mucha más seguridad que la cuenta 1, así que si tienes identidades sin 2FA debes comenzar a ponerlas hoy en día, lo primero.


En segundo lugar, recuerda que la protección de una cuenta no es solo tener una contraseña compleja o no, o tener un 2FA o no, debes tener presente que si te hacen un ataque de Phishing y se meten en el medio de tu proceso de Login te pueden pedir el 1FA (la contraseña) y el 2FA (la contraseña), así que debes estar muy atento a dónde haces clic y dónde pones tu 1FA y tu 2FA


Y por último, por supuesto, como ya he dicho muchas veces, por muy robusta que sea tu contraseña, por mucho 2FA que hayas configurado en tu identidad, si al final haces clic en la asignación de tokens OAuth en un ataque  de Spear-Apps como el de SAPPO, entonces tu identidad se va al garete. 

Figura 7: Libro de "Cómo protegerse de los peligros en Internet" de 0xWord
de José Carlos Gallego Cano

Dicho todo esto, mi recomendación s que tengas activada las Security Recomendations de iOS en tu iPhone, que hagas caso e intentes tener contraseñas que no sean fáciles o estén en todos los diccionarios habidos y por haber de contraseñas, pero que aproveches esta alerta para configurar un 2FA en todas tus identidades, y que tengas mucho cuidado con el clic, el Phishing y los ataques de SAPPO para robarte tokens OAuth. Para eso, te recomiendo la lectura del libro de Cómo protegerse de los peligros en Internet que explica muchas de estas configuraciones protegidas que harán que tu identidad en todos y cada uno de los servicios esté un poco más segura.

Saludos Malignos,


No hay comentarios:

Publicar un comentario