por Charles Miller

La columna de la semana pasada sobre la enorme violación de datos confidenciales de los clientes en UnitedHealth Group provocó una respuesta de uno de mis correctores que dijo: "¿Por qué debería importarme? No me afecta". Al contrario, contesté. Incluso si tu información no era parte de ninguna violación específica de datos, tu experiencia en línea seguirá siendo más difícil como resultado de ella.

UnitedHealth Group no ha publicado ningún número y solo dice que a "una proporción sustancial de personas en Estados Unidos" se les robó su Información de Identificación Personal (PII). Si la población de los EE.UU. es de unos 335 millones y UnitedHealth perdió la PII de "una proporción sustancial de personas en Estados Unidos"... Bueno, haz las cuentas.

Ya sea que inicies sesión en Facebook o en tu banco, debes autenticarse en línea. En su mayor parte, esta autenticación se realiza utilizando algo que tú sabes y/o algo que tienes. El "algo que tú sabes" es generalmente un nombre de usuario más una contraseña. Porque eso es algo que tú sabes, la gran brecha de datos en UnitedHealth más cientos de otras violaciones de este tipo es un problema grave debido al gran volumen de datos personales sobre ti que está ahora en manos de cada ciberdelincuente en la web oscura. Este es un problema para ti porque los sitios web conscientes de la seguridad, como tu banco, ahora se ven obligados a exigir que sus clientes cambien el "algo que tú sabes" porque todos los ladrones ahora saben demasiado de eso. Dejaré que John Doe explique. (Revelación completa: John Doe es una amalgama de varios Johns, pero todo lo que se menciona a continuación son experiencias reales).

Cuando John se conectó en el sitio web de su corredor de inversiones fue recibido por un aviso explicando que estaba obligado a cambiar su contraseña antes de que pudiera entrar. John estaba molesto, pero trató de cumplir. Ingresó su contraseña favorita "JohnD6139" y el sitio web le dijo que no podía usar ninguna contraseña que hubiera usado antes... utilizado en cualquier lugar antes.

Le sugerí que podía cambiar el nombre y los números, por lo que intentó "6139JohnD" pero se le dijo que no podía usar una contraseña compuesta de los mismos elementos que se encuentran en cualquier contraseña que había utilizado antes. Después de que le dijeran que la contraseña tenía que ser de al menos 12 caracteres, intentó rellenarla con "06171939JohnDoe", pero esta vez le dijeron que dado que su cumpleaños era el 17 de junio de 1939 no podía usar el número 06171939 o 19390617, ni usar su nombre, el nombre de su esposa, el apellido de soltera de su madre, o el nombre de su mascota como cualquier parte de la contraseña, estaba permitido.

Después de un rechinar de dientes a John se le ocurrió una contraseña aceptable, entonces dio nuevas respuestas a nuevas preguntas secretas. Una de ellas fue: "¿Cuál es el nombre de una Universidad a la que solicitó entrar pero no asistió?" Yo estaba muy impresionado con el ingenio de esa pregunta porque es probable que John recuerde esa respuesta, pero era una respuesta que los ciberdelincuentes probablemente nunca serían capaz de encontrar en ningún lugar en todos los datos personales robados hackeados de UnitedHealth.

Claramente, el personal de soporte técnico para el corredor de inversiones estaba haciendo un trabajo exhaustivo de reforzar la seguridad de su sitio web. Están correctamente conscientes de que toda la información personal perdida por UnitedHealth está disponible en la web oscura; así que habían modificado su contraseña y otros requisitos de seguridad para bloquear eficazmente a sus clientes utilizando la mayoría de las respuestas que estaban fácilmente disponibles para los ciberdelincuentes.

El hecho de que los ciberdelincuentes puedan descubrir tan fácilmente de manera literal todo lo que hay que saber sobre sus víctimas, ha hecho más difícil el uso de la autenticación en línea que se basa enteramente en "algo que tú sabes" porque los ladrones podrían saberlo también. Este hecho ha movido más y más sitios web para incorporar otro método de autenticación conocido como "algo que tienes" y que es un tema que tengo la intención de abordar aquí la próxima semana.

**************

Charles Miller es un consultor informático independiente con décadas de experiencia en TI y un tejano con un amor de por vida por México. Las opiniones expresadas son suyas. Puede ponerse en contacto con él al 415-101-8528 o al correo electrónico FAQ8 (at) SMAguru.com.

Descubre Lokkal:
Ve el video de dos minutos a continuación.
Luego, justo debajo de eso, desplácese hacia abajo por el muro comunitario de SMA.
Misión

Visit SMA's Social Network

Contact / Contactar