Algunos tips que harán que tu contraseña sea más segura (y no olvides un 2FA)

Hoy en día y desde hace un tiempo, las contraseñas son un elemento presente y en muchas ocasiones indispensable en nuestra vida. Muchas veces tenemos tantas contraseñas en uso que las menos utilizadas se nos olvidan o para evitar que eso suceda las repetimos en todas nuestras cuentas (todos sabemos que esta no es la mejor opción). Independientemente de cómo gestiones tus cuentas y sus contraseñas desde ElevenPaths te recordamos la importancia de utilizar segundos factores de autenticación ya que pueden paliar las consecuencias de un robo de credenciales, por ejemplo, el uso de Latch y los TOTP.

El uso de contraseñas muchas veces es el único método que utilizamos para proteger nuestras cuentas digitales o el acceso al escritorio de nuestro ordenador o teléfono móvil, con el aumento de la ciberdelincuencia y los avances en las técnicas de machine learning han aparecido nuevas técnicas y herramientas que facilitan los trabajos de crackeo.  En este artículo os ayudaremos a elaborar contraseñas más seguras de una forma sencilla.

Figura 1: Herramienta de Cellebrite para acceder a dispositivos Android e iOS

1. No utilices nombres propios ni palabras extranjeras o que puedas encontrar en un diccionario: como hemos mencionado antes, las herramientas de cracking han evolucionado y son capaces de procesar inmensas cantidades de números y letras en segundos, por esta razón es importante evitar el uso de palabras “normales”.                                                                                                   
2. No utilices información personal: Uno de los mayores errores a la hora de escoger una contraseña es utilizar información personal, hoy en día no resulta difícil obtener esa misma información de los perfiles de redes sociales o servicios de internet, por lo que no es recomendable usar teléfonos, direcciones o fechas de cumpleaños.                                                                                                            



Figura 2: Duck Duck Go, Herramienta de Crackeo

 
3. La Longitud, composición y dificultad: A la hora de elaborar una contraseña es importante saber que cuanto más larga sea, más difícil será de crackear, al igual que si contiene números o caracteres como “% $ @” o si tiene un sentido o significado aparente.                                                   
4. Cambiar de contraseña periódicamente: Esto puede resultar tedioso, sobre todo si manejamos varias contraseñas, por suerte existen varios gestores (como LastPass o 1Password) que te permitirán archivar tus contraseñas y copiarlas al portapapeles cada vez que las necesites.

Hasta aquí los tips que pueden hacer que nuestras contraseñas, o el primer factor de autenticación, sean más robustas. No olvidemos que es fundamental utilizar un 2FA hoy en día, sobretodo en identidades digitales importantes y dónde tenemos la información más valiosa.

Un gran error de Apple permite conseguir root con una clave vacía

Es la noticia de la semana, posiblemente del mes y puede que del año. Un grave error de Apple permite a cualquier usuario lograr el acceso al sistema o desbloquear opciones sensibles del sistema sin conocer la contraseña de root, simplemente indicando una clave vacía y fallando un par de veces. Todo comenzó con un tuit de un desarrollador, Lemi Orhan, que alertaba de la situación anómala que había descubierto. El revuelo en twitter ha sido enorme, dónde muchos usuarios indicaban qué versión tenían y si les funcionaba o no funcionaba el trick.

Vía twitter, hubo usuarios que indicaron que si el root disponía de contraseña el fallo no funcionaba, por lo que una posible y rápida solución era ponerle una contraseña al usuario root, por ejemplo con la ejecución del comando passwd root. El fallo afecta a los sistemas de Apple, incluida la versión 10.13.1.

Figura 1: Root en blanco para entrar o desbloquear opciones del sistema

Tras probar el trick nos ha parecido increíble, pero de fácil solución. Es cierto que afecta a un gran número de máquinas, pero nada que no se pueda solventar con la solución indicada anteriormente o con una actualización por parte de Apple que haga que el sistema detecte cuando una cuenta como la de root está deshabilitada por tener una contraseña vacía o no asignada. Dicho esto, estaremos atentos, pero, sin lugar a la duda, es una de las noticias del mes en el mundo Apple.

Apple fortificará la seguridad de las cuentas de iCloud a través de contraseñas de aplicación

Apple lleva un tiempo esmerándose en proteger los datos de sus usuarios, esto lo ha hecho a través de algunas medidas de seguridad tomadas durante los últimos años entre las cuales se encuentran el cifrado de sus terminales y la incorporación de la verificación en dos pasos para el inicio de sesión en iCloud. Según MacRumors, Apple aumentará aún más la seguridad de la información almacenada en sus servidores para evitar que algunas aplicaciones de terceros no autorizadas accedan a ella indebidamente.

A partir del 15 de junio Apple pedirá a los usuarios que utilicen contraseñas específicas para cada programa o aplicación de terceros que requiera acceso a los datos de iCloud. Además de esto a partir del próximo mes de junio contaremos con la opción de verificación en dos pasos en todas aquellas aplicaciones que quieran acceder a tu cuenta de usuario. Todos estos cambios han sido recogidos por un e-mail recibido por un usuario de MacRumors en el que se confirman los nuevos cambios en el sistema de seguridad de los datos almacenados por la compañía

“A partir del 15 de junio se requerirán contraseñas especificas en aplicaciones de terceros para acceder a sus datos desde apps como Microsoft Outlook, Mozilla Thunderbird, u otro correo, contactos o servicios de calendario no provistos por Apple. Si ya ha iniciado sesión en una aplicación de terceros utilizando su contraseña primaria del ID de Apple, la sesión se cerrará automáticamente cuando este cambio surta efecto. Usted tendrá que generar una contraseña de aplicación específica y acceder de nuevo a la aplicación "

Figura 1: Verificación en dos pasos en iCloud.

Este es un nuevo movimiento que se suma a las actualizaciones de seguridad publicadas por iOS y macOS durante la semana pasada. Hoy en día no es extraño que algunas aplicaciones que encontramos en la App Store soliciten permisos para acceder a nuestra galería, micrófono o guía telefónica, lo que nos recuerda el riesgo que supone una mala gestión de permisos en nuestros dispositivos.

Los emoticonos pueden darte problemas en tu contraseña de OS X

El sistema operativo OS X El Capitan no permite utilizar emoticonos en la contraseña de inicio sesión. Esta acción preventiva parece algo normal o coherente, pero se ha dado un caso en el que un usuario de OS X Yosemite se ha quedado sin poder acceder a su cuenta debido a la utilización de un emoticono en su contraseña de inicio de sesión. Apple no tenía la misma regla con Yosemite, por lo que el usuario no fue capaz de conectarse a su cuenta.

El usuario se llama Artiom Dashinsky y publicó que creó una contraseña utilizando el teclado emoji. Para introducir el emoji se puede utilizar la combinación de teclas Ctrl + Command + Espacio. El problema vino que tras introducir el emoticono en la contraseña, después no podría acceder a la cuenta. Incluso había cifrado con FileVault, por lo que sería más complejo restablecer su contraseña.

Figura 1: Imagen de parodia con un posible emoticono en la contraseña

Al final Dashinsky fue capaz de recuperar su cuenta, aunque tuvo que llevar a cabo un proceso largo. Él tuvo que instalar y arrancar OS X en un disco duro externo utilizando el modo de recuperació y se instaló el teclado que le permitió introducir la contraseña emoji para descifrar su unidad mediante la Utilidad de Disco de OS X. Una vez que la unidad fue descifrada, cuyo proceso le llevó más de 2 horas, reinició en modo de recuperación y ejecutó en un terminal el comando ResetPassword para su disco principal. Sin duda fue una curiosa historia, la cua hizo perder bastante tiempo a este usuario de OS X.

El uso de los emojis como contraseña es una idea que una startup del Reino Unido está trabajando, ya que para el usuario será mucho más sencillo recordar estos iconos que una contraseña larga. Además, al incluir los emojis al charset posible de combinaciones hacen que la contraseña sea más robusta frente a ataques de fuerza bruta.

Guía de Seguridad y Privacidad para OS X Yosemite

Día a día podemos ver muchas noticias de intrusiones y brechas de seguridad en empresas, o como van apareciendo vulnerabilidades que permiten tomar el control de máquinas o permiten realizar escaladas de privilegio. Esto último en el ámbito OS X ha ocurrido bastante en los últimos meses, por ejemplo el caso del exploit que cabía en un tweet, o el exploit de Rootpipe y su módulo en Metasploit, o por último, el caso de Tpwn.  Hoy traemos una guía de seguridad y privacidad para sistemas OS X Yosemite. Esta guía pretende ayudar al usuario, tanto medio como avanzado a fortificar sus entornos con equipos OS X.

La colección de recomendaciones proporciona una moderna securización del entorno y ayuda a mejorar la privacidad. En la parte basics podemos encontrar unos mínimos relacionados con la seguridad, que cualquier máquina OS X debe enfocar. Los puntos básicos son la creación de un modelo de amenazas, mantener el sistrma actualizado, cifrar datos sensibles o la realización de backups de forma frecuente. Después la guía profundiza en todas estas temáticas.

Figura 1:Parte del índice de la guía en Github

¿Qué podemos ver en la guía? Se tocan diferentes puntos como la configuración de cifrado en disco, configuración de servicios de manera segura, contraseña en el firmware, cifrado en las conexiones, anonimato, configuraciones Wireless, acceso físico, y un largo etcétera. Guía recomendada para echarla un ojo a fondo para los usuarios de OS X Yosemite.

LastPass publica una app nativa para el sistema Mac OS X

LastPass es una aplicación que permite almacenar todas las contraseñas bajo una sola contraseña. Esta herramienta es útil, aunque es altamente preferible utilizar un 2FA como puede ser Latch. El almacenamiento de la herramienta se realiza de forma segura, permitiendo hoy día a los usuarios de OS X disfrutar de ella. Por supuesto, la nueva aplicación tiene funcionalidades como en las versiones de otras plataformas, por ejemplo la posibilidad de acceder sitios web logueandose a través de la ejecución de LastPass. Una de las características estrella es la posibilidad de cambiar las contraseñas automáticamente.

Otra de las funcionalidades curiosas que presenta LastPass es la posibilidad de que el usuario pueda conectarse a los sitios web, incluso antes de lanzar el navegador. Se utilizará la funcionalidad de búsqueda rápida de OS X para permitir las búsquedas de un sitio web o encontrar nombres de usuario, notas y contraseñas. A partir de aquí, se puede lanzar sobre los sitios directamente, y LastPass accederá automáticamente.

Figura 1: LastPass para OS X

Otra característica a destacar es el control que permite a los usuarios gestionar la fuerza de la contraseña. Esta característica es típica en los gestores de contraseñas, como por ejemplo KeePass for OS X, pero son realmente útiles para crear una nueva contraseña fuerte, y aconsejar al usuario con las contraseñas débiles. Por último, comentar que LastPass ofrece almacenamiento local para contraseñas y notas seguras, lo cual debería ser útil si se desea acceso a dicha información cuando se desconecta de la red. También se puede sincronizar los datos con la aplicación de iOS. Existen dos tipos de versiones la gratuita con publicidad, y la versión de pago en iTunes por 12 dólares al año.

Password managers más Touch ID en tu iPhone con iOS 8

Entre las novedades que incorpora iOS 8, hay una relacionada con la seguridad que llama especialmente la atención. En versiones anteriores del sistema operativo, el usuario tenía que decidir entre las características de seguridad nativas de iOS, como TouchID, y la comodidad y utilidad de los gestores de contraseñas de terceros. Disfrutar de ambos era incompatible.Ahora, tal y como se explica en Gigaom, gracias a la decisión de Apple de abrir TouchID a desarrolladores ajenos a la compañía para que integren esta tecnología en sus propias apps, ya es posible combinar las ventajas de ambos, ya que la utilidad de un gestor de contraseñas va más allá de recordar unas credenciales.

En iOS 7 Apple intentó implementar su propio gestor, iCloud Keychain, una característica que trataba de sincronizar usuarios y contraseñas, información de tarjetas de crédito, e información de redes WiFi entre todos los dispositivos del usuario. iCloud Keychain era seguro, pero tenía varias limitaciones. Para empezar, el proceso de añadir un nuevo dispositivo a la lista de dispositivos sincronizados requería de una especie de handshake en el que un dispositivo ya sincronizado se utilizaba para aprobar nuevos dispositivos. Por otra parte, no permitía gestionar la información de seguridad, solo consultarla. Para cambiar unas credenciales, había que acceder a un sitio seguro con otro usuario y contraseña. Además, no permitía introducir información adicional para, por ejemplo, recuperar una contraseña (preguntas de seguridad, etc...).

Figura 1: 1Password con Touch ID

Otros gestores de contraseñas, como 1Password - que añadiría rápido soporte para Touch ID -y LastPass, sí que cubren estas carencias, no limitándose al mero almacenamiento de información. Es posible organizar credenciales en diferentes categorías y carpetas, añadir información extra (incluso no relacionada con páginas web), etc... Con iPhone 5s llegó TouchID, que permitía utilizar la huella dactilar para autenticarse en el dispositivo, eliminando de esta forma la necesidad de recordar una password o un passcode complejo, lo cual supuso un gran paso hacia la usabilidad.

Figura 2: Touch ID habilitado para Latch.

En versiones previas de iOS no era posible utilizar TouchID con ningún gestor de contraseñas, lo que obligaba a los usuarios a memorizar una clave larga y complicada para acceder a sus credenciales. Sin embargo, con iOS 8 ya es posible, lo cual agiliza notablemente el acceso a la información. Basta con habilitar TouchID desde las settings de la propia aplicación. La última versión de Latch, la aplicación que proporciona un segundo factor de autenticación para las identidades digitales del usuario, también incorpora soporte para TouchID.

Además, en iOS 8 los gestores de contraseñas ya se pueden utilizar desde Safari, cosa que antes tampoco era posible. Para habilitarlo, hay que escoger el gestor de contraseñas desde la lista de extensiones del navegador que aparece al presionar el botón Share. Sin duda esta decisión de Apple es muy positiva y redunda en beneficio de los usuarios, que ahora pueden gestionar todas sus credenciales de forma cómoda y segura.

KeePassX y la gestión de credenciales en soporte IT

KeePassX es una herramientas multiplataforma que puede ayudar a los departamentos IT grandes y pequeños ya que permite organizar y gestionar las credenciales que en el día a día los departamentos pueden necesitar para lograr que los servicios de la empresa funcionen correctamente. Usar KeePassX provoca una serie de riesgos que tenemos que tener en cuenta, ya que la gestión de las credenciales es algo sensible para la seguridad. Centralizar las credenciales puede no ser la forma más segura de proteger, por lo que hay que buscar un equilibrio entre seguridad y productividad. KeePassX permite crear distintas bases de datos para almacenar y gestionar credenciales.

Tras comentar esto, debemos tener en cuenta que la división de bases de datos es algo fundamental para asegurar los datos. KeePassX permite utilizar claves para cifrar las bases de datos, esto es algo fundamental para la protección de la información. Estas claves deben ser diferentes y disponerlas en ubicaciones diferentes (con distintos niveles de acceso o credenciales distintas de acceso). Todo esto puede ser visto como modo paranoia, pero es algo importante en el seno de una organización.

Figura 1: GUI de KeePassX  para OS X 

¿Y OS X? Es una realidad que cada día los equipos de Apple se integran más en las organizaciones, por ello una solución para los administradores IT es la utilización de KeePassX en sus OS X, ya que es totalmente compatible.

Almacenamiento de la base de datos

Como se ha mencionado, las bases de datos deben estar almacenadas en ubicaciones externas a dónde se encuentra el administrador o los usuarios. De este modo se puede compartir entre los administradores el uso de dichas bases de datos, incluso hacer una separación por permisos del uso de esta información sensible.

La posibilidad de que esa base de datos sea accesible por los KeePassX de distintos administradores ayudan a ver la escalabilidad y productividad que esta solución puede aportar. Nosotros recomendamos que se cifren los distintos ficheros de base de datos con la clave generada por KeePassX y que además, se otorgue una contraseña también para poder acceder al fichero también a través de la herramienta. 

Figura 2: Protección de la base de datos de KeePassX

En otras palabras, la recomendación de configuración de seguridad es cifra el contenido de la base de datos con el fichero de clave generado. Este fichero debe ser almacenado en una ubicación distinta al equipo local del administrador y la ubicación del fichero de la base de datos. Además, debe disponer de un nivel de acceso distinto y muy restringido. Los administradores deben compartir la contraseña para abrir el fichero, ya que se necesitan dos cosas para acceder a las credenciales, una contraseña y el fichero de la clave. Esta contraseña es algo que debemos recordar, mientras que el fichero de la clave es algo que debemos tener. 

Conexión o descubrimiento del fichero de base de datos

Desde OS X podemos acceder mediante la combinación de teclas cmd+K a una ventana en la cual podemos indicar la ruta de red dónde se encuentra el fichero de base de datos. En las organizaciones es muy común utilizar el protocolo SMB para compartir recursos y acceder a información distinta entre usuarios. El acceso desde el OS X es tan sencilla como indicar el protocolo y la ruta dónde se encuentra la base de datos de KeePassX.

Figura 3: Conexión mediante SMB a la base de datos almacenada en otra ubicación

Generación de contraseñas aleatorias

Una de las funcionalidades de KeePassX más interesantes es la de generar contraseñas aleatorias con una serie de características. Para ello se puede utilizar propiedades como son las siguientes:

• Longitud de la contraseña. 
• Política de contraseñas. 
• Complejidad de la contraseña. 
• Perfiles para distintos entornos.

Figura 4: Generación de claves aleatorias

Esto permite flexibilidad al equipo de IT, por lo que pueden crear perfiles para generar contraseñas en función del entorno donde se encuentren. Esto es algo realmente útil, ya que les permite generar contraseñas en función del entorno de manera rápida, cómoda y sencilla.

iOS 8: Apps podrán usar passwords guardadas en Safari

Poco a poco vamos conociendo más novedades de iOS 8. En este caso otra peculiaridad con la seguridad de las apps que nos ha llamado la atención. En este caso se trata de una característica que le permitirá a una app usar una contraseña guardada en Apple Mobile Safari para una determinada URL. Dicho así, seguro que a muchos de vosotros os habrán saltado todas las alarmas, y no es para menos, pero esperemos que esté bien diseñada y no tengamos ningún problema en el futuro con apps maliciosas que quieran robar las passwords cacheadas en el navegador del terminal.

La idea es que si un usuario accede habitualmente vía Mobile Safari a una web, y un día después en el futuro decide descargarse el app para iOS8 asociada a esa URL, el programador de la app podrá consultar cuáles son las contraseñas cacheadas para esa URL en Mobile Safari y ofrecerle al usuario la posibilidad de usarlas en la app.

Figura 1: App en iOS 8 accediendo a una credencial cacheada en Apple Mobile Safari

Se supone que el usuario será informado de este hecho por una alerta, tal y como muestran en MacRumors, pero estas cosas de mezclar tanta usabilidad con la parte de seguridad del sistema siempre acaban por darnos cierto respeto. ¿Podrán las apps solicitar las cuentas de Facebook en lugar de solicitar una autorización OAuth? Veremos.

OS X Mavericks: Novedades en Seguridad

Como estaba previsto el día 22 de Octubre Apple ha puesto en circulación la nueva revisión del sistema operativo OS X Mavericks, con una buena cantidad de novedades que ya puedes ver en la web. Esta vez la revisión de OS X tardó un poco más de un año, pero ya está disponible en la Mac App Store como una actualización gratuita de más de 5.7 GB de espacio.

Figura 1: OS X Mavericks como descarga gratuita en la Mac App Store

Esta nueva versión trae muchas novedades anunciadas, como las pestañas en Finder - esperemos que de esta herramienta hayan arreglado alguna cosa más - pero en el área pura de seguridad no hay demasiadas novedades anunciadas a priori, aunque seguramente vayamos descubriendo pequeños detalles poco a poco.

Sí que hay que destacar la inclusión del servicio de iCloud Keychain que permite almacenar contraseñas y datos personales en iCloud, y que haciendo uso del Generador de Contraseñas se convertirá en un auténtico Password Manager en la nube.

Figura 2: Generador de Contraseñas en Apple iCloud Keychain

Entre las funciones también se encuentra el almacenamiento de datos de tarjetas de crédito para poder hacer las compras desde los datos en iCloud. ¿Será el almacén de los datos de los usuarios de Apple? También se anunciado una mejora energética y mayor eficiencia a la hora de ejecutar aplicaciones, tal y como anuncian en la siguiente comparativa.

Figura 3: Comparativas de rendimiento y eficiencia de navegadores en OS X Mavericks

El resto de novedades parecen más de funcionalidad pura y dura que de seguridad, como son las notificaciones desde páginas web, la gestión de múltiples pantallas, revisiones en la aplicación de Mapas y el Calendario o una nueva actualización de Apple Safari para que sea más fácil la navegación multi-device. Nosotros estamos probándolo ya, y te iremos contando más cosas en breve.

Apple patenta un sistema que diferencia entre errores humanos al introducir contraseñas y ataques maliciosos

Seguro que todos habéis llegado alguna vez a ese momento en el que, sin saber cómo pasó, has fallado todas las veces menos una a la hora de introducir la clave de la tarjeta de crédito o el PIN del teléfono móvil. Es el de siempre, pero sin darte cuenta, has fallado varias veces al introducir esa clave que te conoces perfectamente, y ahora estás en la "muerte súbita". Aciertas, o bloqueas el sistema.

Esto es muy común y nos pasa a todos los mortales, y Apple ha conseguido una patente para la generación de un sistema que es capaz de darnos un poco más de "vida" al ser capaz de reconocer cuándo ha sido un error humano por un fallo al introducir parte de la contraseña y cuando es un fallo por un ataque malicioso a la contraseña.

La patente, que lleva por título "Techniques for credential strength analysis via failed intruder access attempts" pretende hacer la vida más fácil a los usuarios, al tiempo que mejora ya la seguridad, pues uno de los principales motivos por los que los usuarios no ponen contraseñas complejas es "porque son difíciles de teclear". 

Figura 1: El esquema del algoritmo de reconocimiento de errores humanos

La pega que le vemos a este sistema es que, para los ataques de shoulder surfing, como por ejemplo el de iSpy que es capaz de reconocer las pulsaciones vía reflejos en cristales en cámaras de vigilancia, lo tendrán un poco más fácil, ya que les bastaría con "quedarse cerca" de la password.