“Como ustedes saben, una parte no autorizada obtuvo y divulgó de forma ilegal la información de identificación personal y los datos de tarjeta de crédito de algunos de nuestros suscriptores.”, se lee al visitar el sitio web de STRATFOR o Strategic Forecasting, Inc., una compañía global de inteligencia con sede en Austin, Texas.
El sitio web de Stratfor fue hackeado el 24-Dic por el colectivo de hackers Anonymous, que extrajo cerca de 200GB de datos de correos electrónicos, tarjetas de crédito, contraseñas y domicilios de casa/oficina de cientos de miles de suscriptores. La lista privada (y secreta) de clientes de Stratfor fue publicada en Internet y los datos de tarjetas de crédito fueron usados por los hackers para hacer donaciones a diversas organizaciones de beneficiencia.
Los hackers aprovecharon debilidades en la seguridad de la base de datos, dejando entrever el poco cuidado de Stratfor al respecto. El uso de contraseñas débiles (p, ej, el nombre de la empresa) o sin cifrar, han puesto sobre la mesa el prestigio de una organización especializada en la seguridad.
En su sitio web Stratfor dice que están “investigando este lamentable suceso y estamos trabajando con diligencia para evitar que vuelva a ocurrir. Como resultado, hemos retrasado la restauración de nuestro sitio web hasta que podamos realizar una revisión de seguridad completa.”
Además de utilizar contraseñas complejas, cifradas, el uso de mecanismos de doble autenticación ayudará mucho para protegerse de futuros ataques. Es recomendable fijarse un día cada 30, 60 ó 90 días (más o menos según convenga a tus intereses de privacidad y financiero) para cambiar la contraseña. Hay que evitar el utilizar contraseñas formadas con palabras de diccionario, nombres propios, fechas, datos personales, o inclusive combinaciones de éstas.
Agregar un número al final de una palabra (p.ej. mexico68), usar letras sucesivas de teclado (p. ej. qwerty), sustituir números por vocales (p. ej. m3x1c0), o sustituir letras por caracteres especiales (p. ej. letr@s) no hacen a una contraseña mejor. Le ayudarán a recordarla, cosa que un atacante también tendrá presente y que con las herramientas adecuadas el romper la contraseña es cosa de minutos.
Deseche la contraseña cambiada definitivamente. No la vuelva a re-utilizar. Use un programa gestor de contraseñas con mecanismos de cifrado que le permita usarlas cuando lo necesite y las mantenga seguras frente a ataques.
Hacer una revisión periódica de la seguridad y aplicar las recomendaciones resultantes es importante para proteger la confidencialidad, integridad y disponibilidad de la información.
Aplicar esquemas de seguridad de base de datos y de correo electrónico, basados en cifrado, para evitar su lectura y posible divulgación.
Que la lista permanezca secreta.