Día Mundial de la Contraseña

Hoy es el Día Mundial de la Contraseña. Haga más seguro su inicio de sesión usando contraseñas fuertes y difíciles de adivinar. Mucho se ha insistido en usar contraseñas largas, con letras minúsculas y mayúsculas, números y caracteres especiales. Sin embargo, no siempre lo hacemos. Las contraseñas más utilizadas siguen siendo “123456”, “password” y “12345678”. La contraseña es la principal protección del usuario casi frente a todo en su acceso en línea. Si bien existen mecanismos adicionales de autenticación, la contraseña es la que más usamos. ¿Qué hacer para tener una contraseña fuerte, fácil de recordar pero difícil de romper? Leer más…

Romper contraseñas es más rápido con ataque de diccionario que de fuerza bruta

Para Oleg Afonin, experto en seguridad de Elcomsoft, romper las contraseñas es más rápido y fácil utilizando ataques de diccionario en lugar de fuerza bruta. Un diccionario con las contraseñas filtradas más populares, como la lista de las 10 mil contraseñas más utilizadas, permite resolver hasta un 30% de los casos en cosa de minutos. Los algoritmos de aceleración GPU actuales, el cloud computing y los ataques distribuidos ayudan con mucho para romper contraseñas. Pero en cuanto a velocidad muchas veces es mejor el diccionario. Según Afonin el hardware más reciente puede ofrecer velocidades apenas aceptables al atacar con fuerza bruta Leer más…

Yahoo! confirma robo de datos de más de 1,000 millones de cuentas de usuarios

Yahoo! Inc. ha confirmado que datos asociados de más de mil millones de cuentas de usuario fueron robados de los servidores de la compañía. Después de analizar los archivos de datos que un tercero afirmó que eran de Yahoo, la empresa encontró que en efecto se trataban de datos robados en agosto de 2013 aunque no han podido identificar la forma de cómo fueron sustraídos. El incidente es distinto al revelado en septiembre de este año aunque parece que se trata del mismo intruso patrocinado por una agencia gubernamental. Entre los datos robados hay nombres, direcciones de correo electrónico, números de teléfono, Leer más…

Elcomsoft descubre que Apple sube registros de llamadas del iPhone a iCloud sin avisar al usuario

Los expertos de ElcomSoft Co. Ltd. han reportado que al parecer Apple sube los registros de llamadas del iPhone a iCloud, sin avisar al usuario o facilitar la opción de evitarlo. Se trata de una situación que afecta a la privacidad del usuario del iPhone de Apple. El usuario no tiene ninguna opción para desactivar la subida del registro de llamadas sin desactivar iCloud Drive en su iPhone. La nueva versión de Elcomsoft Phone Breaker, la 6.20, puede descargar los registros de llamadas sincronizados desde iCloud. Trabaja con el iPhone bloqueado o no, sin requerir que el dispositivo esté liberado (jailbreak). Lo Leer más…

Cuentas activas y borradas expuestas en ataque a Adult FriendFinder

El ataque al popular sitio para citas Adult FriendFinder ha revelado prácticas no adecuadas de seguridad, entre las cuales se encuentra la aún existencia de cuentas de usuarios que solicitaron borrar su cuenta. Parece ser que el ataque ocurrió el mes pasado mediante la explotación de una vulnerabilidad LFI (Local File Inclusion) en los servidores de Adult FriendFinder. La vulnerabilidad permite insertar en la salida de una aplicación a los archivos ubicados en otros lugares en el servidor. LeakedSource lo ha calificado como el mayor ataque de 2016. Se han expuesto más de 412 millones de cuentas de usuario, incluyendo: 339,774,493 cuentas de usuario Leer más…

TarGuess, algoritmo que adivina contraseñas

Investigadores de las universidades chinas de Peking y Fujian Normal, junto con la británica de Lancaster, han desarrollado un algoritmo que puede adivinar las contraseñas un 73% de las veces. El resultado del trabajo realizado lo han publicado en su reporte “Targeted Online Password Guessing: An Underestimated Threat” [PDF], en el cual presentan el sistema TarGuess que usa 7 modelos matemáticos para adivinar las contraseñas. Según los investigadores, contra los usuarios más preocupados por la seguridad el sistema TarGuess puede tener éxito 32% de las veces. TarGuess caracteriza de forma sistemática los escenarios típicos de adivinanzas específicos con siete modelos matemáticos, cada uno de Leer más…

Robo de información de cuentas de usuario en Yahoo!

Yahoo! Inc. ha confirmado el robo de cuentas de usuario de sus servidores a fines de 2014 al parecer por una agencia gubernamental, sin especificar cuál. La información robada es relacionada con al menos 500 millones de cuentas de usuarios e incluye nombres de cuentas de usuario, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas hash (la gran mayoría con bcrypt) y, en algunos casos, las preguntas de seguridad codificada o sin codificar y sus respuestas. La información robada no incluye contraseñas no protegidas, datos de tarjetas de pago, o información de cuentas bancarias. Los datos de tarjetas Leer más…

Elcomsoft descubre debilidad de seguridad en iOS 10 que permite romper más fácil la contraseña de respaldo

Los expertos de ElcomSoft Co. Ltd. han descubierto una debilidad de seguridad en los respaldos de iOS 10 que permite la recuperación rápida de contraseñas complejas. El hallazgo lo hicieron al trabajar en la actualización 6.1 de la solución Elcomsoft Phone Breaker para que sea compatible con iOS 10. La debilidad de seguridad encontrada se encuentra en la forma en que IOS 10 maneja el cifrado del respaldo o copia de seguridad, que omiten ciertos controles de seguridad que hacen posible acelerar significativamente la recuperación de contraseñas complejas. Los expertos de Elcomsoft probaron la velocidad de recuperación de contraseñas para iOS 9 Leer más…