[three_fifth][/three_fifth][three_fifth][/three_fifth]
La situación con respecto a la ciberseguridad se torna cada vez más delicada, y en relación al tema, LinkedIn, la red social centrada en los negocios, ha confirmado que se ha abierto una importante brecha de seguridad correspondiente a las cuentas de sus usuarios y al menos algunas contraseñas quedaron comprometidas, según diera a conocer la web PCWorld.
En este sentido Vicente Silveira, Director de LinkedIn, confirmó el hack en el blog de la compañía miércoles por la tarde y delineó los pasos que LinkedIn está tomando para hacer frente a la situación. Escribió además, que los usuarios de LinkedIn, que tienen contraseñas comprometidas, se percatarán del hecho puesto que al tratar de ingresar a sus cuentas se les indicará que ya no es válida.
Asimismo, Silveira añadió que los afectados por la situación recibirán un correo electrónico de LinkedIn con instrucciones sobre cómo restablecer sus contraseñas. Estos propietarios luego recibirán un segundo email de atención al cliente de LinkedIn en el que explicará la situación con mayor detenimiento, al tiempo que pedía disculpas a los afectados manifestando que LinkedIn toma la seguridad de los miembros muy en serio.
El fondo del asunto
Por su parte, los profesionales de seguridad en LinkedIn sospechaban que la red social LinkedIn sufrió una grave violación en su base de datos de contraseñas. Recientemente, un archivo que contiene 6,5 millones de contraseñas hash únicos apareció en un foro en línea con sede en Rusia, donde más de 200.000 de estas contraseñas, según se informa, se han quebrado hasta ahora.
De igual manera, los investigadores de seguridad informan que el archivo sólo contiene contraseñas hash mediante el algoritmo SHA-1 y no incluye los nombres de usuario o cualquier otro dato. Sin embargo, la brecha es tan grave que los profesionales de seguridad aconsejan a las personas a cambiar sus contraseñas de LinkedIn inmediatamente.
Manifiestan a su vez, que al momento se desconoce cómo el archivo acabó en un foro público o cuál es exactamente el sitio de origen de las contraseñas. Sin embargo, los signos indican que esto es de hecho una violación a LinkedIn. Muchas de las contraseñas quebrantadas que se han publicado en el foro tienen el término común «LinkedIn» en ellos, según informara Per Thorsheim -un asesor de seguridad con sede en Noruega- a PCWorld. Thorsheim fue uno de los primeros investigadores de seguridad para descubrir el archivo de contraseñas filtrado.
El investigador dio a conocer a su vez que una forma común de la gente a momento de crear contraseñas para diferentes sitios web consiste en añadir el nombre del sitio en la frase de paso, por lo que algunas personas pueden usar la contraseña «1234Facebook» para la red social más grande del mundo, y también «1234LinkedIn» por LinkedIn y así sucesivamente. Asegura de igual manera que con tantas apariciones del término LinkedIn en el archivo hackeado, es muy probable que sea el caso de las contraseñas de LinkedIn.
Thorsheim también dijo que él, y al menos otras 12 fuentes de su confianza dentro de la comunidad de seguridad, han encontrado los hashes de sus propias contraseñas de LinkedIn en el archivo.
¿Qué es un hash?
Brindando conocimiento general para aquellos que nos leen, un hash SHA-1 es un algoritmo que convierte su contraseña en un conjunto único de números y letras. Si la contraseña es «LinkedIn1234», por ejemplo, la salida hexagonal SHA-1 debe ser siempre «abf26a4849e5d97882fcdce5757ae6028281192a.» Como se puede ver que es algo problemático, ya que si usted sabe la contraseña de hash con SHA-1, se puede descubrir rápidamente algunas de las contraseñas más básicas que las personas comúnmente utilizan.
A menudo, los bits aleatorios –conocidos como salting- se añaden a un hash de manera que la salida sea más difícil de adivinar, aunque ese no parece ser el caso con estas contraseñas filtradas.
Otra de las cosas que también preocupa a los investigadores de seguridad es que la base de datos hackeada contiene contraseñas totalmente únicas. No tienen claro si las personas que filtraron el archivo tienen más contraseñas que no han salido a la luz en línea, o si el archivo puede ser, por ejemplo, ser un intento de fuente multitud la piratería de algunas de las contraseñas más difíciles. También es desconocido si los sospechosos del ataque tienen nombres de usuarios u otros datos que atan las contraseñas de los usuarios reales.
Respecto a este tema, Silveira escribió en el blog de la compañía: » Vale la pena señalar que los miembros afectados que actualicen sus contraseñas y miembros cuyas contraseñas no se han comprometido en beneficio de la seguridad mejorada que recientemente puesto en marcha , que incluye hash y salting de nuestras bases de datos de contraseñas actuales «.
Sin embargo, dice Thorsheim que unos 6,5 millones de hashes sin salt han sido expuestos no importa cuán larga o difícil de adivinar la contraseña. Cualquier persona cuya contraseña ha sido expuesta está en riesgo.
Esta ha sido una semana difícil para LinkedIn y seguridad. The Next Web informó recientemente que una función de calendario de opt-in en aplicaciones móviles de LinkedIn para Android y iOS estaba enviando los datos del usuario a los servidores de LinkedIn como texto sin formato.
Por su parte, LinkedIn respondió diciendo que envía todos los datos de nuevo a sus servidores a través de una conexión encriptada y nunca guarda todos los datos del usuario.
Es un hecho que probablemente afectará a esta red social centrada en los negocios, la cual ha incrementado unos 161 millones de usuarios en todo el mundo desde el pasado 31 de marzo.
Periodista. Mezclo #tecnologia y ciencia que mejora la vida de las personas!
