Cuando grandes empresas son víctimas de fuga de información: ¿qué hacer para protegerse?

Este post es una traducción y adaptación de su versión original en We Live Security.

Cuando Adobe admitió esta semana que 38 millones de sus usuarios podrían verse afectados por el robo de sus credenciales de acceso, no es la primera vez que una empresa tiene que entregar este tipo de noticias. Sony, Evernote, LinkedIn… existen decenas de compañías que han sido víctimas de atacantes, quienes han podido robar todo tipo de información como tarjetas de crédito, direcciones de correo electrónico, etc., logrando afectar a millones de personas.

¿Qué debe hacer el usuario cuando algo así ocurre? En algunos casos, es posible que la persona reciba un correo electrónico de la empresa en donde se explica qué sucedió y qué hacer. Sin embargo, podría no ser suficiente para protegerse adecuadamente. En caso que ocurra un incidente de seguridad, vale la pena revisar el sitio de la empresa afectada. Es posible que allí se encuentre más información al respecto. Incluso la cuenta de Twitter de dicha compañía podría ser de ayuda. Por ejemplo, Adobe ofrece consejos útiles en su sitio web.

No siempre creas lo que ellos te dicen

En las primeras horas que transcurren luego de un incidente de seguridad, es probable que la empresa afectada no conozca el alcance real del ataque y esté intentando controlar la “crisis”. El Investigador Senior de ESET, David Harley, comenta: “En varias ocasiones, no hay mucho que se pueda hacer cuando una compañía es atacada. De hecho, es posible que la empresa no le avise de forma individual a cada usuario si no está realmente segura de que esto le pueda haber afectado”. (La legislación local juega un rol fundamental si la misma obliga a que se revelen este tipo de casos).

¿Estás tranquilo por la información que recibiste por correo? Quédate alerta

En varios casos de fuga de información, el incidente no es revelado a través del sitio de la compañía o la cuenta de Twitter. Primero suele enviarse en formato de correo a los usuarios de la empresa. Asimismo, el incidente puede ser peor de lo que se pensaba en primera instancia. Tomando el caso de Adobe, en un principio se creía que “solo” tres millones de usuarios se vieron afectados. Es recomendable que las personas adopten todas las medidas necesarias independiente de lo que diga el correo. Al respecto, Harley opina: “Si una empresa avisa por correo e incluye ciertos consejos, es importante que los mismos se adopten, sin embargo, también se debe considerar que la situación o las sugerencias podrían ser menos de las necesarias debido a un tema de imagen o de interés mediático”.

Ni el cifrado de datos ni una contraseña larga necesariamente protegen al usuario

Cuando los atacantes logran comprometer una compañía y roban credenciales cifradas, las empresas suelen destacar el hecho de que la información se encontraba cifrada, sin embargo, se debe considerar que existen diferentes niveles de cifrado y no todos son igual de robustos. Asimismo, los atacantes harán todo lo posible por extraer las contraseñas en texto plano. Una vez que los datos han sido robados, los cibercriminales cuentan con varios meses para procesar la información recopilada. En caso que dicho objetivo se cumpla, carece de importancia la longitud de la contraseña. Esto cobra mayor relevancia si dicha clave es utilizada en otros servicios o si la misma es fácil de adivinar. El post Descubrir una contraseña de seis caracteres en 4 segundos contiene más información sobre cómo crear contraseñas robustas.

¡Cuidado con el phishing! Se sumamente cuidadoso con los correos que “provienen” de la empresa

Como se dijo anteriormente, algunas compañías avisan a sus usuarios si ocurre un incidente, sin embargo, dicha situación también suele ser aprovechada por los ciberdelincuentes. Al respecto, Harley comenta: “Es importante que el usuario considere que los atacantes suelen aprovecharse de este tipo de situaciones con fines maliciosos. Si se recibe algún correo que contenga un enlace hacia un sitio que solicite las credenciales de acceso u otro tipo de información, no se continúe. En vez de esto, es recomendable acceder directamente a la página de la empresa afectada”.

No te limites solo a cambiar la contraseña

Luego que un incidente es dado a conocer por los medios de comunicación, es probable que el usuario cambie su contraseña o sea obligado a hacerlo. En esta línea, muchos atacantes suelen utilizar las credenciales robadas para intentar vulnerar cuentas de correo de las víctimas. Por lo mismo, es recomendable cambiar las contraseñas de sitios como correo, redes sociales, almacenamiento en la nube, etc. En base a lo anterior, Harley opina: “Cuando las contraseñas son obtenidas por un tercero, es buena idea cambiarlas. De hecho, varias compañías fuerzan este cambio en caso que ocurra un incidente. Generalmente los atacantes asumen que el usuario utiliza la misma clave para varios sitios, motivo que hace necesario el cambio de las credenciales en cualquier servicio en donde el usuario haya establecido la misma contraseña que fue robada”.

No te expongas por un incidente

Los usuarios de Internet suelen necesitar ingresar varias contraseñas a la semana, por lo mismo, es común que las personas reutilicen una misma clave para diferentes servicios. Harley recomienda utilizar una dirección de correo importante y contraseñas robustas para aquellos sitios importantes. “Algunas personas utilizan contraseñas débiles en páginas que no son de real importancia. Si el usuario hace esto, es importante que no lo haga en aquellos portales que realmente sean de valor o que en un futuro lo puedan ser”.

Autor Rob Waugh, We Live Security.