LinkedIn está investigando reportes que señalan que aproximadamente 6.4 millones de contraseñas de los usuarios se publicaron en la Web. Si bien LinkedIn aún no confirma dicha información (al menos en el momento de escribir este blog), reconocieron en su cuenta de Twitter que han comenzado a investigar.
Si usted es usuario de LinkedIn, Websense® Security Labs™ le recomienda cambiar su contraseña de inmediato para ayudarle a prevenir que ésta caiga en las manos equivocadas.
Después de recuperar los archivos de las contraseñas que se están distribuyendo en los foros en el espacio .ru TLD, parece que las contraseñas están codificadas. Sin embargo de acuerdo con las muestras que hemos visto, no ha sido difícil traducirlas a texto claro. Nuestras investigaciones iniciales revelan que una contraseña de “linkedin” está presente constantemente.
No está claro cómo los hackers obtuvieron las contraseñas robadas, sin embargo las contraseñas que los usuarios están encontrando en los archivos codificados parecen ser reales. Hemos identificado las ubicaciones de varios de dichos archivos de contraseñas y las hemos clasificado como Hackeo.
“El presunto hackeo de 6.4 millones de contraseñas de LinkedIn ha subrayado una vez más la necesidad de que la gente y las organizaciones consideren seriamente la prevención de la pérdida de datos. Websense Security Labs recomienda a la gente y a las organizaciones cambiar sus contraseñas lo antes posible y asegurarse de que éstas sean diferentes para cada sitio. Si no se actúa de inmediato usted podría entregar sin querer las llaves de su reputación profesional e invitar a la actividad en línea maliciosa a su red” afirmó Carl Leonard, Gerente de Seguridad Senior de Websense Security Labs.
¿Tal vez usted se esté preguntando cómo esta lista de contraseñas robadas puede ser utilizada por un hacker?
La combinación más peligrosa sería usar el nombre del usuario correspondiente junto con la contraseña robada. Con esta combinación usted puede imaginar cómo un hacker podría tener acceso a la cuenta de LinkedIn de una persona.
Una vez que se logra el acceso a LinkedIn, o a cualquier red social, podría ser posible enviar mensajes directos a los contactos de la red o hacer publicaciones automáticas en las redes sociales vinculadas afectando así la reputación del individuo o del negocio que representan.
Ahora que los hackers tienen una larga lista de contraseñas potenciales podría ser más fácil llevar a cabo ataques de fuerza bruta como resultado de tener esta información.
Si bien estos reportes aún no se confirman definitivamente es un buen momento para adoptar prácticas sanas alrededor de la seguridad de las contraseñas con el fin de ayudar a protegerse contra la actividad maliciosa.
Desde Websense Security Labs nos gustaría darle las siguientes recomendaciones:
Cambie su contraseña con regularidad.
Asegúrese de que su contraseña sea compleja en contenido y longitud; usando una combinación de caracteres numéricos y alfabéticos es una buena idea como mezclar mayúsculas y minúsculas con signos de puntuación. Son preferibles las contraseñas más largas.
No utilice la misma contraseña para varios servicios.
Si el sitio al que usted se está conectando tiene la opción de usar el protocolo HTTPS a diferencia de HTTP utilícela.
Como dice Carl Leonard, “Comprometer una cuenta de LinkedIn tiene tres ramificaciones importantes. Primero la principal preocupación es que los delincuentes se aprovechen de la confianza. Si usted está ‘vinculado’ con un colega de confianza, usted tiene más probabilidades de pulsar sobre un enlace malicioso que le envíe, lo que puede abrir la puerta a los ataques dirigidos y al robo de datos confidenciales. Segundo ya que muchas cuentas de LinkedIn están vinculadas a otros servicios de redes sociales como Facebook o Twitter, las publicaciones con enlaces maliciosos también pueden propagarse a una audiencia más amplia. Y finalmente muchos de nosotros somos criaturas de hábitos y tenemos la misma contraseña para múltiples cuentas. Las consecuencias de una contraseña robada podrían extrapolarse al correo electrónico, los medios sociales, las cuentas bancarias y los datos del teléfono móvil”.