Otro día más, otro servicio en la red que ve como, tras una intrusión y robo de archivos, sus listados de usuarios y contraseñas son filtrados a la red de manera pública, disponibles para cualquiera.
En esta ocasión ha sido Dropbox, un servicio utilizado por muchísimos usuarios para almacenar desde archivos de trabajo hasta fotografías tomadas en sus smartphones, que tras sufrir un robo de ficheros en 2012, han visto cómo se publicaban más de 68 millones de pares de usuarios y contraseñas. Aunque Dropbox afirma que ya ha obligado a todos los usuarios afectados a cambiar su contraseña desde entonces, eso no implica que todos estén seguros.
Que nuestra seguridad dependa de la combinación de usuario y contraseña es absurdo. Ante estas noticias, los usuarios reaccionan con indiferencia, lógico cuando hemos visto tantas iguales. Como mucho, cambiamos la contraseña del servicio afectado, olvidando lo habitual que es que esa misma contraseña se use en otros servicios sin relación alguna con ese. Y que alguien que pretenda explotar esa dejadez no tiene más que encontrar nuestro correo electrónico en una de esas listas, ver la contraseña asociada, y simplemente dedicarse a probar en otros servicios hasta encontrar alguno interesante en el que utilicemos la misma combinación. Con los absurdos criterios que tenemos que utilizar para las contraseñas, que deben contener mayúsculas, minúsculas, signos y sonidos guturales, no se puede decir que la culpa sea solo de los usuarios. Es de todos.
Haz la prueba: acude a Have I been pwned, una página que recopila los listados de archivos de usuarios y contraseñas publicados a lo largo del tiempo, e introduce los correos electrónicos que utilices habitualmente: con tantos cientos de millones de datos a lo largo de los años recientes, lo normal es que las contraseñas que utilizas junto con una dirección de correo determinada hayan sido publicados ya no en una, sino en varias ocasiones. Y en ese momento, tendrías que repasar todos los servicios en donde hayas utilizado esa misma combinación, cosa que para algunos usuarios, resulta casi imposible. O eso, o correr riesgos a veces inasumibles, aunque tratemos de convencernos de que lo son.
Cuando un servicio sufre una intrusión, es posible que ese servicio sea lo menos importante. Su descuido lo pagamos todos, y no necesariamente con ellos. En entornos corporativos, compañías como Okta, recientemente aliada con Google, trabajan en la gestión de la seguridad de los empleados. Para los demás, un gestor de contraseñas resulta cada día más recomendable. Si no lo has hecho ya, no lo dejes para mañana...