Contraseñas de MIA descifradas en 90 minutos
in

Contraseñas de MIA descifradas en 90 minutos

Las contraseñas son fáciles de descifrar gracias a las conjeturas fuertes y al gobierno descuidado.
Fuente: Pexels

Los descifradores de contraseñas de la Oficina del Inspector General (OIG), encargados de probar los protocolos de seguridad en el Departamento del Interior de EE. UU. (DOI), descifraron con éxito el 21 % de las contraseñas de cuentas activas dentro del departamento en 90 minutos.

La configuración construida para este propósito costó menos de $15,000, pero expuso muchas debilidades en los protocolos de autenticación DOI. Estos incluyen la falta de autenticación de dos factores (2FA) y una administración de contraseñas extremadamente débil. Entre las contraseñas descifradas estaba la «Contraseña-1234» fácil de adivinar y sus variaciones. Sorprendentemente, esta contraseña cumplió con los criterios de complejidad de contraseña del departamento.

A pesar de décadas de directivas gubernamentales para hacer cumplir los protocolos 2FA, DOI no ha cumplido. Esto pone en juego miles de millones de dólares de los ingresos y fondos del departamento. Sus otras responsabilidades incluyen la gestión de parques y sitios patrimoniales, la protección del medio ambiente y la ayuda a los pueblos indígenas.

El informe menciona el ataque de ransomware Colonial Pipeline, donde una sola fuga de contraseña tuvo un valor de más de 4,4 millones de dólares. Advirtió que protocolos de contraseñas tan débiles podrían conducir a un ataque con consecuencias igualmente devastadoras.

Otro tema importante destacado en el informe de la OIG es la presencia de cuentas inactivas. Estas cuentas también pueden convertirse en un pasivo de seguridad si no se corrigen.

Después de un estudio detallado de estas vulnerabilidades de contraseñas dentro del departamento, la OIG le proporcionó al departamento ocho recomendaciones. De hecho, la agencia debería implementar estas recomendaciones a más tardar en 2024.

Tabla de Contenidos

Informe revelador sobre protocolos de contraseña en el DOI

La imagen muestra contraseñas que se reutilizan con frecuencia en los departamentos del DOI.Las contraseñas utilizadas por DOI son fáciles de adivinar y, a menudo, se reutilizan.
Fuente: OIG

DOI no estableció límites de contraseña ni desactivó cuentas inactivas de manera oportuna. Además, el 89% de los activos valiosos del departamento no tenían protección 2FA. Estas acciones violan claramente la Orden Ejecutiva 14028, que exige que la autenticación de dos factores se implemente en todos los sistemas federales antes del 8 de noviembre de 2022.

De las 85.944 cuentas activas, la OIG hackeó 18.174, incluidas 288 con privilegios elevados y 362 pertenecientes a empleados senior. Los protocolos de contraseñas del departamento eran tan débiles que permitían a los empleados usar las mismas contraseñas débiles para muchas cuentas. Por ejemplo, 478 cuentas de empleados únicas usaron «Contraseña-1234».

La OIG realizó estas pruebas después de que una auditoría anterior revelara protocolos de autenticación débiles en varias divisiones y agencias del DOI. Esta prueba siguió a esa inspección. La OIG realizó una prueba para determinar si los protocolos de seguridad cibernética del DOI son lo suficientemente sólidos para proteger contra el robo y recuperar contraseñas. No lo estaban.

Cifrado de contraseñas y listas de contraseñas públicas

La imagen muestra un histograma de contraseñas reutilizadas y descifradas utilizadas por el DOI y altos funcionarios del gobierno.Los altos funcionarios suelen reutilizar las mismas contraseñas débiles.
Fuente: OIG

Además del espantoso desprecio de la agencia federal por la administración de contraseñas, el informe desacredita la impenetrabilidad del hashing de contraseñas. Este proceso cifra y cifra las contraseñas y muchas empresas y departamentos públicos y privados confían en él. Muchos creen que esto es suficiente para frustrar los planes de los atacantes para obtener credenciales, suponiendo que sean impenetrables. Esta mentalidad de autosatisfacción está llevando a las empresas a evitar las medidas 2FA que reforzarían aún más la seguridad.

Artículo Recomendado:
Animaciones mejoradas, nuevos modelos de personajes y más opciones de batalla: los desarrolladores hablaron sobre las novedades de The Last of Us Part I

Las consecuencias de no seguir las prácticas recomendadas de seguridad de contraseñas ahora son muy evidentes a partir de esta historia: la OIG construyó una plataforma comercial de descifrado de contraseñas de $15,000 y terminó descifrando más de 14,000 contraseñas en 90 minutos. Durante las siguientes ocho semanas, descifraron otras 4200 contraseñas cifradas.

Debido a que las personas reutilizan las contraseñas, los equipos de descifrado de contraseñas conocen los valores hash de esas contraseñas. Por ejemplo, la palabra «contraseña» se convierte en «5f4dcc3b5aa765d61d8327deb882cf99». Debido al gran volumen de descifrado de contraseñas en organizaciones públicas y privadas, las listas de contraseñas compartidas y reutilizadas están disponibles públicamente para todos.

Todo lo que tienen que hacer los crackers de contraseñas es ingresar estas listas de contraseñas para acelerar su trabajo. Como resultado, un grupo de ciberdelincuentes con recursos como una plataforma eficaz para descifrar contraseñas puede entrar fácilmente en cuentas vulnerables. Pueden hacer esto usando hashes conocidos y listas públicas. Entonces, para asegurarse de que los empleados no reutilicen las contraseñas en estas listas públicas, algunas agencias de tecnología incluso las compran para evitar usar las mismas contraseñas en sus redes.

Prevención de robo de contraseña

La imagen muestra una instantánea de un informe de la OIG que detalla la complejidad de las contraseñas ineficientes y los hashes descifrados por tipo de cuenta.La complejidad de la contraseña es bastante baja en DOI.
Fuente: OIG

Los incidentes de robo de contraseñas en redes sociales y otras aplicaciones han aumentado la demanda de arquitecturas de conocimiento cero. Esto permite a los clientes almacenar una clave privada que descifra las contraseñas. Si bien se puede descifrar, se considera mucho más seguro que el cifrado normal cuando el proveedor de servicios posee las claves de cifrado y descifrado.

En un nivel más básico, la autenticación de dos factores todavía se considera la forma más efectiva de proteger su red contra un número creciente de vectores de ataque. Según el informe de la OIG, el segundo nivel de autenticación «agrega una capa de seguridad que protege a las organizaciones incluso en caso de violación de contraseña». Las empresas que brindan autenticación de dos factores en tantos servicios como sea posible dificultan que los ciberdelincuentes ingresen a la seguridad de su red.

Artículo Recomendado:
La NASA perdió contacto con su nave espacial Orion durante 47 minutos

El siguiente paso en la evolución de una autenticación de usuario más sólida es la sustitución de contraseñas por claves de acceso. Las claves de contraseña tienen ciertas ventajas inherentes sobre las contraseñas en lo que respecta a la seguridad. Por ejemplo, se genera un par de claves criptográficas para los usuarios en cada sitio web, lo que les permite almacenar una clave privada en su dispositivo. Los usuarios reutilizan las contraseñas por conveniencia, pero las claves de acceso los liberan de la obligación de recordar, modificar o cambiar las credenciales. Esto reducirá los errores de los usuarios y el tiempo perdido en la gestión de contraseñas, el desarrollo de contraseñas más seguras y el cambio y restablecimiento de las mismas. Algunos tecnólogos, como Google, ya han comenzado a entregar contraseñas a los usuarios.

¿Alejarse del cifrado tradicional?

La migración de los medios tradicionales de almacenamiento de datos, cifrado y autenticación de usuarios no tiene nada que ver con la frecuencia o la velocidad con la que los ciberdelincuentes ingresan a las redes. Centrarse en fortalecer la seguridad de las contraseñas y los protocolos es la necesidad del momento.

El uso combinado de claves de acceso y 2FA en todas las plataformas y dispositivos puede contribuir en gran medida a reducir el ciberdelito. Desafortunadamente, como lo demuestra el DOI, muchas organizaciones aún no cumplen, incluso si el procedimiento de seguridad cibernética es reconocido y requerido.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Revisión de Realme 9 Pro+: teléfono de gama media atractivo y asequible con soporte 5G

Revisión de Realme 9 Pro+: teléfono de gama media atractivo y asequible con soporte 5G

Realme 9i totalmente desclasificado: Snapdragon 680, pantalla de 90Hz, cámara de 50MP y gran batería