Tradicionalmente, las ciberestafas basadas en phishing se basan más en la ingeniería social (es decir, en manipular al usuario) que en aprovecharse de complejidades técnicas.

Pero, en ocasiones, se descubren campañas de phishing tan sofisticadas que incluso son capaces de sortear (peor aún, de aprovecharse de) los mecanismos de seguridad de un gigante tecnológico como Google.

Este ataque en cuestión ha sido desvelado y analizado en X por una de sus víctimas. Te explicamos cómo funciona, qué lo hace tan peligroso y cómo puedes protegerte.

¿Qué ocurrió? Una campaña de phishing disfrazada de Google

Todo comenzó cuando múltiples usuarios comenzaron a recibir correos electrónicos que aparentaban provenir de no-reply@accounts.google.com, una dirección real y completamente legítima de Google. Los mensajes alertaban sobre una supuesta solicitud de seguridad, e incluían enlaces a páginas de soporte con apariencia oficial.

Lo más desconcertante es que estos correos pasaban todas los mecanismos de verificación de seguridad de Gmail, incluyendo SPF, DKIM y DMARC. Esto les permitió llegar a las bandejas de entrada de sus víctimas sin alertas ni advertencias, incluso agrupándose junto a mensajes auténticos de seguridad enviados por Google.

El arma secreta: 'DKIM Replay Attack'

La clave de esta campaña radica en una técnica avanzada conocida como ataque de reproducción DKIM, que aprovecha una debilidad en cómo funciona la autenticación de correos electrónicos, y que permite que los reenvíos de un mensaje legítimo sigan siendo detectados como legítimos.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail)  es un sistema de seguridad que añade una especie de "firma digital" al contenido del correo. Esta firma sirve para demostrar al servidor de destino que el mensaje fue realmente enviado desde un dominio autorizado (como google.com) y que no fue modificado en tránsito.

En Genbeta

Ahora que estábamos empezando a 'ver venir' los e-mails de ciberestafas, llega una nueva técnica: el phishing de clonación

¿Cómo se explota DKIM en este caso?

1. Captura de un correo legítimo: El atacante obtiene un correo genuino enviado por Google a través de 'no-reply@accounts.google.com'.
2. Reenvío del mensaje sin alterar la firma: Como DKIM solo verifica que el contenido del mensaje no haya sido modificado, pero no controla desde qué servidor se reenvía ni quién lo reenvía, los atacantes pueden tomar un correo legítimo (como una alerta real de Google) y reenviarlo a otras personas. La firma DKIM seguirá siendo válida, por lo que el mensaje parecerá completamente auténtico a los ojos de Gmail y otros servicios de correo.
3. Uso de plataformas intermediarias: Para ocultar el rastro, los ciberdelincuentes reenvían el mensaje usando servicios intermedios como Outlook, Jellyfish SMTP y Namecheap PrivateEmail. Este último permite modificar el campo "Desde" a gusto del atacante.
4. Resultado final: El correo llega al destinatario final pasando todas las validaciones (SPF, DKIM, DMARC), pero con un contenido falso que solicita acciones urgentes como cargar documentos o iniciar sesión.

La trampa final: Google Sites como plataforma de engaño

Uno de los factores más alarmantes es el uso de Google Sites como herramienta para alojar páginas falsas que imitan a la perfección los portales de soporte de Google.

Los usuarios, al ver que el enlace lleva a un subdominio de 'google.com', bajan la guardia. Estas páginas pueden contener formularios para cargar documentos, botones falsos de "ver caso" y pantallas de inicio de sesión diseñadas para robar credenciales:

La vulnerabilidad se agrava porque Google Sites permite incrustar elementos interactivos como formularios y scripts, sin ofrecer una vía clara para denunciar contenido malicioso.

El truco del "me@dominio.com": cómo se engaña a Gmail

Uno de los aspectos más ingeniosos del ataque fue el uso de cuentas de Google con nombres como "me@dominio.com". Al reenviar el correo generado automáticamente por Google como alerta de seguridad OAuth, este aparece en la bandeja del usuario como si fuera una alerta personalizada para "me" ('yo', en inglés), una pequeña manipulación del lenguaje visual que genera una falsa sensación de autenticidad.

Además, los atacantes abusaron de la función de nombre de aplicación en el proceso de autenticación OAuth, llenándolo con todo el texto del mensaje falso. Esto les permitió generar alertas con contenido personalizado que parecen redactadas por Google, cuando en realidad son completamente ficticias.

¿Cómo detectar este tipo de fraudes?

Los fraudes de phishing han evolucionado. Ya no dependen de errores ortográficos ni direcciones sospechosas. Ahora se camuflan perfectamente entre comunicaciones legítimas.

En Genbeta

La estafa "más sofisticada" que este programador había visto casi le roba su cuenta de Gmail: cuidado con esta clase de llamadas

Aquí algunas señales de alerta:

• Enlaces sospechosos a subdominios como 'sites.google.com' en lugar de 'accounts.google.com'.
• Correos electrónicos inesperados que nos exigen acciones inmediatas.
• Mensajes que, aunque parecen legítimos, provienen de cadenas de reenvío inusuales.
• Solicitudes para subir documentos o iniciar sesión fuera del contexto habitual.

Recomendaciones de seguridad

1. No hagas clic en enlaces de correos sospechosos, incluso si parecen legítimos.
2. Verifica siempre la URL de las páginas a las que accedes.
3. Habilita la verificación en dos pasos en tu cuenta de Google.
4. Si eres profesional, usa un 'sandbox'.

¿Qué dice Google?

Inicialmente, Google no consideró esta vulnerabilidad como un problema de seguridad, indicando que "funcionaba como se esperaba". Sin embargo, tras la presión pública y reportes detallados, ha reconsiderado su postura y prometido corregir la explotación del sistema OAuth.

Imagen | Marcos Merino mediante IA

En Genbeta | Mucho cuidado si recibes una alerta de seguridad de Google cómo esta: éste es el pequeño detalle que revela que es una estafa 

Los procedimientos de seguridad digital están en constante evolución (como lo están las técnicas de los cibercriminales). Por ello, Gmail, el servicio de e-mail más usado en todo el mundo, ha decidido cambiar los suyos para proteger mejor a sus usuarios... y ha anunciado que reemplazará la autenticación mediante SMS por un nuevo sistema basado en códigos QR.

Un cambio necesario: el adiós a los SMS

Durante años, la verificación en dos pasos a través de SMS ha sido un pilar fundamental en la protección de cuentas online. Sin embargo, este método ha demostrado ser vulnerable a diversas amenazas, como el phishing, el SIM swapping y diversos ataques basados en la ingeniería social.

Ross Richendrfer, portavoz de Gmail, explicó que la autenticación por SMS, si bien es mejor que no contar con ningún método de verificación, presenta demasiados riesgos de seguridad que pueden ser explotados por actores malintencionados.

Es por eso que Google ha decidido abordar estos problemas eliminando progresivamente el uso de mensajes SMS para la autenticación en Gmail: según información revelada por Forbes, la compañía ha confirmado que este cambio se implementará en los próximos meses.

¿Cómo funcionará la autenticación con códigos QR?

El nuevo método de verificación reemplazará el tradicional código de seis dígitos enviado por SMS con un código QR generado en la pantalla de inicio de sesión. Para acceder a su cuenta, el usuario deberá escanear este código con la cámara de su smartphone.

En Genbeta

Qué es el quishing: cuando te estafan usando un código QR fraudulento

Este sistema elimina por completo el riesgo de que los usuarios sean engañados para compartir códigos de acceso, dado que ya no existirán en formato de texto.

Además, esta innovación evita la dependencia de las operadoras de telefonía móvil, cuyas medidas de seguridad pueden ser vulneradas con tácticas de fraude como el SMS spoofing.

También protege a la propia Google de una práctica fraudulenta creciente conocida como "traffic pumping" o "toll fraud", en la que delincuentes generan un alto volumen de mensajes SMS de verificación (por los que la compañía ha de pagar a la operadora de turno)... porque ellos mismos controlan los números a los que van dirigidos, por lo que se lucran con cada mensaje de verificación que solicitan para lucrarse con cada mensaje enviado.

¿Mayor seguridad o sólo un nuevo desafío?

Si bien la autenticación mediante códigos QR representa una mejora significativa en seguridad respecto a los SMS, no está exenta de riesgos. Los códigos QR ya han sido usados en el pasado en ataques de phishing, para redirigir a los usuarios a sitios maliciosos que pueden comprometer sus credenciales.

Dado que Google es consciente de estas amenazas, probablemente implementará capas adicionales de seguridad.

En cualquier caso, es importante destacar que este nuevo método de autenticación no será el único disponible para los usuarios de Gmail: Google ya ofrece diversas alternativas de seguridad, como claves de acceso basadas en hardware y aplicaciones de autenticación, que seguirán estando disponibles para aquellos que deseen una protección aún más robusta.

Imagen | Marcos Merino mediante IA

En Genbeta | La Guardia Civil advierte de que este mensaje no es del 'equipo de soporte de WhatsApp': es un timo que puede robarte la cuenta

Hoy en día, para iniciar sesión en Whatsapp, basta con abrir la app, introducir tu número de teléfono, esperar hasta que te llegue un SMS con un código e introducirlo en la app. Un proceso que todos conocemos, pero que no es muy seguro: ¿has oído hablar del timo de los seis dígitos?

Pero ahora, WhatsApp acaba de anunciar la implementación de las 'passkeys' (o claves de acceso) en su aplicación para iOS, mejorando así la seguridad y facilidad de uso del proceso usado por los usuarios para acceder a sus cuentas.

A diferencia de las contraseñas tradicionales, las 'passkeys' utilizan métodos de autenticación más seguros como la biometría (reconocimiento facial, la huella dactilar) o un PIN personal, protegidos contra accesos no autorizados.

Este sistema se basa en la criptografía asimétrica, donde cada passkey consta de un par de claves: una pública y una privada, la última de las cuales permanece segura en el dispositivo del usuario.

Inicialmente introducidas en Android, las passkeys llegan ahora a los usuarios de iPhone. Meta, la empresa matriz de WhatsApp, ha colaborado con la FIDO Alliance para asegurar que cumplen con los estándares de seguridad más exigentes, y constituye una de las mejores protecciones ante ataques de phishing y suplantaciones de identidad.

En Genbeta

Así puedes evitar el robo de tu WhatsApp: lecciones que aprender del ataque mediante 'phishing' a Albert Rivera

Porque ya no habrá códigos de confirmación que un ciberestafador manipulador que se hace pasar por un contacto pueda convencerte de que compartas con él, y así robarte más fácilmente la cuenta: con las 'passkeys', tu propio dispositivo es parte del sistema de autenticación.

Cómo y cuándo se pueden activar

El soporte para passkeys en WhatsApp para iOS ya está disponible a nivel global, aunque no todos los usuarios de la app podrán aprovecharlo de inmediato: su despliegue será gradual, asegurando que todos los usuarios puedan adoptar esta nueva función en las próximas semanas.

Para activar las 'passkeys', los usuarios de WhatsApp en iOS deben seguir los siguientes pasos:

1. Ir a la Configuración de WhatsApp en el iPhone.
2. Seleccionar "Cuenta > Claves de acceso".
3. Crear una clave de acceso siguiendo los pasos de la aplicación.

Ventajas de las 'passkeys'

• Elimina la necesidad de aprender contraseñas y de esperar códigos de confirmación.
• Reduce el riesgo de suplantación de identidad y de sufrir ataques de phishing.
• No depende de los SMS (que pueden ser interceptados).
• Experiencia de usuario más fluida: el usuario accede a WhatsApp de la misma manera que desbloquea su teléfono.

Imagen | Marcos Merino mediante IA

En Genbeta | WhatsApp está listo para el mayor cambio de su historia que busca quitarle poder: así recibirá mensajes desde Telegram y otras apps

Robert Blumofe es vicepresidente ejecutivo y CTO de Akamai, compañía en la que lleva trabajando desde hace 23 años y que es proveedora de una de las mayores CDN (red de distribución de contenidos) del mundo, que cuenta con Microsoft, Adobe Systems, Yahoo!, American Express, la Casa Blanca, Apple o TikTok entre sus clientes.

Con ese bagaje, no ha sido de extrañar que su sesión de Pregúntame Cualquier Cosa (o 'AMA' por sus siglas en inglés) en el foro r/cybersecurity de la plataforma Reddit haya suscitado un gran interés y un enorme número de preguntas.

‎"Pregúntame sobre Zero Trust", decía en la publicación inicial, "sobre por qué odio ese apodo, por qué creo que todo acceso debería ser un acceso remoto y por qué creo que no existe tal cosa como una red segura". Pero un usuario le hizo una pregunta a la vez más amplia y más concreta:

"¿Cuál es la mejor manera de proteger la información de un usuario?".

Y su respuesta fue igualmente amplia y concreta al mismo tiempo:

"‎Yo diría que controlar el acceso a esa información: requerir MFA compatible con FIDO2 y usar un mecanismo de acceso de confianza cero".

Pero… ¿qué es eso de Zero Trust?

Muchos castillos medievales tenían altos muros y un foso a su alrededor, estableciendo así un perímetro de seguridad ante los peligros externos, con la idea de mantener a salvo a los de dentro. Pero ya en la Edad Antigua, los troyanos habían descubierto que cualquier pequeño error de juicio podía difuminar esa separación tajante entre 'dentro' y fuera'.

Y de eso se dio cuenta también el analista de ciberseguridad John Kindervag unos siglos más tarde, en 2019, cuando apostó por cambiar la estrategia de "confiar, pero verificar" por la de "nunca confiar, siempre verificar" y la bautizó como 'Zero Trust'. Y es que no tenía mucho sentido confiar en murallas y fosos cuando gran parte de la plantilla trabaja en remoto fuera de la red física de la compañía.

De modo que, resumiendo, 'Zero Trust' es un modelo de seguridad de red que se fundamenta sobre un principio básico: que no podemos pensar en términos de 'red interna confiable' y 'red externa no confiable'. Y que, por ello, ningún usuario o dispositivo, a un lado u otro de la red, debe tener acceso a ningún dato o sistema sin haber sido previamente autenticado y sin estar sometido a comprobación.

En Xataka

Protege y cifra toda tu vida digital en menos de 30 minutos

Blumofe explica porqué odia el término —que no, obviamente, el concepto—:

"Como empleado de Akamai, donde utilizamos Zero Trust, no lo interpreto como una señal de que nuestro equipo de TI no confía en mí. Por el contrario, me consuela saber que nuestros sistemas Zero Trust siempre están atentos, asegurándome de que un error inocente de mi parte (por ejemplo, hacer clic en un enlace que no debería) no termine causando un daño a la empresa".

El propio sitio web corporativo de Akamai expone un ejemplo de cómo funciona esta 'Confianza Cero' (por cierto, a pesar de la crítica de su CTO, el artículo usa el mismo término):

"Si un usuario o dispositivo muestra indicios de que está actuando de manera diferente a lo habitual, se tiene en cuenta y se supervisa como una posible amenaza. Por ejemplo, Marcus de Acme Co. suele iniciar sesión en Columbus, Ohio, en los Estados Unidos, pero hoy está intentando acceder a la intranet de Acme desde Berlín, Alemania. Aunque el nombre de usuario y la contraseña de Marcus se ingresaran correctamente, un enfoque Zero Trust reconocería la anomalía en el comportamiento de Marcus y tomaría medidas, como someter a Marcus a otra prueba de autenticación para verificar su identidad".

Olvidaos de Blumofe y Kindervag, el inventor de 'Zero Trust' es él.

Ok, ¿y lo de MFA y FIDO2?

Al margen de Zero Trust, hay otros dos conceptos de ciberseguridad que Blumofe menciona en su respuesta al usuario de Reddit:

• MFA: Autenticación multifactor (la de 2 pasos… o más); es decir, el típico (a estas alturas, al menos) inicio de sesión en el que, además de usuario y contraseña, tenemos que demostrar que somos quienes decimos ser, y no meros ladrones de información, completando al menos un paso más de autenticación (introducir un código recibido mediante SMS, realizar alguna acción en una aplicación desde un dispositivo ajeno al que eso iniciando sesión, etc).

• FIDO2: Es un estándar presentado en 2019 con el que las grandes empresas tecnológicas buscan que podamos olvidarnos de las contraseñas gracias al móvil. Las aplicaciones bancarias que nos permiten iniciar sesión usando el lector de huellas del terminal, por ejemplo, hacen uso de este estándar. Puedes encontrar una explicación mucho más detallada sobre FIDO2 en XatakaMóvil.

Alex Weinert, director asociado de seguridad de la identidad en Microsoft, lleva un año promoviendo que los usuarios acepten y habiliten soluciones de autenticación multifactor (MFA, por sus siglas en inglés) como modo de proteger sus cuentas online.

No es mero convencimiento personal, sino también una política promovida por su compañía: según las estadísticas internas que manejan, los usuarios de cuentas Microsoft lograron bloquear el 99,9% de los ataques automatizados que recibieron, todo gracias a la autenticación multifactor.

Pese a eso, no todos los sistemas MFA son útiles, ni meramente recomendables. Y por eso Weinert ha empezado a desaconsejar el uso la autenticación basada en SMS y llamadas al teléfono móvil, un tipo de MFA bastante popular hoy en día.

Según el directivo de Microsoft, su posición se fundamenta en la amenaza que representa este método por sus agujeros de seguridad... unos agujeros no atribuibles a la propia tecnología multifactor, sino a las redes telefónicas móviles.

En Xataka

Tu número de teléfono: eso es todo lo que se necesita para hackear tu smartphone

Agujeros de seguridad... y dos alternativas

La clave del problema reside en que, aunque los métodos criticados por Weinert recurren a códigos de un sólo uso, tanto los SMS como las llamadas de voz nos hacen llegar dichos códigos a través de canales no cifrados.

Esto que provoca que los mensajes puedan ser fácilmente interceptados mediante malware (como Modlishka) o mediante sistemas de espionaje (como SS7), por no mencionar los ataques de ingeniería social contra empleados de las operadoras.

Sumemos a eso los problemas de cobertura que pueden impedirnos autenticarnos en momentos de urgencia, y tenemos completo el cuadro. Además, Weinert nos recuerda que, a medida que más usuarios recurran a estos métodos, habrá más cibercriminales intentando romper su seguridad.

Por eso, su recomendación para con los usuarios es apostar por un mecanismo MFA que él considera bastante más sólido: el basado en apps de autenticación como Microsoft Authenticator y Google Authenticator.

Aunque la verdadera preferencia de Weinert, el sistema que ha calificado más de una vez como la mejor solución MFA, son las llaves de seguridad basadas en hardware.

Vía | Microsoft

La página de inicio de sesión de Google pronto cambiará de diseño, y aunque el cambio no es demasiado dramático, es importante que los usuarios sepan que se trata de un rediseño que la empresa ha puesto en marcha, al fin y al cabo se trata de algo que usan miles de millones de personas a diario para acceder a sus cuentas, un mínimo cambio puede generar sospecha y preocupación.

En las próximas semanas la página de inicio de sesión tendrá una apariencia ligeramente distinta, los pasos para iniciar sesión seguirán siendo los mismos: ingresar correo, ingresar contraseña, fin. El cambio se mostrará en ordenadores, teléfonos y tablets cuando inicies sesión en una aplicación de Google o en alguno de sus servicios desde cualquier navegador.

El nuevo diseño es responsive, lo que quiere decir que su apariencia cambiará dependiendo del tamaño de la ventana o pantalla y de su orientación. Los servicios de Google tienen miles de millones de usuarios en todo el mundo, y páginas de inicio de sesión falsas han sido usadas antes para engañar a los usuarios con ataques de phishing. Hasta dominios falsos que se escriben casi igual a Google.com han sido creados.

Las razones de Google para el cambio son simplemente agilizar el proceso de inicio de sesión y presentar un diseño más claro y sencillo. Si usas una versión antigua de tu navegador o has desactivado JavaScript es posible que sigas viendo la antigua página de inicio de sesión.

A aquellos usuarios que ya han empezado a ver el nuevo diseño, se les muestra una alerta informando del nuevo diseño para que no te tome por sorpresa. Google te recomienda que si tienes dudas y quieres comprobar la configuración de seguridad y la actividad de tu cuenta, hagas una revisión de seguridad desde este enlace.

Vía | 9to5Google
En Genbeta | Qué significa que Google acuse a Symantec de crear miles de certificados de seguridad inválidos en la web

Los sistemas de autentificación de dos pasos son un método eficaz para hacer aun más seguras nuestras cuentas online. Mediante ellos, además de introducir nuestra clave también tendremos que dar un segundo paso identificándonos mediante un segundo código que nos llegará vía móvil para confirmar que somos nosotros los que estamos intentando acceder a nuestra cuenta.

Pero este proceso puede resultar incómodo o tedioso para muchos usuarios que no quieren complicarse la vida buscando el móvil y una segunda contraseña para algo tan sencillo como acceder a su correo electrónico. Por eso, un grupo de investigadores del Instituto Federal Suizo de Tecnología ha desarrollado una solución para agilizar el proceso de autentificación complementaria utilizando el sonido ambiente con la tecnología Sound-Proof.

¿Qué es Sound-Proof y qué puede hacer por mi?

Sound-Proof pretende poner a disposición de nuestra comodidad una tecnología de reconocimiento de sonido que nos puede recordar a la de aplicaciones como Shazaam, aunque es muy diferente en cuanto a los algoritmos que utiliza. Todo mediante un sistema que quiere confirmar sin necesidad de nuestra interacción con el smartphone que estamos en la habitación desde la que solemos acceder siempre a nuestras cuentas online.

Para conseguirlo, cuanto accedamos a una página protegida con Sound-Proof, el servidor ejecutará una aplicación en nuestro móvil que grabará unos segundos de sonido ambiente y los subirá para compararlos con el almacenado en el sistema. No hará falta que hablemos, con el sonido del aire acondicionado o el murmullo del tráfico lejano será suficiente.

Para proteger nuestra privacidad, la aplicación no almacenará ningún tipo de archivo de audio, sino que se limitará a recopilar una firma digital basada en estos sonidos. Aun así, de momento Sound-Proof es sólo un proyecto en fase de investigación, y sus responsables no intentarán dar el salto a nuestros dispositivos hasta que consideren que su sistema tiene una velocidad aceptable.

Aun quedan dudas por resolver

Sin duda este es un interesante paso para intentar ayudar a mejorar la privacidad de nuestras cuentas online sin necesidad de someternos a tediosos pasos de identificación, pero el identificarnos mediante el sonido de nuestras habitaciones también presenta unas cuantas lagunas que sus responsables tendrán que intentar aclarar o solucionar si quieren conseguir que la gente se fie de este método.

Las más evidentes son que el sistema podría ser vulnerable si un familiar o amigo intenta acceder desde nuestra propia habitación a nuestros datos personales, aunque también se me ocurre que quizá haya varios sitios alejados en miles de kilometros que podrían tener un sonido ambiente parecido, por lo que habría que ver cuan efectivo se muestra Sound-Proof en esos supuestos.

En cualquier caso, es evidente que el tedioso proceso de tener que solicitar la identificación, buscar nuestro móvil, leer la segunda clave única y escribirla parece los días contados, y muy seguramente en los próximos meses salgan nuevas propuestas para agilizarlo. ¿A vosotros qué os parece Sound-Proof? ¿Estaríais dispuestos a darle una oportunidad?

Vía | Wired
Enlace | Sound-Proof
Imagen | Scott Schiller
En Genbeta | De poco (o nada) sirve la autentificación en dos pasos si tu operadora no te ofrece seguridad

LastPass, el popular gestor de contraseñas, acaba de haber público un comunicado en el que reconocen haber sido "hackeados". En concreto, han detectado "actividad sospechosa" en su red y han comprobado que los atacantes han tenido acceso a información personal de sus usuarios, como la dirección de correo, los elementos que estos utilizan para "recordar" contraseñas y hashes de autentificación de la propia cuenta de LastPass.

Según la compañía, no han encontrado pruebas de que los datos cifrados del usuario (entre los que se incluyen las propias contraseñas que se almacenan en su aplicación) se hayan filtrado. En cualquier caso, si eres usuario de LastPass te obligarán a cambiar tu contraseña maestra por precaución y, en el caso de que te identifiques por primera vez desde un nuevo dispositivo o IP, tendrás que confirmar que eres tú a través de un correo electrónico.

Si eres usuario de LastPass, cambia tu contraseña maestra cuanto antes.

Si bien las contraseñas almacenadas dentro de tu cuenta no han sido comprometidas, sí que han podido obtener el hash de autentificación para el acceso a la misma. ¿Qué quiere decir esto? ¿Está tu cuenta en peligro? No, según la empresa:

"LastPass refuerza el hash de autentificación con un salt aleatorio y con 100.000 rondas de PBKDF2-SHA256 en el lado del servidor, además de las rondas que tienen lugar en el lado del cliente. Este refuerzo adicional hace que sea muy difícil atacar los hashes robados con una velocidad significativa"

Por eso, y a modo de precaución, tienes que cambiar tu contraseña maestra cuanto antes.

El peligro de guardar todo en un único lugar

No soy usuaria habitual de este tipo de servicios. Tan sólo lo intenté una vez y reconozco que no es para mí: tan sólo me atreví a almacenar algunas contraseñas secundarias. Con las principales de mi día a día, no. El tener todas tus claves en un único lugar es muy útil, pero también un peligro: si alguien adivina la contraseña maestra, estás vendido. Y, como se demuestra en estos casos, por mucho que te protejas en tu lado, siempre puede haber otra vulnerabilidad donde tú ya no alcanzas a controlar.

Si tú eres de los que lo utilizan, y además de tener siempre una contraseña maestra única y difícil, no te olvides de activar la verificación en dos pasos para ahorrarte disgustos de este tipo. LastPass soporta varias opciones básicas (como Google Authenticator o Microsoft Authenticator App), pero si además eres usuario premium podrás incluso utilizar tu huella dactilar u otros métodos más avanzados.

Más información | LastPass

Correos y teléfonos alternativos de recuperación, recordatorios regulares, autenticación de dos pasos... Google ha sido una de las compañías que más ha insistido en la seguridad de nuestras contraseñas, y esto va a ser sólo el principio. La compañía de Mountain View quiere dejar atrás la contraseña adicional y avanzar hacia modelos mucho más avanzados, con los que ganaríamos comodidad por nuestro lado y seguridad por el lado de los servidores.

Modelos como el de la llamada YubiKey, un pequeño dispositivo dispositivo USB que llevaríamos siempre encima y que iniciaría sesión a todos los servicios de Google con nuestra cuenta tras conectarlo al puerto de cualquier ordenador. Podríamos tener la YubiKey atada, por ejemplo, a nuestro llavero. Otra solución más avanzada sería utilizar un anillo que, tras colocárnoslo en nuestro dedo, pudiera autenticarnos en cualquier terminal incluso sin necesidad de tener conexión a internet.

Pero claro, ¿Y si pierdes cualquiera de estas cosas? Entonces podríamos tener un problema muy grave, y esto es una barrera que en Google necesitan seguir mejorando. No sólo se trata de garantizar la seguridad de las cuentas de usuario, sino de hacer que al mismo tiempo el usuario lo tenga lo más cómodo posible para autentificarse en el servicio. Todo un reto, pero parece que la contraseña clásica tiene los días contados. O mirad si no el modo con el que se pueden desbloquear los teléfonos Android, dibujando una línea que sólo sabemos nosotros.

Vía | Wired

Una de las tecnologías que más se han prodigado últimamente es Facebook Connect, la manera en cómo Facebook permite conectar su plataforma social con webs de terceras partes. De hecho hace poco en todos los blogs de la casa os ofrecimos esa posibilidad, la de vincular vuestras cuentas con el login de Facebook. Pues parece que esta tecnología tal como la conocemos dejará de existir.

Durante la conferencia que Facebook ha ofrecido hoy (el F8), Mark Zuckerberg CEO de la compañía ha anunciado que Facebook Connect será sustituida por el lanzamiento de una nueva forma de conectarse llamado Open Graph. Así la compañía apuesta por la estandarización y por la interacción de Facebook usando el protocolo OAuth 2.0 y su integración en Open Graph.

De esta forma Facebook contraataca a alternativas recientes como XAuth, puesto que Open Graph tendrá una API que permitirá a los desarrolladores un mayor acceso y más facilidades para integrar los servicios de Facebook en sus sitios web. Además cuentan con apoyos de Yelp, Pandora o el mismo Microsoft, o sea que juegan sobre seguro.

Lo que todavía no queda claro es cómo se va a hacer la transición, o incluso no quedó claro si se iban a pensar cambiar el nombre al servicio Facebook Connect por otro distinto. Así pues ya véis como queda el panorama, los demás aprietan y Facebook se renueva, lo que es seguro es que a los usuarios siempre nos va comportar mejoras ya que la evolución de las conexiones y la mayor simplicidad en las tareas de autentificación siempre es bienvenida.

Vía | FaceBook blog
Más información | Mashable