Qualsevol internauta que com a mínim utilitzi una contrasenya (ja sigui per a accedir al correu, a un fòrum o a jocs en línia, per posar-ne només uns quants exemples) pot ser víctima del xantatge de ciberdelinqüents. Usar contrasenyes que combinin números, lletres minúscules i majúscules i caràcters especials, que siguin diferents per a cada lloc web i canviar-les cada mig any són alguns dels consells informàtics que ho posen difícil als furoners (hackers) que es dediquen a extorsionar els usuaris amb les contrasenyes.
Fa unes setmanes, l’expert en ciberseguretat Jordi Serra, professor dels Estudis d’Informàtica, Multimèdia i Telecomunicació de la Universitat Oberta de Catalunya (UOC), publicava un apunt en el qual revelava una pràctica freqüent: el xantatge que poden fer als internautes els ciberdelinqüents quan aquests s’apoderen de les nostres contrasenyes. El xantatge arriba en forma de correu electrònic sospitós en el qual se’ns mostra alguna de les contrasenyes que utilitzem per a accedir a algun web i se’ns diu que, si no paguem una determinada quantitat de diners, generalment amb bitcoins, la faran pública als nostres contactes.
D’entrada, el professor Serra aconsella no fer cas d’aquest correu electrònic, és a dir, no respondre’l i esborrar-lo directament. Si bé la majoria d’aquests correus va a parar al correu brossa, alguns sí que arriben a la nostra safata d’entrada. «Podem arribar a rebre desenes d’aquests missatges en una setmana», afirma. Els eliminarem cada cop que en rebem un. Un cop esborrats, l’expert aconsella no utilitzar la mateixa contrasenya en diferents llocs web, perquè si algú la roba d’un servidor podria entrar immediatament en tots els altres comptes de l’usuari.
Serra vol deixar clar que quan es produeix un robatori de contrasenyes «no és per culpa de l’usuari que té una contrasenya fàcil o repetida, sinó per problemes en els serveis en què ens donem d’alta». «No és un fet que depengui de nosaltres, sempre podem tenir problemes», afirma.
Posar-ho difícil al lladre
Serra aposta per tenir «un bon sistema de contrasenyes», i això vol dir adoptar un seguit de mesures que entorpeixin la feina del furoner. Per exemple, a banda de no usar la mateixa combinació per a tots els llocs web, aconsella usar contrasenyes amb un mínim de vuit caràcters, que continguin algun tipus de símbol diferent a part de les tradicionals lletres minúscules i majúscules, números o signes de puntuació. A més, per a aquells llocs web que gestionen dades sensibles, s’aconsella que la longitud mínima sigui de dotze caràcters. Ho apuntava un extens decàleg sobre seguretat destinat a usuaris digitals publicat pels Estudis d’Informàtica, Multimèdia i Telecomunicació de la UOC el 2014, que també aconsellava no usar paraules del diccionari ni relacionades amb les dades personals com ara el nom, la data de naixement o el domicili, i no desar la contrasenya a la memòria del navegador.
Serra també és partidari de canviar amb freqüència totes les contrasenyes, cada mig any aproximadament, i d’utilitzar un gestor de contrasenyes per a evitar tenir-les apuntades en un paper o al bloc de notes de l’ordinador, o haver-les de recordar. En aquest cas, l’única que caldrà retenir és la que usem per a entrar al gestor, que podem tenir al mòbil o a l’ordinador.
Serra també recomana activar un segon factor d’autenticació sempre que sigui possible. Això permet, per exemple, que si entres al correu des d’una ciutat, una IP o un ordinador que no són els habituals, rebràs un missatge al mòbil amb un codi que hauràs d’introduir per a poder accedir al teu correu electrònic. Així, tot i que ens robin la contrasenya, no podran entrar al servei, ja que el lladre no disposarà d’aquest segon codi, que només rebrà l’usuari al seu mòbil.
A més, també és partidari d’usar un correu per a la feina o per a les amistats i de crear-ne un de nou per a accedir a fòrums, jocs en línia i, en definitiva, per a navegar per internet.
Com podem saber si estem afectats?
La pàgina web https://haveibeenpwned.com/ permet comprovar si estem afectats i si les nostres contrasenyes han estat filtrades algun cop a internet. Serra explica que qualsevol persona que tingui com a mínim una contrasenya en línia pot ser víctima de xantatge.
Periòdicament els ciberdelinqüents filtren milions de contrasenyes a internet. Xarxes tan populars com Dropbox, Adobe, LinkedIn, Tumblr, Baddoo, Gmail, Twitter o PlayStation han estat víctimes de robatoris d’informació d’usuaris en els últims anys.
Un dels casos més sonats es va produir l’any 2015 quan es van revelar més de 35 milions de contrasenyes de la xarxa Ashley Madison que posava en contacte persones que ja tenien parella.
La xarxa social Adult Friend Finder va ser piratejada fa un parell d’anys i va posar al descobert dades personals de més de 339 milions de comptes. A finals del 2017, l’empresa de ciberintel·ligència espanyola 4iQ va trobar al web fosc 1.400 milions de contrasenyes robades, fet que es convertia en la filtració més gran ocorreguda fins aleshores.
Tot i aquests casos, Serra explica que no s’ha detingut mai ningú per un xantatge de contrasenyes.
Contacte de premsa
-
Redacció