Nadie quiere que la seguridad de sus datos en línea se vea comprometida. Por desgracia, las filtraciones de datos de gran repercusión en empresas grandes y de confianza no son raras. Estas filtraciones pueden poner en riesgo la seguridad de tus direcciones de correo electrónico, contraseñas y cualquier otra información que hayas almacenado en un perfil concreto. Algunos clientes crearon su cuenta de SuperSaaS hace años y siguen usando en SuperSaaS la misma contraseña que usan en otro sitio web. Hay dos maneras en las que intentamos defendernos de los hackers que tratan de usar estas listas para obtener acceso. Este trabajo también es importante desde el punto de vista de la privacidad y el RGPD.
Impedimos la introducción masiva de contraseñas, pero eso no protege por completo
Primero, tenemos configurado un sistema para detectar a cualquiera que pruebe una gran cantidad de contraseñas a la vez. Esas direcciones IP se bloquean automáticamente y nuestro software de supervisión nos avisa. Sin embargo, este tipo de supervisión no es totalmente eficaz porque los hackers pueden emplear muchas direcciones IP y probar unas pocas contraseñas desde cada una.
Verificamos tu contraseña frente a una lista de contraseñas comprometidas conocidas
Como segunda línea de defensa, tomamos las listas de cuentas comprometidas que están disponibles en línea a través de empresas de investigación de seguridad y comprobamos si alguno de nuestros clientes aparece en ellas. En el sitio Have I Been Pwned puedes comprobar si tu cuenta aparece en la lista. Si encontramos una contraseña que coincide, comprobamos si la dirección de correo electrónico correspondiente también aparece en esa lista, y restablecemos la contraseña si ambas aparecen.
Podemos comprobar tu contraseña sin saber realmente cuál es
Es importante señalar que no necesitamos enviar tu contraseña a nadie más para esta verificación; de hecho, tu contraseña nunca sale de nuestros servidores. En su lugar, usamos una huella matemática de tu contraseña, un llamado resumen criptográfico o hash, y comprobamos si ese hash aparece en la lista. Las huellas se mantienen seguras en una lista aparte que no sale de nuestra oficina; aunque por sí solas son inofensivas, no se pueden reconstruir para volver a formar una contraseña. De esta manera, nadie necesita manejar directamente las contraseñas reales, y ni siquiera sabremos qué contraseña usaste si encontramos una coincidencia en la lista. Todo lo que sabríamos es que está en una lista de contraseñas comprometidas y que sería buena idea restablecerla.
Restablecemos las contraseñas que encontramos en la lista
Si de hecho se encuentra la huella de tu contraseña en la lista de contraseñas con hash, eliminamos tu contraseña como precaución. La próxima vez que intentes iniciar sesión, se te redirigirá a la pantalla de “contraseña perdida”, para que puedas enviarte por correo electrónico un enlace para restablecer la contraseña.
Para que quede claro, esto no significa que tu cuenta haya sido comprometida. Solo significa que restablecimos tu contraseña por precaución para evitar que se comprometa en el futuro. Creemos que la pequeña molestia de una contraseña borrada compensa con creces el gran problema de una cuenta comprometida. Por supuesto, puedes ponerte en contacto con nosotros si tienes alguna pregunta sobre este proceso.
Este proceso de comprobación se repetirá a intervalos regulares, por ejemplo si ocurre otra gran filtración y aparecen nuevas listas en línea. Rara vez hablamos de nuestra seguridad, porque, mientras estemos haciendo bien nuestro trabajo, debería haber poco que comunicar. Esta es una de las pocas formas visibles en que intentamos ofrecer una experiencia segura cuando usas SuperSaaS. Ten la tranquilidad de saber que, como equipo, estamos trabajando duro entre bastidores en ciberseguridad todos los días.
Publicado originalmente en febrero de 2019.