Muchos nos hemos preguntado acerca de la seguridad de nuestros sitios web. Qué tan importante es la seguridad cuando todo lo que estamos haciendo es simplemente usar WordPress y publicar mensajes.
Ahora sabemos que se necesita abordar este aspecto y muchas interrogantes salen a flote al conversar del tema. ¿Qué es lo que importa? ¿Quién está apuntando hacia mí? ¿Por qué necesito tanta seguridad? Y la verdad es que hay dos tipos básicos de ataques que merodean.
Están los ataques dirigidos a un sitio específico, por lo general, uno grande o de un tinte muy político, pero por lo general, a aquellos impulsados por el dinero. Son sitios que procesan gran cantidad de tarjetas de crédito o tienen una gran cantidad de información privada y a los que van específicamente para atacarlos de forma activa.
Pero hay otro tipo de ataque y que sucede de forma muy consistente. Ataques automatizados a través de un software que alguien ha escrito y que se hace intentar reiteradamente quebrar el sistema de los sitios tanto como sea posible utilizando cualquier medio disponible, ya sea mediante ataques de fuerza bruta, por medio de una lista de contraseñas o averiguando las vulnerabilidades de software vencido.
Ese tipo de cosas suceden de manera indiscriminada en todos los sitios de la Web. Una gran cantidad de veces es para poner anuncios en tu sitio con el fin de hacer algo de dinero o posiblemente sólo para ser capaz de utilizar tu servidor en un ataque más grande en el futuro.
Básicamente roban recursos para evitarse gastos de alojamiento o para hacerte ver como un mal sitio aunque en realidad no lo seas.
Hablar de seguridad implicaría mucho más tiempo y espacio para escribir, por ello vamos a centrarnos en las contraseñas y preguntarnos ¿qué es lo que hace que una contraseña sea segura?
Las contraseñas son la primera capa de seguridad, así que cuanto antes se pueda detener a alguien, mejor. La respuesta más técnica para saber si una contraseña es segura es conocer la medida de algo llamado entropía o bits de entropía.
Las contraseñas más largas son más complicadas si utilizan caracteres como letras mayúsculas y minúsculas, números y símbolos, todos ellos aumentan su entropía desde un punto de vista general. Sin embargo un usuario promedio quizás ni entienda esta palabra y por ello no la aplique adecuadamente.
Datos de información personal como el año en que se graduó o su cumpleaños, no es un buen número para usarse. A pesar de que técnicamente se añade un número a la contraseña, no se aumentan la seguridad. Por lo tanto, lo que realmente hace que una contraseña sea segura es que sea larga, al azar y que no se utilice en múltiples lugares. Esas son tres de las más grandes cosas a tener en cuenta.
Añadir datos aleatorios incrementa bastante la seguridad ya que para el tipo de ataques de fuerza bruta, los ordenadores están probando, literalmente, AAA y luego, AAB ABA hasta que quizás encuentren tu contraseña. Con ese tipo de ataque, que es muy común, los intentos aumentan dramáticamente para el intruso a medida que añadas un carácter más a tu contraseña. Ya está definitivamente mejor.
La técnica de fuerza bruta, por desgracia, no es tan fácil de detener debido a la gran sofisticación de piratas informáticos en los últimos años.
En los ataques de fuerza bruta ya no es cierto que un único equipo está probando un millón de contraseñas hasta que encuentra la correcta.
Ellos intentan una o dos contraseñas en un ordenador y luego uno o dos de otro y uno o dos de otro usando miles y miles de ordenadores, servidores o sitios web por lo que es mucho más difícil detectarlos.
Referente a WordPress y las contraseñas ¿Cómo almacenar las contraseñas de WordPress de todos los abonados de mi sitio de WordPress? ¿Cómo sé que todo es seguro, si alguien, obteniendo acceso a mi sitio, sería capaz de ver las contraseñas de todo el mundo?
Bueno, en primer lugar, no, según lo establecido por WordPress. Los piratas no pueden ver las contraseñas de todo el mundo ya que WordPress las almacena encriptadas, es decir, cifradas o enmascaradas. Por ejemplo, es como una suma que te doy para que almacenes a partir de una lista de números. Así, a partir de la suma no puedes saber con certeza cuál era mi lista de números.
WordPress para asegurar que el acceso al sistema no corra riesgo, evita que una contraseña pueda regenerarse, es decir, cuando un usuario la olvida, no le devuelve la que era, en lugar de eso, verifica su identidad mediante un correo electrónico, pensando que, si alguien tiene acceso a su correo electrónico, debería ser él y, entonces, puede utilizarlo para establecer una nueva contraseña que pueda recordar con suerte o almacenarla en un gestor de contraseñas.
Ahora viene otra cuestión. Qué pasa si alguien genera una súper fuerte contraseña, tal vez como de 32 caracteres, muy combinada y se la ha memorizado personalmente. Y dice, “bueno, esta es una contraseña segura y voy a usarla para todo, ya que nadie va a adivinarla”¿Todavía esta persona está protegida si tiene una contraseña muy segura que utiliza en todas partes?
Por supuesto que no. El problema de usar una contraseña en todas partes es que se están expandiendo las posibilidades de que alguien sea capaz de averiguar la contraseña, posiblemente, no por la fuerza bruta. Si utiliza la contraseña en muchos lugares y la utiliza en algo que no es muy importante, digamos como un sitio de juegos, e iniciada la sesión desde su cafetería local Wi-Fi, el problema es que alguien podría estar fisgoneando y coger la contraseña.
Puede haber alguien en medio tomando tus datos en algún lugar a lo largo de la ruta entre el tú y el sitio al que estás enviando la información. Si ese alguien roba tu contraseña de juegos y echa a perder tus puntos, no es un gran problema, pero si roban tu contraseña de juegos y la utilizan para acceder a tu cuenta bancaria o iniciar sesión en tu sitio web de negocios, eso si es mucho más grave.
Ahora ¿Qué tan peligroso es utilizar Wi-Fi gratis? ¿Hay cosas que debemos hacer cuando estamos en un café u otro sitio Wi-Fi?
Hay algunas cosas que se pueden hacer. Utilizando únicamente los sitios que tienen SSL cuando se está en conexión wifi es un gran paso hacia la dirección correcta. SSL encripta los datos en el navegador y, a continuación, desencripta el sitio web. Por eso, cuando los datos van a través del sistema público gratuito, no se tiene ningún control sobre ellos ya que están encriptados. No es perfecto, pero es drásticamente mejor que utilizar un sitio que no tiene SSL.
También se puede configurar una VPN que se utiliza cuando se está en la red inalámbrica pública, que es un tipo de encriptación de datos entre tú y alguna otra fuente que los retransmite a cualquier lugar al que se está intentando enviar.
Otra cosa es un red wifi abierta vs un a red wifi con contraseña. Incluso si los dueños del café están dando gratuitamente la contraseña a todos en el local, el hecho de que se necesite una contraseña para entrar en el wifi es mejor. A los rastreadores que tratan de espiar el tráfico se les hará mucho más difícil en este tipo de redes.
Otro aspecto a tener en cuenta es ¿Qué pasa si tengo una sola aplicación que está almacenando todas mis contraseñas? ¿Me estoy poniendo en riesgo al concentrar mi seguridad en un único punto posible de fallo si alguien puede piratear esta aplicación?
Nada es infalible, pero proveedores para gestión de contraseñas, como LastPass o Dashlane, son dignos de confianza. Su cifrado se basa en la información proporcionada por el usuario que incluye su propia contraseña. Usan lo que se llama el cifrado de múltiples pasadas y es más fácil para el usuario actualizar sus contraseñas en un montón de lugares, hasta de forma automática.
Además algunos de ellos monitorean las brechas de seguridad en ciertos sitios advirtiéndote que podría haber una oleada de pirateo y sugiriéndote así cambiar tu contraseña. El cambio incluso puede ser tan fácil como darte un botón para que de un solo clic cambies tu contraseña con unos cuantos caracteres generados al azar.
Además muchos te alertan en cualquier momento cuando estas usando una contraseña duplicada en múltiples sitios. Muchos usamos una sola contraseña para un grupo de sitios determinado y somos conscientes del riesgo, pero es bueno que el gestor de contraseñas te advierta debido a que todos tenemos la tendencia a volvernos flojos.
