arrow-downcloseCNNEcomment-02commentglobeplaylistsearchsocial-facebooksocial-googleplussocial-instagramsocial-linkedinsocial-mailsocial-moresocial-twittersocial-whatsapp-01social-whatsapptimestamptype-audiotype-gallery
Cibercrimen

11 millones de contraseñas del sitio para infieles Ashley Madison fueron descifradas

Por David Goldman

(CNN Money) - Como que si el hecho de que los hackers hayan expuesto tu información más privada no fuera suficiente, ahora millones de contraseñas del sitio Ashley Madison han sido reveladas.

Un grupo de aficionados a descifrar contraseñas, por medio del análisis de los datos publicados por los hackers de Ashley Madison, han encontrado errores en la forma en que el sitio web encriptó aproximadamente la mitad de las 32 millones de cuentas robadas.

Como resultado, el grupo que descifró contraseñas, conocido como CynoSure Prime, pudo descubrir 11 millones de contraseñas de cuentas de los clientes de Ashley Madison.

Los hallazgos del grupo aparecieron por primera vez en un informe de ArsTechnica.

CynoSure Prime determinó que Ashley Madison había cometido dos extraños errores cuando encriptó aproximadamente 15 millones de contraseñas de clientes: 1) las convirtió todas a letras minúsculas, y 2) usó uno de los algoritmos de encriptación más endebles disponibles para las contraseñas.

Las dos son cosas que definitivamente no se hacen cuando se trata de proteger contraseñas.

publicidad

Por ejemplo, si tu contraseña para Ashley Madison era "Password", el sitio web podría haberla convertido en: "5f4dcc3b5aa765d61d8327deb882cf99".

Lo creas o no, ese es un código fácil de descifrar.

Correctamente cifrado, "Password" aparecería de manera mucho más compleja (y esencialmente imposible de descifrar) como: "$2a$10$ci9jdQQRdTe4U2wIncJt9uRs.HKatci/30iJcXDzsfqtX4APwTaLS".

La herramienta de cifrado menos segura que Ashley Madison utilizó es aproximadamente un millón de veces más rápida de descifrar que la más robusta, dijo CynoSure Prime.

No está claro por qué Ashley Madison utilizó una herramienta de cifrado para un subconjunto de las contraseñas y otra herramienta para el resto de las contraseñas. Un portavoz de la empresa matriz de Ashley Madison, Avid Life Media, no respondió a una solicitud de comentarios.

CynoSure Prime no fue el único grupo que descifró las contraseñas de Ashley Madison. La empresa de ciberseguridad Avast también hizo un intento y descubrió 27.000 contraseñas.

A partir de ese subconjunto, Avast proporcionó una lista de las mejores contraseñas utilizadas para Ashley Madison, muchas de las cuales son las palabras que probablemente no querrás decir delante de tu madre (y que no vamos a publicar aquí).

Aquí están las cinco primeras (todas seguras para el trabajo):

1: 123456

2: password

3: 12345

4: 2345678

5: qwerty.

Otras contraseñas comunes incluyen "secret" (secreto), "helpme" (ayúdame), "midnight" (medianoche) y, de manera interesante: "yamaha".

El problema con las contraseñas súper comunes es que fácilmente pueden adivinarse o descifrarse con algoritmos para adivinar contraseñas. Lo peor es que la mayoría de las personas utilizan una sola contraseña para todas sus actividades en línea. Según Symantec, al igual que con Ashley Madison, la contraseña más utilizada en el mundo es 123456.

Así que un hacker que descubre tu contraseña en un sitio como Ashley Madison fácilmente podría ingresar a bankofamerica.com, gmail.com o facebook.com y tener una buena oportunidad de entrar en tu banco, correo electrónico o cuenta de red social.