Publicado el TOP 200 de las contraseñas más inseguras


El administrador de contraseñas NordPass ha aprovechado la recta final del año para hacer público el listado de Las Peores Contraseñas de 2020 en el que podemos identificar cuántos usuarios siguen utilizando cada una de ellas, el número de veces que han sido comprometidas y, además, el tiempo que necesitaría un atacante para "crackearla", entendiendo por "cracking" el procedimiento que se utiliza para 'romper' el hash (operación matemática de un único sentido) de una contraseña, permitiendo así el acceso a la información anteriormente protegida.

Tomando 2019 como referencia, se ofrece una comparativa de cómo ha variado la posición de cada una de las claves. Algunas como "picture1" o "senha", no presentes el año pasado, han entrado directamente en el top 10. Entre las restantes, es relativamente fácil identificar los patrones utilizados, siendo habitual el uso de caracteres consecutivos y/o la repetición de los mismos. Por otro lado, aunque en menor proporción, podemos encontrar contraseñas asociadas con nombres, comunes (computer) y propios (charlie); redes sociales (myspace1), series (pokemon), deportes (football), comida (chocolate), entre otros. 



Una vez más, se pone de manifiesto que tanto las empresas como los usuarios finales, siguen sin ser lo suficientemente cautos a la hora de definir sus datos de acceso. Es por ello que, ahora más que nunca, debemos confiar, únicamente, en las recomendaciones de los expertos en la materia. 

Algo tan sencillo como el desarrollo de buenas prácticas en nuestro día a día, incrementa considerablemente nuestro nivel de seguridad. No utilizar la misma contraseña en diferentes cuentas; incluir una combinación de letras, números y símbolos aleatorios que eviten cualquier tipo de patrón fácilmente identificable; tener claro que “cuanto más sencilla sea de recordar, más sencilla será de descrifrar”: o cambiar periódicamente nuestras contraseñas verificando que la calidad de las mismas siempre es igual o mejor que la anterior, son algunas de las estrategias que podemos seguir.

Muchas cuestiones a tener en cuenta, ¿verdad? Por eso, un administrador de contraseñas puede convertirse en nuestro mejor aliado. Actualmente, este tipo de herramientas, nos permiten: almacenar un número casi ilimitado de contraseñas de manera cifrada, protegiendo la información, algunos hasta permiten activar la opción de doble factor de autenticación (2FA); generar contraseñas largas y complejas, algo fundamental para mantener nuestra información segura; e, incluso, autocompletar los formularios de acceso, lo que evitará la acción de posibles keylogger (software que registra las pulsaciones de las teclas y las graba para un tercero, todo ello en tiempo real) que se hayan "colado" en nuestros sistemas. 

En el plano empresarial resulta interesante la función de establecer políticas de acceso que ofrecen algunas soluciones del mercado, permitiendo así un mayor control sobre quiénes son las personas que tienen acceso y, además, pueden compartir las contraseñas en nuestra compañía. Razón de más para creer que, aquellas empresas que no dispongan de una política de acceso correctamente definida, incrementan la exposición de sus sistemas al exterior, facilitando así el trabajo a los posibles atacantes. 

Que nuestras contraseñas no se encuentren en el ranking no las exime de ser inseguras o de haber sido comprometidas en posibles filtraciones de datos. Algunas webs como "have i been pwned?" nos permitirán verificar si nuestros datos personales o corporativos han sido comprometidos. Para ello basta con introducir nuestra dirección de correo electrónico y... voilá.

Para comprobar si alguna de tus contraseñas se encuentra en el top, pásate por el siguiente enlace.


Publicada vulnerabidad en Schneider EcoStruxure Building Operation WebStation (CVE-2020-28210) descubierta por #Zerolynx


En Zerolynx estamos muy agradecidos por el reconocimiento de nuestro trabajo y dedicación. Esta vez desde Schneider Electric, donde nuestros compañeros Luis Vázquez, Francisco Palma y Diego León identificaron y reportaron a través de Incibe una vulnerabilidad de tipo Cross-site Scripting con CVE-2020-28210 en el producto EcoStruxure Building Operation WebStation, entre las versiones 2.0 y 3.1. ¡Desde aquí queremos darles la enhorabuena!

Para más información y remediaciones, os dejamos los reportes oficiales de Incibe y Schneider Electric.





Publicado el nº 142 de Revista SIC, donde lanzamos nuestra campaña sobre Seguridad en la Movilidad


Ya ha sido publicado el nº 142 de Revista SIC, donde podréis disfrutar de un número especial dedicado a los CSIRTs. En este interesante número, hemos lanzado nuestra campaña de publicidad de Noviembre y Diciembre, dedicada a la Seguridad en la Movilidad.

Debido al efervescente panorama en el cual se encuentra el sector de la Ciberseguridad en relación a los vehículos conectados, hemos desarrollado una amplia variedad de servicios que cubren las necesidades de nuestros clientes, ya sean OEMs, Tiers o empresas Aftermarket. Para ello, disponemos de técnicas y metodologías de auditoría de vehículos actualizadas al estado del arte, pudiendo analizar no solo la arquitectura y componentes E/E, sino también entornos cloud de gestión de flotas, servicios de sharing y sistemas de seguridad anti-robo. Además, podemos ayudar a establecer en las empresas un sistema de gestión de la ciberseguridad adaptado a la compleja situación normativa actual, de tal forma que se disponga de una correcta gestión de la ciberseguridad en todos los procesos del ciclo de vida del producto, tanto en fases de diseño como en fases de validación (análisis de riesgos, selección de requisitos de ciberseguridad, diseño de arquitectura, auditoría de código, validación de seguridad en unidades funcionales y sistema, etc.).



Si eres un OEM, Tier o Aftermarket del sector de la movilidad (automoción, ferroviario, etc.), estaremos encantados de presentarte nuestra propuesta de valor.

¡Contáctanos en nuestro email [email protected]!