La debilidad de las contraseñas de los empleados del gobierno estadounidense pone de manifiesto su falta de protección. Una prueba realizada por la Oficina del Inspector General del Departamento del Interior consigue crackear las contraseñas de 14.000 empleados en 90 minutos.
En los últimos años ha aumentado el nivel de concienciación acerca de la importancia que tienen las contraseñas. Se trata de uno de los principales escudos de seguridad a la hora de acceder a correos electrónicos, aplicaciones, redes sociales, la banca online, redes corporativas y otros muchos servicios.
De la robustez de las contraseñas que utilizamos depende, en gran medida, la protección de estos activos.
Algo que se presupone, especialmente, en instituciones públicas como puede ser el gobierno de los Estados Unidos. Sin embargo, parece que no es así.
La Oficina del Inspector General del Departamento del Interior de la administración estadounidense ha llevado a cabo unas pruebas para revisar el escudo de ciberseguridad y las conclusiones son preocupantes.
A través del crackeo han conseguido descifrar las contraseñas de 14.000 empleados en solo 90 minutos. Para ello han utilizado un programa de cracking por el que han pagado 15.000 dólares, y que ha puesto de manifiesto la frágil seguridad de los sistemas ante por el uso de contraseñas fáciles de descifrar.
El informe arroja datos muy interesantes sobre el uso de las contraseñas. Por ejemplo, que el 5% de las analizadas era una variación de la palabra ‘password’.
Además, no solo resulta preocupante el empleo de contraseñas débiles. A esto se le suma la escasa implementación del doble factor de autenticación con lo que se vendría a reforzar, en cierta medida, la falta de seguridad con las contraseñas.
El alto riesgo de utilizar contraseñas débiles
Esto ha hecho saltar las alarmas ya que las políticas de contraseñas deficientes podrían poner en serio riesgo a la administración estadounidense en caso de producirse una infracción.
El organismo de control también ha recuperado cientos de cuentas de altos funcionarios y cuentas con privilegios de seguridad elevados para acceder a datos y sistemas confidenciales. Asimismo, se descifraron otras 4.200 contraseñas codificadas durante las ocho semanas adicionales que duró la prueba de control.
La plataforma de descifrado de contraseñas empleada consta de dos equipos con 8 GPU cada uno y una consola de gestión.
Según el informe, el Departamento del Interior proporcionó los hash de las contraseñas de cada cuenta de usuario al organismo de control, y esperó 90 días a que expiraran, según la política de contraseñas del propio departamento, antes de que fuera seguro intentar descifrarlas.
El organismo de control elaboró un listado de palabras personalizado para descifrar las contraseñas en varios idiomas, así como terminología del gobierno estadounidense, referencias a la cultura pop. Además, también se utilizaron otras listas disponibles públicamente de contraseñas cifradas recopiladas en filtraciones de datos anteriores.
Con ello demostró que un ciberdelincuente con buenos recursos podría haber descifrado las contraseñas del departamento en pocos minutos tal y como ocurrió en la prueba realizada.