Habitualmente, cuando navegamos por Internet, nuestro navegador nos ofrece «almacenar la contraseña» tras habernos identificado con usuario/clave en una web. En ese momento es algo que suena bastante útil, y sobre todo es muy cómodo, ya que, en el caso de Google Chrome, lo almacena en su nube, y permite utilizarlo cuando utilizar Chrome en cualquier plataforma (incluso móviles) y estás identificado con tu cuenta Google.
Era usuario de ese sistema, y hablo en pasado, porque tras un incidente, no lo quiero ver ni en pintura.
¿Que sucedió?
En un determinado momento, cada vez que abría el navegador Google Chrome, éste me advertía que un número de mis contraseñas, habían visto comprometida su seguridad. El caso es que día a día aparecía ese mensaje.
Pasados unos meses, me llegó algún mensaje que me hacía sospechar que alguien estaba intentando entrar en alguna de mis cuentas con mis credenciales.
Rápidamente cambié algunas contraseñas, activé autenticación de doble factor donde se permitía y en los días siguiente, incluso recibí en el móvil un SMS con la clave para superar el segundo factor en una tienda online. No era yo.
Empecé a investigar el asunto, y me pregunté ¿y cómo es que Google sabe el número de contraseñas que han podido ser «robadas».
Mi sospecha, evidentemente es que el robo se lo han hecho a Google… si Google las guarda, y sabe que han podido ser robadas… blanco y en botella.
Así que deje de utilizar tanto el navegador, me pasé a Firefox, como cualquier utilidad que me ofrezca gentilmente almacenar mis contraseñas.
Desde hace muchos años, utilizo una aplicación llamada Keepass para tener un libro de contraseñas. La recomiendo fervientemente para todas aquellas personas (vamos… todas…) que no sean capaces de retener en la memoria unas 200 contraseñas (o más), por lo tanto, tengo mi propio sistema para almacenar las contraseñas de forma centralizada, y nunca he requerido usar otro servicio, pero claro, tantas veces la ventana te lo ofrece… y todo el mundo sabe que el botón de «Guardar contraseña» es más grande que el de «Nunca» :-D.
Amazon
La única incidencia grave que me ha sucedido, es que han hecho con mi cuenta (y mi tarjeta) una compra en Amazon de un bono para Xbox. Ni tengo esa consola, ni lo he comprado.
Al verlo, rápidamente eliminé la tarjeta bancaria almacenada en Amazon, y abrí un incidente para informar a la tienda de lo que había sucedido.
La respuesta, fue que no veían un medio de pago vinculado y no podían rastrearlo. Les dije que lo había quitado, para prevenir que hicieran nuevas compras. En resumen… que no podían hacer nada.
Como en ese momento mi mayor preocupación era asegurarme que todas aquellas cuentas que estuvieran vinculadas a algo de pago (vamos… dinero) estuvieran seguras, la verdad es que pasé página con Amazon ya que era mas importante asegurar otras cosas.
Aparte que el origen del problema estaba en Google y no Amazon.
Meses después…
Cuando se modifica la contraseña de Amazon, si no reinicias a valores de fábrica todos los dispositivos Amazon que tengas por casa, te puedes encontrar con la sorpresa de que vuelve a la contraseña original. Ya lo advierte Amazon y así es.
Al no haber guardado la primera contraseña, la desconocía y tuve que dar a los de «Recuperar contraseña olvidada». Te ofrece enviar un email para recuperarla, pero nunca llegaba tal correo.
Me puse en contacto con el servicio de Amazon hasta en tres ocasiones, y me referían al email de recuperación, aun diciéndoles que no me llegaba tal correo.
En la cuarta ocasión, me atendió una chica, a la que le describí mi situación, y al ver que utilizaba un email de gmail, me indicó que fuese a configuración a ver si en los filtros había uno que eliminaba todo lo que viniera de Amazon. La dije que no podía ser ya que no lo había puesto, pero ella insistía.
La verdad es que tengo muchos filtros configurados, y no lo ví, así que hice una búsqueda por texto «Amazon» y allí que apareció!!!! Efectivamente, tenía un filtro en mi cuenta de gmail, que borraba cualquier correo que llegara de Amazon. Lo eliminé, y entonces entró el correo de recuperación de la contraseña. Se lo agradecí enormemente ya que ninguno de sus compañeros anteriores me lo había dicho.
Así que también tuvieron acceso a mi email de Gmail!! (bueno, que tontería, si sería otra de las contraseñas «comprometidas»…)… hicieron la compra en Amazon, y pusieron un filtro para que no llegara ningún correo de esa plataforma.
Conclusión
Me da igual de quien sea el problema. Lo que tengo claro, es donde se ha producido el robo de contraseñas, y que la solución pasa por no almacenar algo tan relevante en «casa» de nadie. Aunque en algún momento me resulte más incómodo.
Otra de las conclusiones es que las plataformas, se muestran muy activas por hablarte de la seguridad, pero en cuanto ven que el asunto no está en su «tejado»… no te ofrecen ninguna colaboración.
Lo cuento aquí en «voz alta» ya que me parece muy relevante, y que a cualquiera le puede suceder.