Robo de Clave única en Chile y análisis sencillo
Antes de cualquier análisis y para contextualizar el asunto, se debe indicar que la “Clave Única” es una contraseña de uso transversal utilizada para trámites gubernamentales en Chile e integrado con muchas plataformas del estado.
Hace pocos días se publicó una noticia que indicaba el robo de “contraseñas” hecho por ciberdelincuentes que en la práctica, fueron capaces de acceder a los sistemas y robar una parte considerable de claves.
Gobierno Digital y como entidad responsable de estos temas a nivel gubernamental publicó un comunicado al respecto:
Declaracion-Gobierno-Digital-14.10.2020-1Según se comenta las contraseñas no están publicadas, pero si su equivalente cifrado, lo que técnicamente se conoce como un HASH.
¿Cuál es el problema entonces? ¿Nos debemos preocupar por el robo de claves cifradas?
La respuesta a eso es “depende”, pues en general los sistemas se hacen pensando en que eventualmente tarde o temprano información sensible se puede extraer de las bases de datos y es por ello que se almacenan en formato inentendible.
Pese a ello muchos usuarios no siguen las recomendaciones de evitar el uso de contraseñas sencillas y conocidas como el “123456”. El uso de estas contraseñas al cifrarlas dará un resultado como “7c4a8d09ca3762af61e59520943dc26494f8941b” y es eso lo que está almacenado, sin embargo ese HASH de clave es conocido y basta con buscarlo para saber quienes usan la contraseña “123456” para sus trámites.
¿Basta con cambiar mi clave única?
Inicialmente si usa contraseñas sencillas como la antes mencionada, la recomendación es cambiar no solo la que usa como clave única sino también todo otro sistema en que tenga las mismas.
Por otra parte hay un punto preocupante, el sistema de cifrado que se usa no ha sido difundido, pero fuentes extraoficiales hablan de SHA1, declarado inseguro desde el 2017. De ser cierto ello no basta con cambiar las claves sino descubrir la forma en que los ciberdelincuentes accedieron y corregir esa vulnerabilidad, sumando a esto el cambio completo del sistema de cifrado a algo mas robusto.