Después de presentarse una fuga de datos y de solicitar un cambio masivo de contraseñas a sus 50 millones de usuarios, Evernote acelera sus planes para ofrecer mayor seguridad a sus usuarios. Anunció que tienen planes de adoptar autenticación de dos factores lo antes posible.

La portavoz de Evernote, Ronda Scoot, anunció vía email lo siguiente: "Estamos listos para lanzar una autenticación opcional de dos factores para todos nuestros usuarios este año, estamos acelerando esos planes actualmente".

Evernote advirtió a todos sus usuarios el pasado domingo 3 de marzo vía email, que la compañía había sufrido una irrupción en sus sistemas después de que el equipo de seguridad y operaciones de la empresa "descubriera actividades sospechosas de bloqueo en la red de Evernote que parecían estar coordinadas con intentos de acceso a áreas seguras del servicio".

Al parecer, los atacantes ingresaron a una lista con los nombres de usuarios, direcciones de correo electrónico y contraseñas de cuentas que la compañía describe como "protegidas mediante cifrado unidireccional". Según Evernote, el proceso que realizaron los atacantes fue llevado a cabo con "extrema precaución". Las medidas oficiales que adoptó Evernote fue cambiar las contraseñas de todos sus usuarios (de las cuales muchas ya debieron ser descifradas) para prevenir que los atacantes las utilizaran para acceder a las cuentas de sus usuarios.

¿Qué tan rápido pudieron haber descifrado las contraseñas los atacantes- De acuerdo a los últimos reportes, Evernote utilizaba el algoritmo de cifrado MD5 para obtener el hash de las contraseñas antes de almacenarlas. Pero los expertos en seguridad consideran que el algoritmo de cifrado MD5 ya no es denominado seguro.

En 2008 Microsoft instó a los usuarios para que adoptaran el algoritmo de cifrado SHA1 por ser más seguro. Estas advertencias resultaron ser casi proféticas, ya que el malware Flame, que fue descubierto el año pasado, utilizaba un ataque por colisión de MD5 para falsificar un certificado digital de Microsoft, permitiendo al malware instalarse de manera automática utilizando el servicio de actualización de software Windows Update.

¿Qué aportaría la autenticación de dos factores a la ecuación de seguridad de Evernote- "Probablemente no habría servido de nada en términos de que ellos hayan sido hackeados, pero si Evernote llega a tener una nueva violación a sus datos en un futuro en el que sus contraseñas están expuestas y cifradas, la autenticación de dos factores detendría a los atacantes de obtener acceso a las cuentas usurpadas", dijo Graham Cluley, consultor de tecnología en Sophos durante una llamada telefónica.

La violación a los datos de Evernote ha puesto una vez más la atención de todos en la falta de seguridad aportada por las contraseñas, especialmente en los servicios que almacenan información personal sensible o información de carácter corporativo.