Cómo expulsar a los piratas informáticos de su cuenta Ring

Mucho se ha escrito sobre la seguridad de las Ring Cameras de Amazon. Sigo manteniendo que la mayoría de los problemas que las personas están descubriendo con la seguridad de la empresa requieren que un atacante conozca su nombre de usuario y contraseña, algo que puede ayudar a prevenir utilizando una contraseña única y segura para su cuenta. Pero no te detengas ahí.

Vice's Motherboard tiene razón al tomar en cuenta las laxas prácticas de seguridad de la compañía en su último artículo de investigación , que analiza cómo Ring no hace nada para informarle cuando alguien está intentando (o ha iniciado sesión con éxito) en su cuenta. Por ejemplo, no recibe ninguna advertencia cuando alguien inicia sesión en su cuenta con una dirección IP que nunca se usó anteriormente para iniciar sesión en su cuenta, y esa persona, a su vez, no tiene el desafío de proporcionar una forma adicional de verificar que es usted. Tampoco hay forma de ver cuántas personas han iniciado sesión en su cuenta en cualquier momento, ni una lista de todas las direcciones IP que han iniciado sesión correctamente en su cuenta.

De hecho, Ring no parece hacer mucho para prevenir los ataques de fuerza bruta que los piratas informáticos están usando para ingresar a las cuentas de Ring (usando credenciales previamente filtradas). Como describe la placa base:

¿Las buenas noticias? Aún puede proteger su cuenta de Ring, pero deberá dar un paso adicional para frustrar a cualquiera que ya haya iniciado sesión y lo esté viendo leer esto en este momento.

Como escribe Mozilla , la mejor manera de mantener a los atacantes fuera de su cuenta Ring es habilitar la autenticación de dos factores. Y hacerlo es fácil . Solo necesita abrir la aplicación Ring en su dispositivo iOS, iPadOS o Android, abrir la configuración de su cuenta a través del ícono superior izquierdo (la figura de tres líneas) y buscar "Autenticación de dos factores" en "mejorar la seguridad . "

Enciéndalo, ingrese su contraseña, proporcione a Ring un número de teléfono móvil que pueda usar para enviarle un código de verificación e ingrese ese código cuando se le solicite.

Dado que Ring solo le envía mensajes de texto con códigos cada vez que usted u otra persona intenta acceder a sus cámaras Ring desde un dispositivo nuevo, esta técnica de autenticación de "dos pasos" es un poco menos segura que una configuración de autenticación de "dos factores" adecuada. (Es una diferencia sutil para un usuario promedio, pero es importante saberlo).

Sin embargo, aquí está el truco: activar la autenticación de dos factores de Ring (para usar su terminología) no arranca de su cuenta a nadie que ya haya iniciado sesión. Esta es una distinción extraña pero importante: hará que su cuenta sea más seguro para el futuro , pero no para el presente.

La única forma de cerrar la sesión de todos los que pueden acceder a su cuenta, cuando escribimos este artículo, es cambiar su contraseña. Haga eso después de haber configurado la autenticación de dos factores, y su cuenta de Ring estará lo más segura posible.

Dado que no recibirá ninguna notificación si alguien tiene sus credenciales de inicio de sesión e intenta iniciar sesión como usted, solo para fallar la autenticación de dos pasos, tendrá que confiar en que dicho atacante tampoco ha encontrado una manera de interceptar su mensajes.

Y aquí es donde los informes de Vice dan en el clavo: dado que Ring proporciona la mínima información a sus usuarios, realmente no tendrá forma de saber si alguien ha logrado obtener las credenciales de su cuenta y omitir sus dos factores. autenticación. Si bien las probabilidades de que un atacante aleatorio pueda hacer eso son increíblemente bajas, las probabilidades deberían ser cero. No hay ninguna razón por la que Ring no pueda decirte cuando alguien intenta iniciar sesión como tú, por lo que puedes cambiar tu contraseña o asegurar tu método de autenticación.