- La regla general indica que un elemento protegido no debería poder tener más de una contraseña
- Algunos archivos ZIP comprimidos son la excepción, y esto puede generar dudas en el usuario
- ¿Por qué estos elementos disponen de contraseñas diferentes, ambas igual de efectivas?
Seguro que has manipulado archivos comprimidos ZIP alguna vez, y puede que incluso tuvieran una contraseña. Ahora bien, probablemente no lo sabías, pero un archivo ZIP puede tener hasta dos contraseñas efectivas. Como usuario, seguro te preguntas por qué existe esa posibilidad y qué tener en cuenta si se está tratando con un archivo ZIP con dos contraseñas, qué debería cambiar respecto a otro que tiene sólo una credencial de acceso.
Lo más interesante del caso es que, como decíamos, nos estamos refiriendo a dos contraseñas perfectamente útiles. Normalmente ningún contenido en nuestro PC tiene más de una contraseña porque aumentaría las probabilidades de que sea vulnerado. Por lo tanto, podríamos afirmar que los archivos ZIP son una rara avis en este sentido.
En cualquier caso, lo que es indistinto a la cantidad de contraseñas que posean es que los archivos ZIP protegidos representan un método sumamente popular a la hora de comprimir y compartir elementos de forma segura. Abarcamos desde datos privados o confidenciales hasta códigos maliciosos que no queremos que nadie sepa.
¿Cómo puede un archivo ZIP tener dos contraseñas?
Bien, lo que pasa es que Arseniy Sharoglazov, investigador de ciberseguridad en Positive Technologies, compartió durante los últimos días un descubrimiento simple pero inquietante, que no ha dejado de llamar la atención. Básicamente, creó un archivo ZIP protegido con contraseña, al que decidió colocarle el nombre «x.zip».
La contraseña que eligió Sharoglazov para encriptar el archivo ZIP era un juego de palabras con el éxito de Rick Astley de 1987 Never Gonna Give You Up, que se convirtió en un meme popular en el mundo de la tecnología:
Nev1r-G0nna-G2ve-Y8u-Up-N5v1r-G1nna-Let-Y4u-D1wn-N8v4r-G5nna-D0sert-You
Hasta ese momento todo transcurría bien, si no fuera porque este profesional comprobó que podía extraer el contenido del archivo con otra contraseña, sin que apareciera ningún mensaje de error ni nada parecido. Pensando en ese segundo intento, escribió una credencial de acceso que nada tenía que ver con la otra:
pkH8a0AqNbHcdw8GrmSp
¿Cómo se explica este fenómeno?
Llegados a esta instancia, te preguntarás cómo pudo Sharoglazov usar dos contraseñas para un archivo ZIP, y qué tantas posibilidades hay de que un extraño pueda abrir nuestros archivos utilizando una contraseña «incorrecta».
Afortunadamente, el usuario de Twitter @Unblvr se ha encargado de explicar el secreto detrás de este fenómeno. Cuando creamos un archivo ZIP con una contraseña con el modo AES-256 habilitado, el formato ZIP usa el algoritmo PBKDF2 y codifica la contraseña proporcionada por el usuario si es demasiado extensa.
Dicho de otro modo, el archivo no estará protegido por una contraseña como tal sino por un hash de ésta. Constantemente, el programa de compresión y descompresión estará comparando la contraseña con el hash.
Y en este caso específico, la contraseña alternativa «pkH8a0AqNbHcdw8GrmSp» es la representación ASCII del hash SHA-1 de la contraseña larga que previamente había sido recortada por el sistema, «Nev1r-G0nna-G2ve-«.
Nadie va a descubrir tus contraseñas
Por supuesto, es extremadamente difícil que esto pase, porque la contraseña inicial debe tener más de 64 caracteres. Cualquier contraseña más corta que eso no se decodificará, ni habrá riesgo de que alguien pueda adivinarla.
Otra buena noticia para tus elementos protegidos es que la representación ASCII del hash SHA-1 de una contraseña larga no siempre es una cadena de caracteres y números, sino que a veces es un conjunto de bytes sin sentido.
Al final, Sharoglazov acabaría admitiendo que tuvo que usar una herramienta de recuperación de contraseña de código abierto hashcat con modificaciones para encontrar la contraseña con una representación ASCII razonable. Probó variaciones hasta que se le presentó una contraseña limpia de letras y números.
Si eres un usuario común no tienes nada de qué temer, y esto sólo ha sido una muestra de los misterios que rodean varios de los productos informáticos que utilizamos a diario, y de cuya existencia no tenemos ninguna idea.