Desde hace algunas horas, todos los que hayan intentado acceder a Evernote desde su cliente de escritorio, alguno de sus clientes móviles o desde el Web Clipper habrán notado que su contraseña no funciona y que, desde el servicio, se les insta a forzar un cambio de contraseña. ¿El motivo? La compañía ha detectado un intento de intrusión que los ha llevado a resetear las contraseñas de todos los usuarios porque tanto direcciones de correo como contraseñas (aunque cifradas) se habrían visto comprometidas.
Evernote es uno de los servicios de libretas online más populares de la red y una de las aplicaciones de productividad más utilizadas por los usuarios y un servicio en el que nos apoyamos muchos usuarios en nuestro día a día. Según el comunicado oficial que podemos ver en la web de Evernote, los atacantes habrían tenido acceso a los nombres de usuario, direcciones de correo electrónico y las contraseñas cifradas de los usuarios (que no en claro puesto que pasan por un proceso de hash) y, según afirman, aunque siguen investigando el hecho, parece que no se habría tenido acceso a la información que los usuarios almacenan en el servicio (ya sea personal o a través del servicio para empresas) ni tampoco la información relativa a pagos (de los usuarios con cuenta Premium).
A pesar de que las contraseñas están cifradas, como medida de seguridad, Evernote ha decidido forzar el cambio de contraseñas para todos los usuarios y evitar cualquier percance adicional si, por ejemplo, se lograra romper el cifrado de éstas; así que al acceder al servicio vía web, lo primero que notaremos es, precisamente, la solicitud de cambio de contraseña.
Además, parece que Evernote va a lanzar actualizaciones de alguna de sus aplicaciones, precisamente, para facilitar que el cambio de contraseña sea más simple aunque, eso sí, correrá de nuestra cuenta volver a cambiar las contraseñas en equipos de escritorio, smartphones y tabletas una vez que la hayamos cambiado en el servicio.
¿Y ahora qué? Antes de cambiar la contraseña, quizás sea importante dedicar unos minutos a pensar en una contraseña segura que sea única para el servicio o valernos de un generador de contraseñas para buscar una clave única que no sea fácil de adivinar ni tampoco esté en un diccionario de contraseñas de esos que circulan por la red para intentar robar datos de cuentas probando contraseñas de uso común.
Si realmente los atacantes no han tenido acceso a nuestros datos almacenados en el servicio, el impacto de esta intrusión se podría materializar en la explotación de nuestras direcciones de correo electrónico (spam, intentos de phishing, etc) y, en un caso extremo, que logren descifrar las contraseñas y utilicen los pares correo electrónico/contraseña en otros servicios (LinkedIn, Facebook, Twitter, etc) si es que en estos usábamos las mismas contraseñas. Por tanto, si usabas la misma contraseña en Evernote y en otros servicios, tampoco estaría de más introducir alguna variación en la contraseña y cambiarla también en los servicios que la compartían.