El día de ayer hemos visto como cerca de 10,000 contraseñas de usuarios de Hotmail fueron publicadas en un sitio de internet por un anónimo.
Se dice dentro del medio, que posiblemente el atacante haya sido de origen hispano, ya que muchos de los correos involucrados involucraban nombres como «Alejandra» y «Alberto»; así como las contraseñas que contienen palabras del diccionario español.
Una de esas contraseñas, la más larga de todas: lafaroleratropezoooooooooooooo
Estas contraseñas fueron obtenidas por medio de un ataque tipo phishing. Esos correos electrónicos que contienen ligas a otros sitios (no necesariamente vienen de bancos)… y que obtienen tu usuario y contraseña. Si lo vemos desde un punto de vista neutral, realmente el usuario es quien da sus datos al atacante.
Expliquemos un poco más a detalle.
Recibes un correo electrónico de una persona conocida, alguien que si se encuentra dentro de tus contactos. En dicho correo, viene una postal. Emocionado al respecto abres la postal, para lo cual te pide que «para cuestiones de seguridad» coloques tu usuario y contraseña de tu email para poder verla. (Incluso aparecen los logos de Hotmail, Gmail o incluso de Facebook)
Confiado de que estás todavía en el correo (aunque no sea así), colocas tu contraseña.
Me han pedido que escriba este post para poder dar tips de cómo proteger las contraseñas, lo cual haré, pero también quisiera debatir el tema legal para que vean lo dificil que es investigar este tipo de casos. (al final del día, como examinador forense, es mi chamba)
Resulta que este tipo de emails causan mucho daño. Entonces, qué puede uno hacer?
1. Denunciar: Qué denuncias?? Te robaron tu cuenta de correo o de facebook? Estas pagando por ella? De quién es realmente?
La respuesta es que las cuentas de Hotmail, Facebook y demás son propiedad de ellos y no tuyo. (eso nos pasa por no leer el contrato de servicio), por lo que entonces quienes podrían demandar son ellos. Lamentablemente también todos los equipos o servidores se encuentran en USA, por lo que la legislación de la información encontrada en los equipos, se rige con las leyes americanas.
2. Que la autoridad lo persiga!
Para poder perseguirlo, se requieren denuncias. Sin embargo, imaginemos que se persigue por oficio (porque es su deber). Pues entonces si ellos buscan la manera de caer en el phishing para poder investigar, se considera incitacion a cometer el delito, entonces ya son ellos también culpables.
Esto es algo que he estado peleando desde hace mucho tiempo y que seguire peleando.
Pero bueno…..
La realidad y para terminar, aquí están los tips:
TIPS de Contraseñas
– Que la contraseña no sea una palabra que encontramos en un diccionario
– No se vale ni el nombre de tu perro, novia, esposa, hijos, placas del carro, cedula, matricula de la escuela, etc.
– Cambiala regularmente, principalmente después de usarla en un equipo que no es confiable
– Valida que realmente es el sitio a donde estás accesando antes de colocar tu contraseña
– No uses la misma contraseña para todo (te hackean una, te hackean todas) – considerando que tambien en tu cuenta de mail guardas los correos de todas las otras cuentas cuando las creaste.
Yo ya tenía conocimiento de como se obtienen las contraseñas (phishin), incluso de Tips para tener una «buena» contraseña.
Por lo mismo quiero reconocer que este post es muy bueno, de facil entendimiento para aquellos que aún lo ignoran =)
¡Saludos!
Yo recomiendo que en vez de usar una Password usen un passphrase o sea para los que no entendieron en vez de Patito o Agosto2008 usen una frase que puedan recordar y entre cada palabra mayuscula y si se pueden números ejemplo «Mis3PatosSeMurieronEnAgostoDel2008:(«
Atte ERDRP
En estos días había estado ausente, desconectado del internet y ahora revisando el reader me doy cuenta de que es una de las noticias más comentadas en los últimos días.
Sin duda deja claro el poco cuidado que tiene la gente con sus contraseñas y que las más utilizadas son bien sencillas del tipo 123456, por poner un ejemplo.
Y otra cosas que abría que comentar , es el tema de la pregunta secreta, es un hecho que haya cuentas comprometidas por culpa de la pregunta secreta. Si bien ayuda en caso de olvidar la contraseña, es una puerta abierta a la ingeniería social, yo opino que la mejor opcion seria recuperar via e-mail 😉
Buen post!
salud2
Una tarea bien dificil, es concientizar a los usuarios de la red, que al momento de estructurar su contraseña deben aplicar tecnicas faciles de recordar y dificiles de adivinar. Pero para muchos es algo fastidioso, y obtan por crear contraseñas simples o sencillas.
Muchos de los que conozco, cuando les comento sobre los riesgos de utilizar contraseñas debiles, siempre me alegan que estar suscritos a muchos servicios en internet los obliga a utilizar como contraseñas, nombres, fechas de nacimiento, mascotas, cedula de identidad, etc. ya que son más faciles de recordar.
Además, otro punto peligroso es cuando estos usuarios afirman no tener info importante que proteger.
Lo que si difiero de este post, es el hecho de afirmar que no somos propietarios de las cuentas de correo de sevicio gratuitos como Hotmail, Yahoo, etc.
Perfectamente, Microsoft (Hotmail) es dueño del servicio de correo, sin embargo los e-mail nos pertenecen a nosotros, y esto esta estipulado en muchas legislaciones a nivel mundial. Y esto por el simple hecho de que los e-mail son parte de un derecho fundamental: la Privacidad de las Personas y de las comunicaciones.