Daboweb

E-mail y foros, crónica de un ataque…

Publicado por Dabo on abril 26, 2005
Seguridad Informática

Tal y como digo en el título que como todos los títulos o titulares buscan una cierta reacción de quien lo lee, los primeros responsables de que nuestros datos estén a buen recaudo somos nosotros…




Voy
a poneros en escena con un caso hipotético pero totalmente factible y
que se repite con mucha frecuencia. Un ejemplo de un caso en el cual, mediante
la ingeniería social (Técnica de hacking que se vale de los
conocimientos, usos y costumbres de la “victima” para comprometer y romper su
seguridad digital) y sin grandes conocimientos informáticos y si mucha
picardía, os pueden hacer mucho daño.

Imaginar
que participáis en un foro diariamente y que por las razones que sea, os
interesa sobremanera, bien para ocupar vuestro tiempo de ocio o por cuestiones
profesionales. Ahora, en ese escenario virtual, ponemos a un segundo “actor”,
un user con el que tuvisteis un roce o incluso alguien que sea
competencia vuestra. Os voy a demostrar como con una cuenta de correo “débil” pueden
buscaros muchos pero que muchos problemas. El usuario A es la “víctima” y el
B el “atacante”.

El
usuario B

lleva tiempo observando al A, le ha visto opinar muchas veces en el foro de
debates, sabe cuales son sus gustos personales, su equipo de fútbol
favorito, la comida que más le gusta o que canción es la que mejores recuerdos
le trae…

Un
día, tienen un enfrentamiento en ese foro, el usuario A, se enfrasca en una
discusión con el B que lleva a que el usuario B es expulsado del foro.

Al
día siguiente, ya con más frialdad, el usuario B se dedica a observar los
movimientos del A
, sabe cual es su página web, tiene varias cuentas de
correo públicas y una sobre todo muy especial, la de hotmail.

El
usuario A, cometió el error de poner en su perfil visible a todo el foro
su cuenta de correo, el usuario B vio
en ese detalle un posible eslabón de la cadena a romper. Se dio cuenta de que
con la cuenta de hotmail del usuario A en su poder le podía hacer mucho daño
y…así fue.

Se
dirigió a la página de hotmail y puso el nick del usuario A e ingresó una
contraseña incorrecta, acto seguido, fue a la opción de “olvidé mi
contraseña”
, apareció la lista de paises y escogió España, después, frente
a su pantalla apareció la “famosa” pregunta para responder y recuperar una
contraseña.

Fue
fácil, el usuario A no pensó aquél día en que registró la cuenta en esta
situación, la pregunta era esta “nombre de mi grupo musical preferido” ,
el usuario B, que previamente había registrado una nueva cuenta en el foro al
que accedía con una IP diferente (la suya propia había sido baneada así como su
nick), se dispuso a hacer unas búsquedas en el foro y…bingo!

El
tema era tan fácil como escribir “ U2 “ y darle al intro…

Una
vez “violentado” su password, el usuario B se dirigió al foro, su intención era
clara, escribía desde un ciber, en la pantalla de “login” del foro hizo clic en
“olvidé mi contraseña”, el foro le pidió escribir un nick y una cuenta de
e-mail para reenviarle una nueva…

En
pocos minutos, el usuario B se había apoderado de parte de la vida
electrónica
del A, accedió al foro escribiendo en su nombre mensajes
ofensivos, leyó (ojo con esto) los mensajes privados, mails que tenía almacenados en hotmail (sigue recopilando
información) se dispuso a “charlar” con el messenger con los contactos
del usuario A… (con lo que
recopiló más información confidencial) del usuario A , etc etc etc.

Y
todo por una mala pregunta = respuesta. (y mucho más)

Todo
esto se podía haber evitado fácilmente
, el concepto de seguridad comienza desde la base,
una simple cuenta de correo violentada puede comprometer vuestra intimidad
hasta límites insospechados, el “chantaje electrónico” es algo muy común, la
realidad supera a la ficción y si analizáis el caso, es relativamente sencillo
llevarlo a cabo.

¿Como ponérselo más difícil?
El e-mail

Este
es el primer medio en el que se rompe a veces la cadena de la privacidad
, por lo general debes tener
al menos dos cuentas, una que sea para temas mas o menos serios y la otra para
el día a día, suscripciones, registros en foros, mensajería instantánea o
similar. Si queréis, en la primera de las cuentas, la más “seria”, podéis usar
vuestro nombre real pero en la otra no lo hagáis nunca, si acaso el nombre pero
sin apellidos, nos os digo nada si vuestro apellido es poco común. En el caso
de que os ponga que es obligatorio el poner uno, escribir un punto o guión.

Os
vuelvo a recordar (se que soy un pesado XD) que la contraseña debe ser
consistente
, compuesta de letras, números o símbolos y que no debería
aparecer en un diccionario para prevenir ataques por fuerza bruta, un
ejemplo; [email protected]ña*
y NUNCA con datos personales (matrícula del coche, dni, teléfono
etc).

La
frecuencia de cambio
sin pediros un nivel de paranoia alto, podría ser de entre 15 días
o un mes
y nunca pongáis datos fáciles de adivinar en la famosa pregunta –
respuesta para recuperar una contraseña olvidada (en hotmail es el 90 % de
robos de cuentas mediante la “ingeniería social”)

En los foros.

No
pongáis nunca datos personales
, teléfono, dirección, cuentas de correo etc.
Recordad que no sabemos realmente quien es el que está al otro lado, nunca
presupongáis nada.

Si
veis enlaces que propone alguien nuevo y que por lo que sea no os den
muy buena espina, antes de pinchar contar hasta 3.

Borrar inmediatamente el mail
que envía el foro al registrarse
(lo hacen de forma automática) a
vuestro correo
. Si acceden a el lo tendrán mas difícil.

No pongáis vuestro e-mail
visible en el perfil de usuario
, el ataque que os he comentado
anteriormente sin una cuenta de mail para poner en el foro no se puede llevar a
cabo.

No guardéis información confidencial en vuestras
carpetas de mensajes privados
, es lo primero que irán a mirar. Vaciarlas
regularmente.

No uséis la opción “recordar mi contraseña”,
un atacante local puede entrar al foro y ver vuestros mensajes privados y
escribir en vuestro nombre.

Cambiar
la contraseña del foro con frecuencia, ese es un hábito que tenéis que
adquirir, son 2 minutos y estaréis más tranquilos

Ante
cualquier actuación extraña que veaís por parte de otro usuario, mensajes
privados
fuera de la temática del foro o no deseados, poneros en contacto con un moderador del
foro o el administrador.

Todo
esto se podría ampliar pero siguiendo las pautas que os sugiero podéis estar
“un poco más tranquilos”, si amigos, el paraíso digital no existe, al igual que
en la vida real no dejáis una puerta de casa abierta, aquí, unas buenas dosis
de paranoia impedirán que vuestra “vida electrónica” quede en manos de
cualquiera.

Un
saludo y espero que lo hayáis encontrado útil, si tenéis alguna duda plantearla
en los foros. Allí nos encontraréis.

Dabo.


¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Puedes seguir nuestras actualizaciones vía RSS, en Facebook y también desde Twitter.