El culo de Scarlett y el eslabón más débil (I y II)
14–10–2011 / Gracias al cuerpo desnudo de Scarlett Johansson frente al espejo, la prensa ha descubierto una nueva etiqueta muy «resultona» que explotar: hackerazzi. Hackers cuyas víctimas son famosos. Sin embargo, lo importante no ha sido descubrir los hábitos frente al espejo de Scarlett sino cómo las fotografías salieron de su móvil hacia Internet para gozo de muchos. A través del eslabón más débil.
La historia repetida
A finales de febrero de 2005, se publicó el contenido del teléfono móvil de Paris Hilton.
En un principio se baraja la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL.
Al final se hace público que el método empleado es mucho más sencillo, bastaba con contestar a la pregunta ? ¿cuál es el nombre de su mascota favorita??.
El teléfono de Paris por entonces, un Sidekick II de T-Mobile, permitía mantener una copia de los contenidos en un servidor de Internet, accesible a través de la web. T-Mobile utilizaba el método de preguntas secretas para permitir el acceso a quien olvidara contraseñas.
El nombre de su perro chihuahua era bien conocido a raíz de que la famosa heredera ofreciera en el pasado una recompensa de varios miles de dólares tras extraviarlo.
El resultado es que hoy todavía se puede descargar todo el contenido del móvil de Paris Hilton. En él, se encontraban los teléfonos personales de otras famosas además de fotos personales (subidas de tono) realizadas con el móvil.
En 2008, un atacante accedió al correo personal de Sarah Palin, la candidata a vicepresidenta en Estados Unidos con el republicano John McCain. Se dio a conocer su email personal, alojado en Yahoo! y usado además para cuestiones gubernamentales.
A un tal «Rubico» le costó apenas una hora cambiar la contraseña del correo de Sarah. Se hicieron públicas conversaciones y fotografías personales. El método es calificado por las agencias de noticias como «un magistral ataque cirbenético».
La verdad es que simplemente se usó el servicio de recuperación de contraseña, la Wikipedia y Google para acertar la pregunta secreta y poder acceder a los emails.
El eslabón más débil
En 2011 vuelve a ocurrir. Christopher Chaney de Florida, utiliza las redes sociales para recabar información y finalmente consigue hacerse con la contraseña del correo de Scarlett. A partir de ahí, se hace con nuevos datos no solo de Johansson sino de otras famosas, hasta que llega a la información contenida en su teléfono móvil.
La conclusión es clara. El eslabón más débil de la mayoría de los servicios de seguridad es el correo, un servicio esencial que nos acompaña desde los inicios de Internet, pero que no se ha cuidado lo suficiente.
Si se utiliza un cliente de correo, tanto POP3 (para gestionar) como SMTP (para enviar y recibir) son protocolos inseguros por definición y los más usados.
Si se utiliza un correo web, hasta hace no mucho era habitual que ni siquiera se empleara SSL para acceder a las páginas.
Si tenemos en cuenta que casi todos los servicios que usamos hoy en día están asociados a un correo y que, controlándolo, se puede recuperar la contraseña de la mayoría de ellos, parece que no se le da la importancia que requiere.
El email personal actúa como llave maestra de buena parte de nuestra vida en la Red. ¿Cómo se está protegiendo?
Medidas fracasadas
Se han puesto todo tipo de cataplasmas sobre el correo para hacerlo seguro, pero no muchas han tenido éxito. Todavía hoy me resulta complicado encontrar usuarios que firmen o cifren sus correos o que entiendan por qué lo hago.
Existen numerosos servicios que intentan autenticar al remitente, pero no son ampliamente usados. Google, pionero como siempre, comienza a introducir el móvil como segundo factor para autenticar y validar al usuario de Gmail. Este es el camino.
Y es que no importa que en las redes sociales, servicios en la nube o páginas de socios se usen contraseñas fuertes: al final, todo acaba en que se puede recuperar el acceso perdido a través de su correo asociado.
Todos tienden a utilizarlo como el identificador más importante. Para colmo, no es habitual ni cómodo manejar varias cuentas de correo (que sería útil para segmentar el daño en caso de compromiso).
Es lógico pensar entonces que es esta cuenta la que hay que proteger con toda la intensidad que se merece y desplegando un arsenal de herramientas que, hoy en día, sólo se aplica a la banca online.
¿Por qué no?
Por qué no entonces, proteger el acceso al correo web a través de un teclado virtual para sortear los keyloggers básicos.
Por qué no usar sistemas OTP, certificados… Y sobre todo, por qué no eliminar la posibilidad de «recordar tu contraseña» que tantos problemas ha demostrado.
¿Alguien utiliza un banco online que le permita recuperar su contraseña o tarjeta de coordenadas enviándolas automáticamente a un correo o respondiendo a preguntas secretas, sin más comprobaciones?
Seguro que existen (y habrá que evitarlos), pero no son mayoría.
Quizás en otros servicios online la recuperación tenga sentido, pero si todos dependen del correo, este no puede basarse en una pregunta o un dato personal para poder tener acceso a él.
Echa por tierra todas las medidas de seguridad no solo de ese email, sino de sus servicios asociados.
Si no hay más remedio que usarlo, la respuesta a la pregunta secreta debería considerarse como una cadena aleatoria o frase de paso incluso más compleja que la principal. Para recordar ambas contraseñas, se pueden usar gestores gratuitos.
Un usuario debe aprender a gestionar su contraseña de correo de forma responsable y si la pierde, el correo debería perderse con él, o iniciar un trámite mucho más complejo para recuperarla.
Los grandes gestores de correo web gratuito como Gmail y Hotmail deberían empezar a cuidar el acceso a su servicio como ya lleva tiempo haciéndolo la banca online.
Si nos importa nuestro dinero, también debería importarnos nuestra privacidad. Y es que hoy en día con el auge de las redes sociales (y su uso indiscriminado), el correo asociado a esas cuentas no es solo un correo, es la llave a media vida online.
Soy donde no pienso 
Deja tu respuesta