Leo en este
post de 2+2 que al conocido jugador profesional sueco Mats
Rahm le han sustraido 65.000$ de su cuenta de Party
Poker. La noticia
apareció en un portal
sueco sobre póquer online y, parece ser que la
razón principal por la que le pudieron robar este dinero fue
por algo que el usuario habitual acostumba a hacer. Por una parte,
utilizar una cuenta de correo de Hotmail y por otra, utilizar la misma
constraseña en tu cuenta de correo que en Party Poker,
normalmente debido a que usamos la misma contraseña para
todas nuestras cuentas.
El problema viene por el dudoso sistema de seguridad que emplea Hotmail, entre otras compañías, de utilizar una pregunta secreta como paso previo a recuperar tu contraseña. Normalmente, las preguntas son tan simples como tu lugar de nacimiento, el nombre de tu perro, o el nombre de tu madre, todos ellos datos publicos y fácilmente averiguables, más aún si eres un personaje conocido.
De esta forma, éstos crackers, que no hackers, son capaces de recuperar tu contraseña de Hotmail de forma más que sencilla. Si además les damos la facilidad añadida de que esa sea nuestra contraseña 'maestra', les estamos dando acceso automático acceso a todos las páginas en las que estemos registrados.
Otro método muy utilizado últimamente para recuperar tu contraseña es el denomiado phising, cuya descripción podemos extraer de la propia Wikipedia.
Phishing es el acto que consiste en recomendar la visita a una página web falsa, haciendo creer al visitante que se encuentra en la página original o copiada. La vía de difusión más habitual de esta técnica es el correo electrónico, aunque últimamente se han detectado vías alternativas como el teléfono o el fax. Normalmente se utiliza con fines delictivos, duplicando páginas web de entidades financieras de renombre. Una vez en las páginas falsas, se pide al visitante que introduzca datos personales (claves de acceso, etc.) que posteriormente son usados por los creadores de la estafa. Las entidades recomiendan que no se revelen nunca las claves personales aunque sean pedidas en nombre de tales entidades.
Es decir, estos crackers, te envían un mail con una advertencia de Hotmail, del estilo 'debes ir a esta página para confirmar tus datos o tu cuenta será dada de baja blah blah blah'. La página falsa simula en todos los aspectos a la de la empresa objetivo del ataque, en este caso Hotmail, y muchos incautos acaban por proporiconar sus datos.
¿Qué podéis hacer para prevenir que os suceda algo así?
Afortunadamente es bastante sencillo protegerse de estos ataques, pero implica que utilizamos algo bastante desvirtuado en el mundo real como es el sentido común.
- Lo principal, y más básico, es evitar en lo posible tener una contraseña maestra. Es conveniente que para cada servicio importante utilicéis una contraseña distinta.
- En segundo lugar, deberemos evitar en lo posible utilizar la pregunta secreta como medio de recuperar una contraseña. Si os es imposible evitarlo, os recomiendo memorizar una contraseña maestra adicional que os servirá únicamente para responder a todas estas preguntas secretas.
- Por último, para evitar el phising, jamás confirmar vuestros datos personales más sensibles (contraseñas, datos bancarios, tarjetas de crédito...) a través de la web. Ninguna empresa seria os pedirá jamás este tipo de datos a través de este medio.
En fin, lo que quería que fuese tan sólo un comentario sobre una noticia, ha acabado siendo un pequeño artículo dedicado a la seguridad en vuestras cuentas. Recordad, sentido común, sentido común...
Esta anotación fue publicada en Póquer Red el Jueves 6 de Octubre de 2005 por Simón . Fue archivada en la(s) categoría(s) de Artículos, Seguridad informática. Si te ha interesado te animamos a suscribirte a todas las novedades de la web bien por rss o por correo electrónico.
Enlace patrocinado: ¡Date de alta ahora en Full Tilt Poker y conseguirás 600$ de bono!
Hola, buena información... y por fín un tema en el que puedo opinar con cierto conocimiento de causa :-)Precisamente estoy preparando un pequeño documento sobre seguridad básica para principiantes, en cuanto lo tenga lo pongo aquí por si fuera de utilidad. Mientras un par de cosas:Aparte de que la pregunta secreta (que yo aconsejo no usar o inventarse una dificil, de ser posible; o contestar absurdamente) sea un dato "público", hay otra forma de que te la adivinen... que se la digas tú. Esto se llama ingeniería social. Sé de gente que tras chatear con alguien perdieron su cuenta de Hotmail y después recordaron que les habían preguntado por su mascota... que precisamente era la pregunta "secreta".Sobre las contraseñas, deberían:Ser distintas en todos los sitios que utilicemos. ¿¡Y cómo recordarlas, majete!? Pues os las apuntais pero, ¿si nos roban esa "agenda"? Un momento, hablo de seguridad en la red. Si teneis peligro de que os roben en casa preguntad a un policia :-PUna buena contraseña mezcla letras y números, tiene la longitud máxima que permita el sitio y NO forma una palabra, y menos una fecha, nombre de persona o población.Cambiad las contraseñas de vez en cuando, sobre todo en sitios sensibles; es un poquito molesto pero se gana mucha seguridadSi os envian una contraseña por correo electrónico, guardarla en sitio seguro y ELIMINAD el mensaje. (Un archivo en una carpeta puede NO ser un sitio seguro)Guardaros de los programas espia, los hay que copian las pulsaciones del teclado, o envian información que puede ser sensible hacia fuera. Antivirus, antiespias, cortafuegos son programas "obligatorios" para todos... más si vamos a trabajar o manejar dinero en internet.¡¡Menudo rollo he soltado!! ¡Figuraos cuando tenga el "pequeño documento"! Lo dejo ya.Tened cuidado ahí dentro
Muy buenas puntualizaciones Andrew. Veo que tenemos aficiones comunes ;).
Un saludo!
Gracias, es afición y profesión :-)Aprovecho esta respuesta para comentar algo que se me pasó y que seguro sería muy útil para muchos de nosostros. Una mágnifica manera de proteger nuestas tarjetas de crédito es no usar las "normales", sino una prepago.En estas tarjetas no hay una cuenta asociada, por lo que lo único que podrían robar es la cantidad que hubieramos metido (y con poner lo necesario para cada ingreso basta). Sólo conozco la de La Caixa, pero me figuro que habrá más.Saludos
sabes en eso de las claves he escuchado de programas que te piden datos personales y de otras cosas absurdas. y esos programas te dan claves para lo que necesitas y con eso te evitas el problema de tener la misma clave para muchas cosas
Enviar un comentario nuevo