Seguridad Digital: cuentas de correo y passwords

ArcticWolf · 07-18-2008, 04:48 AM

Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema.

Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social.

El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado.

La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante!

NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router.

Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada.

¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida!

Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara

). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera?

No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor.

No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2]

Por último, creo que sólo queda tratar la ingeniería social:

Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos.

Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos.

Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!!

RESUMEN PARA LOS VAGOS:

Ver si la página donde meten datos importantes tiene cifrado (https). Esto va en especial para los mails!
Especial cuidado con los programas que instales y que te pasen. Ojo con los "hacks" para Regnum o todo programa que pida clave.
NO LE DES LA CLAVE A NADIE! En este mundo hay muchos "amigos" que te van a pegar tremendo cuchillazo en la espalda cuando te des vuelta. Si prestás la cuenta, cambiale la clave cuando te la devuelvan.
Cambiar la clave periódicamente.
Elegir una clave larga y con caracteres variados. Mientras más letras y números mezclados tenga, mejor!
No le des la clave a nadie.
No uses la misma clave para todo [2]

[1] Es cracker, no hacker... A no confundirlos!

ADENDA:
[2] Agradecimientos a Ramona!!!

07-18-2008, 04:48 AM	#1
ArcticWolf Duke Join Date: Nov 2006 Location: 0x00CAFE Posts: 3,366	Seguridad Digital: cuentas de correo y passwords Si bien llevamos un tiempo desde la última oleada de "robo" de cuentas (hurto, en el sentido técnico), considero apropiado actualizar este tema. Existen varios tipos de técnicas para lograr como objetivo la intervención, captura y análisis de datos que generalmente viajan por red. Entre ellas se cuentan las de sniffing, captura de keystrokes e ingeniería social. El sniffing es la "captura" de paquetes en la red en la que te encuentres. Esto generalmente no es peligroso, más en un juego, ya que la información que se maneja es administrada por los propios programas. En este caso, el punto especial es en los navegadores web. Para que la información viaje segura cuando te conectás depende del cifrado. La mayoría muestra la barra de direcciones de color crema y un candado en uno de los laterales cuando esta función está soportada por el cliente. Aparte, debería usar el protocolo "https" y no el "http". ¿Qué importancia puede tener esto? Bueno, gran cantidad de cuentas son hurtadas mediante un mail que simula ser de la compañía de correo electrónico en el que argumentan "haber perdido tus datos" y "requieren confirmarlos". Si no ven el candado o el https, no introduzcan información importante! NOTA: Para los usuarios de la RegnumFEST: NO introduzcan las claves que usan en el regnum, ya que son sólo para que no les modifiquen el perfil de usuarios en el sitio. Si no introducen nada, se genera una clave al azar. Lamentablemente, no tengo el https disponible por el router. Otra de las técnicas más viejas es utilizar un programa que capture las pulsaciones del teclado (y mouse, tal vez) y las guarde en un archivo que es enviado al cracker[1] a la brevedad. Detecta todo, desde el "enter" hasta la tecla de borrar, por lo que si tu clave fue introducida en una máquina compartida puede verse afectada. ¿De dónde me pude pescar uno de estos programas? Está el famoso "hack del oro", que no es más que una aplicación precaria (pero efectiva) para ello. Sin embargo, podrías tener un troyano que haga el mismo trabajo más silenciosamente. A menudo se los "contagian" por MSN, así que cuidado con lo que abras y lo que te pida! Vamos por la siguiente causa de "robo": el prestar la cuenta. La gente no es buena, nadie en la vida está totalmente limpio. No le presten la cuenta A NADIE, y menos a aquellos que confían y no conocen en la vida real (como para arreglarlo cara a cara ). La clave es como la llave de tu casa, ¿me van a dar una copia, o a cualquiera? No es lo único, ya que también está el que sigue todos estos consejos y aún así tiene problemas. ¿Qué pasó, si no prestaste tu clave? Fuiste vulnerable bajo lo que es un "ataque de diccionario", o dicho en cristiano, te adivinaron la clave. Para eso se recomienda cambiar de clave cada mes y usar una combinación de caracteres. Mientras más larga y variada sea la frase, mejor. No usen la misma clave para todo!!!! Es un riesgo, ya que si la obtienen también ganan acceso a TODAS tus otras cuentas y servicios!!! No uses la clave del banco, la de la alarma de tu casa o fechas. JAMÁS!!! [2] Por último, creo que sólo queda tratar la ingeniería social: Es constante ver que los usuarios depositan su confianza en los más cercanos. Este vínculo genera una brecha que ningún firewall ni anti-spyware puede crear: el poseedor de la cuenta entrega los datos voluntariamente. No hay software que te salve de esta... ¿Entonces qué hago? Cuidarte de todos. Es lamentable que sea así, pero detrás de todas estas técnicas hay un "marco" de trabajo que se basa en la persona en sí. ¿Es un niño? ¿Qué tan inocente es? ¿Cuánto confía en mí? Entonces, por más que te pidan la clave, sea para lo que sea, podría ser alguien esperando a aprovecharse de vos. Sin embargo, hay un remedio mágico para la Ingeniería Social si seguiste mis consejos (en realidad, los de muchos) hasta ahora: NO LE DES LA CLAVE A NADIE, NUNCA, NEVER, JAMÁS!!!!!!!!! RESUMEN PARA LOS VAGOS: Ver si la página donde meten datos importantes tiene cifrado (https). Esto va en especial para los mails! Especial cuidado con los programas que instales y que te pasen. Ojo con los "hacks" para Regnum o todo programa que pida clave. NO LE DES LA CLAVE A NADIE! En este mundo hay muchos "amigos" que te van a pegar tremendo cuchillazo en la espalda cuando te des vuelta. Si prestás la cuenta, cambiale la clave cuando te la devuelvan. Cambiar la clave periódicamente. Elegir una clave larga y con caracteres variados. Mientras más letras y números mezclados tenga, mejor! No le des la clave a nadie. No uses la misma clave para todo [2] [1] Es cracker, no hacker... A no confundirlos! ADENDA: [2] Agradecimientos a Ramona!!! __________________ I don't have a solution, but I admire the problem. Last edited by ArcticWolf; 07-18-2008 at 05:38 AM.