Cómo saber si alguien tiene tu password (y/o prevenirlo)

Ayer una lectora nos preguntaba cómo notar si alguien ha instalado sin nuestro consentimiento una aplicación de control remoto que publicamos. A propósito, la fanpage de este diario es esta http://www.facebook.com/hackersmdz sumate, si tenés ganas, no buscamos fans sino comunicarnos . Prometemos una nota sobre cómo es el proceso para instalar remotamente aplicaciones en teléfonos de otras personas -sin permiso- para que estés prevenida, pero hoy vamos a algo más complicado: cómo saber si alguien tiene tu password.

Los motivos pueden ser verdaderamente muchos, por lo que aquí usaremos motivos generales, pero no significa que sean los únicos. Si es la primera vez que lees este diario, tal vez no sepas qué es la Ingeniería Social, te recomendamos dar una buscadita en el sitio, vas encontrar varias notas, pero es técnica de hacking que se basa en las humanas y no en los sistemas. Esto se debe a que hay muchos sistemas que son increíblemente seguros, y a que es más simple y rápido hackear a una persona que a un sistema, aunque en ambos casos es divertido (hackear no es hacerle daño a nadie, a no confundir hackers con crackers, las segundos son las malas, no nosotras). A lo que voy es que las brechas de seguridad son siempre posibles y siempre inevitables, simplemente porque no existe lo perfecto.

Hackear no es hacerle daño a nadie, a no confundir hackers con crackers.

Pero hay ciertas prácticas que están demasiado lejos de ser casi perfectas, y crean una puerta por la que puede entrar cualquiera sin que lo notemos, porque producto de nuestras malas prácticas, no prestamos atención. Una de las fuentes de infiltración más difundidas han sido las redes antisociales (todas) y sitios similares que te piden la contraseña de tu correo electrónico para que invites a tus amigas. LinkedIn, Last.fm, Yahoo, Gmail, Facebook, Twitter, Adobe, distintos servicios online nos piden estas contraseñas, y resulta que es muy simple que estas se filtren. Basta con que uno de los sistemas tenga una vulnerabilidad o una administradora codiciosa que decida venderlas. Cada vez que cae uno de estos sitios, TODA nuestra información es vendida.

post6

Las cuentas ascienden a millones y cada una cuesta alrededor de u$s2 en el mercado negro de la información, por lo que es un trabajo muy redituable. Lo bueno es que podemos protegernos a nosotras mismas previniendo y NO teniendo ciertos comportamientos promiscuos.

¿Por qué son peligrosas estas filtraciones?

Una gran cantidad de personas utiliza una única contraseña para todos sus servicios (sí, homebanking también), por lo que basta con obtener una de sus contraseñas para poder ingresar en todos los servicios que tengan, y con la cantidad de información que pone hoy la gente en la nube, probablemente con una contraseña de Facebook uno obtenga hasta la clave fiscal (de AFIP) de una persona. Si una quiere generar daño, por ejemplo, le registra a esta persona desprevenida todas las empleadas que pueda, cando caiga la multa y apremio de AFIP deberá demostrar que no fue ella quien tenía personas a cargo. Y eso llevará algunos años, por lo que deberá pagar, siguiendo el Solve et repete (“pague y después quéjese”, en latín) un principio jurídico. También puedo obtener tu celular y suscribirte desde Internet a una serie importante de servicios, o en caso de que descubra a qué empresa de telefonía pertenece tu teléfono, utilizarlo para pagar cosas en ebay, o lo que yo quiera.

Como verás, las posibilidades de daño son ENORMES, sólo con tener un password filtrado. Hace no mucho tiempo cayeron alrededor de 11.000 cuentas de un juego online (donde la gente registra además su tarjeta de crédito, como pasa con los juegos de Facebook), sin utilizar ninguna técnica especial. Sólo consiguieron un listado de contraseñas filtradas (que abundan en Internet) y las fueron cruzando con distintos servicios.

Cómo protegerte

Para protegerte contra futuros ataques, asegurate de usar diferentes passwords en cada sitio y sobre todo de que sean passwords fuertes, para que no puedan ser obtenidos mediante fuerza bruta (también te recomiendo usar el buscador del sito en caso de que no sepas de qué se trata). De otra forma, el hecho de que caiga sólo una de las webs en las que usás la contraseña haría que todas tus cuentas estén expuestas.

Recordar muchas contraseñas, y que además sean seguras, es una cuestión que puede ser difícil y por esto existen distintos mánager para passwords como LastPass, KWallet, Keyrings -entre varios- que aunque también centralizan nuestra información, la mantienen segura, y al no alojarlas en Internet, estás mucho menos expuesta, ya que para entrar en tu máquina alguien tiene que estar interesada en hacerlo. Es mucho menos tentador que millones de passwords metidos en un mismo servidor.

Cómo saber si alguien tiene tu password

Como te decía más arriba, en Internet existen muchísimos listados de cuentas y contraseñas filtradas. Más allá de su valor comercial, sirven para hacer spam, contratar servicios, enviar amenazas y cuestiones similares. Así como existen estos listados, también existen distintos servicios que se dedican a buscarlos, procesarlos y permitirnos buscar en su base de datos si nuestra cuenta de correo electrónico figura en alguna de las bases de datos. LastPass, por ejemplo, usa PwnedList, no sólo para almacenar tus contraseñas, sino para chequear automáticamente si tu contraseña ha sido filtrada. PwnedList es un sitio que también te permite chequear online y manualmente si tu cuenta aparece en listados de contraseñas filtradas.

Si usás Window$, te recomiendo formatear e instalar un GNU/Linux para estar más a salvo de troyanos, keyloggers y demás software espía. Cualquiera sea el caso, cambiá todas tus contraseñas, si usás una para todas tus cuentas, es un gran momento para poner una para cada una y así reducir tu margen de error, aumentando el de los demás.

Tu cuenta de correo electrónico puede ser el centro de toda tu seguridad online, tenelo siempre en cuenta.

¡Happy Hacking!

image/svg+xmlTribuna Hacker existe gracias a

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *