19-10-2010 - Ocurrió de nuevo. Pero cada historia es diferente.
Esta vez una colega me vino a ver con ese tono de urgencia en la voz que conozco bien. Le habían robado la cuenta de Hotmail a una amiga común. "Ahí tiene un montón de información, pero eso no es lo peor. Mirá", me dijo, extendiendo el impreso de un mail delante de mis narices. Allí nuestra amiga le decía que estaba varada "en un lejano país" y que "necesitaba urgente dinero". Una maniobra tosca, porque ella jamás se expresaría en términos tan formales para pedirnos dinero, mucho menos intercalando palabras en inglés que el programa de traducción automática no había conseguido decodificar. Posiblemente nadie lo tomaría en serio. Pero era síntoma de que algo estaba muy mal.
No pasó mucho hasta que sonó el teléfono. Una de las partes más ridículas de toda la situación era que nuestra amiga en efecto estaba en un lejano país, aunque no en el que se mencionaba en ese falso pedido de ayuda financiera que un pirata estaba lanzando desde la cuenta ahora invadida, suplantando su identidad.
Por supuesto, se encontraba, con todo esto, en un estado muy parecido a la desesperación. Le dije:
?Me imagino que ya no podés acceder a esa cuenta.
?No me deja, no me reconoce la contraseña.
?Lógico, lo primero que hacen es cambiarla.
?¿Cómo recupero mi cuenta, Ariel?
?Eso no es importante ahora. De momento, da por sentado que es poco probable que la recuperes. La prioridad es que te calmes y pienses con frialdad en lo que todavía puede salvarse. ¿Usabas esa misma contraseña en otras cuentas?
?Sí.
Lo habría apostado, es un error común. E inevitable, hasta cierto punto. Hay tal cantidad de servicios que requieren username y password que tendemos a reciclar las claves.
?Vamos a cambiarlas ya.
La fui guiando por teléfono para que al poner una nueva contraseña en los sitios que compartían la clave comprometida los piratas no recibieran un aviso en la cuenta robada. Primero cambiábamos la dirección de correo asociada al servicio y luego la clave, no al revés. Le aconsejé pasar la próxima media hora editando las contraseñas de todos los servicios que involucraran su patrimonio, aunque no usaran la misma contraseña.
?Pero, ¿y toda la información que tenía ahí, la perdí?
?¿Habías hecho backup?
?No, ya sé. No, no tenía backup.
?Entonces todo depende de que Microsoft reconozca que esa cuenta ha sido robada.
Le pasé por mail a una nueva cuenta de correo la dirección de Microsoft para resetear la contraseña cuando uno la olvida o se la roban ( https://windowslivehelp.com/PasswordReset.aspx ). Como la única forma que tiene la empresa de determinar si somos víctimas o victimarios es haciéndonos preguntas, hay que pasar por un cuestionario y responder correctamente. Por ejemplo, la pregunta secreta que uno formula al crear la cuenta.
"Si la persona no recuerda la pregunta secreta o no la configuró, hay otras formas de recuperar su cuenta. Le vamos a hacer una serie de preguntas cuya respuesta sólo el verdadero dueño de la cuenta podría responder correctamente. Por ejemplo, carpetas creadas en el inbox , nombres de contactos, el nickname que usaba en Messenger , y así. Si responde bien se le reinicia la contraseña y se la mandamos a la nueva dirección de mail que nos haya dado. En todo momento, en esa etapa, hay gente de soporte en contacto con la persona. Y por obvias razones somos bastante exigentes en este sentido, no queremos darle acceso a alguien que no es el verdadero dueño de la cuenta", me dirá un día después Nicolás Steinman, gerente de producto de Windows Live para América latina de Microsoft, a quien consulté para esta columna.
Dicho sea de paso, Gmail también tiene su página para recuperar cuentas que han sido robadas. Está en http://mail.google.com/support/bin/answer.py?hlrm=es&answer=50270#ContactForm 3 preguntas
Desde luego, a nuestra amiga el reinicio de su contraseña iba a servirle para recuperar el acceso, pero eso no necesariamente garantizaba que encontraría los datos que tenía allí almacenados. Habría que cruzar los dedos y esperar que el pirata no hubiera robado nada o que no se hubiera tomado el trabajo de borrar todo por pura maldad.
Tres cuestiones obsesionan a las personas que sufren esta clase de asalto virtual: cómo le robaron la cuenta, qué tan peligrosa es la situación y cómo recuperar lo que tenía allí guardado.
Hay muchas formas en que los piratas pueden obtener la contraseña de nuestra cuenta de correo electrónico. Aunque se me ha calificado en varias oportunidades de paranoico por mis afirmaciones al respecto, tenemos un desastre de seguridad en Internet y es muy poco, casi nada, lo que se hace para educar al público. Así, los errores que las personas cometen son tan garrafales como invisibles. Observe. Keyloggers
Hay programas que registran lo que escribimos en el teclado, se llaman keyloggers y pueden ser parte de la carga maliciosa de gusanos y troyanos. El keylogger registra lo que escribimos (esto incluye números de tarjeta de crédito y contraseñas de toda clase), lo guarda en un documento de texto y lo envía a un pirata por correo electrónico. Por supuesto, no usa nuestra cuenta de e-mail. El truco es otro. Junto con el keylogger el gusano instala un servidor SMTP (por Simple Mail Transfer Protocol ), la misma clase de software que el proveedor de Internet usa para enviar nuestros correos, sólo que ahora nuestra propia computadora se ha convertido en servidor de mail, silenciosa y subrepticiamente. Es aquí donde un firewall (cortafuegos) podría ayudar, al advertirnos que un programa desconocido está intentando comunicarse con el exterior.
Sniffers
Otra forma de robar esta clase de datos es por medio de las redes inalámbricas abiertas, como las de los hotspots que encontramos en confiterías, hoteles y aeropuertos. Los paquetes de datos viajan en ese caso no por medio de cables, sino por el aire. De hecho, tan pronto empezamos a chatear y mandar mails estamos propalando todo a los cuatro vientos. Alcanza que un pirata con una notebook se ponga a capturar esos paquetes para saber lo que estamos diciendo. Sí, por supuesto, existe software para eso; se llaman sniffers aéreos.
No, no podrá capturar las contraseñas de inicio de sesión de Hotmail, Gmail o la banca electrónica, porque esa información va encriptada. Pero sí puede leer, por ejemplo, lo que chateamos (salvo que usemos Gtalk o un programa para cifrar los mensajes de Messenger ) y los mails que enviamos, excepto, de nuevo, que usemos Gmail, que usa el protocolo seguro todo el tiempo, no sólo durante el login . A propósito, me dice Steinman que ahora también Hotmail, desde su última actualización, usa https todo el tiempo.
Más tarde o más temprano cometemos el error de escribir algo que le da una idea al pirata de cuál podría ser su contraseña; en el peor de los casos, mandamos esta contraseña por mail o la ponemos en el chat, y adiós. No pocos hablan de más en las redes sociales y hacen públicas muy buenas pistas sobre cómo arman sus contraseñas.
El Wi-Fi público es una tentación demasiado grande y nadie nos ha dicho que existen numerosos peligros para la seguridad de nuestros datos en ese engañosamente impecable escenario de modernidad. Hasta que pasa algo.
Phishing
Esta estafa virtual adopta la forma de un mail que nos advierte que nuestra cuenta de correo, Facebook o Twitter podría estar comprometida; adjunta un link para verificar la situación. Creemos en la advertencia, creemos en el link, hacemos clic, vamos a un sitio que, en efecto, parece ser el de Facebook, Twitter o Hotmail. Pero son falsos. Son copias. Ingresamos nombre de usuario y contraseña, y antes de decir Ups ya nos los han robado. "Es el tipo de robo de contraseñas que más ha crecido en los últimos años -me dice Steinman-. Aunque en Hotmail detectamos y mandamos esos mensajes a la carpeta de correo no deseado , muchas personas revisan esa carpeta y le dan clic a los links apócrifos, cayendo en la trampa".
Adivina adivinador
Pero la forma de hurtar contraseña que he visto con mayor frecuencia es la simple adivinanza. Sí, como en las películas. La víctima usa como clave el nombre de su equipo de fútbol favorito, su fecha de nacimiento o la patente del auto. Hay personas que, literalmente, andan por la calle con su contraseña pegada en la parte de atrás del coche. Los hay que ponen abcd y listo, no hay peligro, ¡no seamos paranoicos!
Otros creen ser lo bastante creativos cuando inventan claves usando información personal; cambian el orden de los elementos, las revuelven un poco. Suponen que de este modo el pirata no la podrá conjeturar. Pero nueve de cada diez veces sí podrá. Son expertos en esto. Así que la solución no reside en una contraseña que contenga información personal más o menos embrollada, sino en una contraseña robusta y aleatoria. O, mi preferida, una clave basada en el lenguaje humano. En un lugar de La Mancha
Una buena contraseña está construida con al menos 8 caracteres que combinan al azar mayúsculas, minúsculas, números y símbolos. Por ejemplo, Ji7%_Xw$3 . Acá no hay adivinanza que valga. El pirata está desarmado frente a esta clase de claves.
El problema es que tampoco nosotros podemos recordarlas con facilidad, si acaso llegamos a retener uno de estos galimatías. Ahí es donde optamos por usar la misma clave en todas partes o directamente pasamos a las claves fáciles de adivinar.
Por fortuna, hay una solución mejor, al menos allí donde el servicio admite contraseñas extensas. Resulta que la fortaleza de las claves no sólo depende de la variedad de caracteres, sino también de su número.
Cuando usamos sólo ocho caracteres hay que aumentar la variedad y por eso echamos mano de símbolos, mayúsculas, minúsculas y números. ¿Pero qué ocurriría si usáramos 60 caracteres? Por ejemplo:
En un lugar de La Mancha, de cuyo nombre no quiero acordarme
Esta contraseña contiene mayúsculas, minúsculas, espacios en blanco y comas, y es muy fácil de recordar. Siempre y cuando no usemos una cita de nuestro libro favorito funciona a la perfección, no tanto por la variedad de caracteres, sino porque son 61, y eso es mucho. Además, los piratas y sus programas de fuerza bruta pueden hacer muchas cosas, pero no escribirán de nuevo el principio de El Quijote . Ni pueden probar con todas las frases de todos los libros que existen. O, para el caso, con todas las posibles frases de todos los idiomas humanos. Cualquiera sirve, sea de Cervantes, de Cortázar, de Shakespeare, de Baudelaire o de nuestra propia cosecha.
Doble riesgo
Y sí, el que alguien se apropie de nuestra cuenta de correo electrónico (o cualquier otra, para el caso) es peligroso y lo es en dos sentidos. Primero, puede estafar o dañar a personas queridas haciéndose pasar por nosotros. Segundo, puede usar esa cuenta para actividades ilegales, y después nos veremos en figurillas para demostrar que no fuimos nosotros. Hacer la denuncia correspondiente no es un disparate ni es exageración. Como mínimo, iniciar el trámite ante la empresa que provee el servicio para que quede asentada la situación.
Backup
Al revés de lo que ocurría con el correo electrónico de los proveedores de Internet (o ISP, por sus siglas en inglés), los mensajes de Hotmail y Gmail no están guardados en el disco duro de nuestra PC. Están en la nube, en servidores de Microsoft, Google y otros. Ese es el motivo por el que podemos verlos desde cualquier dispositivo, en cualquier momento, aunque estemos en otro hemisferio. Y es genial. Pero tiene un punto débil.
Si alguien nos roba la cuenta podrá llevarse lo que quiera de ella. El pirata robará o destruirá información, si le viene en gana. Ese es el segundo peor escenario: logramos recuperar el acceso, pero nos encontramos con mucho daño colateral. Por supuesto, la peor situación es que nunca recuperemos el acceso a la cuenta, con lo que habremos perdido todo ese almacén de datos.
La solución no es difícil ni costosa, pero tendemos a pasarla por alto. Hay que hacer backup de nuestro correo o, para ser más precisos, sincronizarlo con un cliente como Outlook Express, Windows Mail, Windows Live Mail o Thunderbird . El procedimiento es más o menos el mismo en cada caso y se parece mucho a configurar una cuenta POP3 convencional. El único recaudo que debemos tener, si queremos seguir viendo nuestros correos desde cualquier dispositivo, es configurar el programa de mail para que deje copia de los mensajes en el servidor. En este contexto, el servidor es Hotmail, Gmail y así. De nuevo en casa
La aventura concluyó bien. Antes de regresar de ese lejano país, al cierre de esta edición, nuestra amiga envió un mensaje donde decía que había recuperado el acceso a su cuenta de Hotmail, luego de atravesar el inevitable interrogatorio. Estaba feliz. Yo también, claro, pero me tomé cinco minutos para aconsejarle que usara contraseñas robustas, que sincronizara con una computadora de escritorio cuanto antes y le dije que, cuando regresara a Buenos Aires, investigaríamos cómo un pirata había obtenido su contraseña. Porque si ese misterio quedaba sin resolver, era altamente probable que volviese a ocurrir.
Por Ariel Torres - lanacion.com