Desde el 4 de Octubre ha estado en auge la aparición en internet de listas de nombres de usuario y contraseñas de diferentes servicios de correo electrónico, entre ellos, aunque parezca increíble, Windows Live Hotmail, Gmail y Yahoo! Aunque muchas de esas cuentas eran viejas o falsas, de acuerdo con "
The Register", muchas resultaron ser genuinas y fueron obtenidas por medio de un ataque de "phishing", una técnica que consiste en "clonar" la indentidad de sitios web conocidos y hacerse pasar por ellos para pedir datos al usuario, que luego van a parar a la base de datos de uno o un grupo de hackers.
El 6 de Octubre ya Gmail y Yahoo! habían dado cuenta de que era cierto esto y habían tomado medidas, el día anterior había hecho lo mismo Microsoft. Conversando con un par de conocidos, me dijeron que no era posible, que no podían volver a confiar en esos servicios viendo como pasaban las cosas y que yo les mentí al decirles que es "técnicamente improbable" que alguien pueda intentar hackear sus cuentas. Pero no... ¡No mentí..!
¿Cómo que no?
Dije "técnicamente improbable" con esto quise decir que usando técnicas
profesionales o más bien específicas del hacking, el robo de cuentas no es posible, pero aún queda un gran fallo pendiente... Uno con el que hasta el mejor ingeniero de sistemas queda totalmente expuesto..: ¡El usuario! Un ataque de phishing no es un ataque "técnico", es más bien, un retorcido modus operandi, una "trampita" que usa el hacker para hacer un ataque de ingeniería social: O sea, para atacar al usuario y no al sistema. Fue esta la parte en la que me enojé y les dije: "¡son ustedes los culpables!" Ya lo diría aquel sabio pensador "La mayor vulnerabilidad del más infalible sistema siempre será, su usuario final".
¿Por qué me culpas a mí?
Siendo un ataque socialmente orientado, quiere decir que el atacado fue un usuario y si el usuario no está alerta ante lo que hace o dice por la red, será fácilmente manipulado. Así que ahora viene mi consejo y quizás, llamado de atención:
-Tus datos personales son TUYOS. Y aunque suene muy inocente, como diría mi querida Claudia: Debes tener mucho cuidado ante cualquier desconocido que te diga "dame tu MSN". Quizás te parezca tonto, pero no lo es. Mientras menos terceros tengan acceso a tu cuenta de correo electrónico personal, menor será la posibilidad de que se te envíe un ataque de este tipo; piénsalo, tu le das tu dirección a una tipa en un chat, resulta que "la tipa" es un hacker sin oficio que te manda un ataque phishing", cometiste el error número dos (abajo) y ¡juaz! Te robaron.
-
Ningún proveedor de servicios, NINGUNO, solicitará en ningún momento
les recuerdes tus datos de inicio de sesión. NUNCA los des, mucho menos cuando es hotmail/gmail/yahoo quien te los pide. ¿Qué no ves que es un engaño? Si ya iniciaste sesión correctamente en el servicio quiere decir que tu contraseña
era la correcta, ¿para qué volvertela a pedir? Además, ellos son
los dueños del servicio. No necesitan pedirte la contraseña, ni saberla. Ellos pueden dartela, quitartela, cambiartela o bloqueartela cuando se les antoje porque es
su servicio.
Vamos a aprender a cuidar nuestros datos. Algo tan sencillo como una dirección de correo electrónico a veces hospeda inclusive nuestras claves de nuestra banca en línea favorita. No dejes que una voluptuosa rubia o la oferta de zapatos de tacón alto de por vida terminen dejándote en el más vergonzoso y a veces hasta peligroso caso de identidad robada.
TUS DATOS SON TUYOS! Y no deberías publicarlos.
Colgado via email por Lexihel en Posterous
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=1e1e26d5-ce66-4809-a579-e06c1022b0ec)
