Robert Graham, CEO de la compañía Errata Security, fue el protagonista de uno de los momentos más interesantes en el evento Black Hat.

Lo que Graham logró es algo que los proveedores de mail basados en web como Gmail, Hotmail o Yahoo! niegan permanentemente pero muchos saben que es real: la posibilidad de hackear una cuenta mediante la obtención de las cookies de una sesión.

Y eso es lo que ha hecho Graham, pero para hacer la cosa más interesante lo ha hecho en vivo y con cámaras que filmaban y mostraban en pantalla gigante su proceder. Para obtener las cookies utilizó una herramienta de su propio desarrollo, que el denominó Hamster, y procedió a hackear una cuenta especialmente abierta por uno de los concurrentes al evento.

George Ou, un especialista de ZDNet, abrió la cuenta getmehacked@gmail.com y envió un email a varios concurrentes. Luego Graham, mediante su aplicación comenzó a rastrear cookies enviadas y recibidas a través de la red wireless provista por el evento.

Al obtener la correspondiente al usuario y su cuenta de Gmail recién abierta, procedió a ingresar, y a mostrar a la atónita concurrencia el email recién enviado. Dado que varios de los asistentes habían recibido el email pocos segundos antes de parte de Ou, pudieron testificar la veracidad de lo ocurrido, que igualmente era mostrado a pantalla gigante.

Y por si hackear una cuenta de correo no fuera lo suficientemente emocionante, Graham procedió a enviar un email utilizando la cuenta hackeada. El email, con título "I like sheep" (me gustan las ovejas) fue enviado a varios de los presentes, que a los pocos segundos se sorprendían al recibirlo.

Lo que más asusta de todo esto es que Graham afirma haber podido seguir ingresando a las cuentas hackeadas durante varios días. Claro que en su caso, para evitar problemas con la ley, Graham se dedicó a hackear cuentas de conocidos, con fines puramente "experimentales"

Lógicamente, las grandes compañías aseguran que no es posible ingresar a una cuenta de email mediante las cookies, algo que de confirmarse generaría terribles miedos de parte de los usuarios, que no siempre pueden eliminarlas al utilizar un ordenador de uso público. Y muchos podrán argumentar que mediante el uso de SSL (Segure Sockets Layer o capa de conexiones seguras) se eliminan los riesgos.

Pero lo cierto es que la gran mayoría de los usuarios no están al tanto de las formas de utilizar esas conexiones con sus ordenadores, e ingresan en redes wi-fi de manera desprotegida. Graham seguramente lanzará Hamster en pocos días, por lo que no deberías sorprenderte si de pronto nos enteramos de hackeos en masa de cuentas de Gmail.

Hamster, analizando el tráfico de la red wireless	Hamster: para ingresar en una cuenta solo hay que pinchar en la dirección IP encontrada