En el calor que desata la interacción de tres mil millones de usuario de internet, lo sucedido con Sony Playstation Network nos dejó temblando. Las políticas de seguridad de Facebook nos dan escalofríos y las posibilidades que hay de que nuestra información sensible quede expuesta en el próximo ataque nos hielan la sangre. Pero salvando estas catástrofes informáticas no tan usuales, todos los días hay algunos técnicas y recursos que están disponibles para robarnos nuestra identidad e información en redes sociales, correos y hasta bancas electrónicas. Por eso decidimos darles un repaso y revisar los 10 métodos para hackear cuentas de usuario más utilizados y dar algunas pistas sobre cómo evitarlos. A grandes escalas, el hacking de sombrero negro tiene técnicas de intromisión a sistemas y robo de información que debido a la complejidad de sus hazañas dejan en los anales de la historia de la informática a sus perpetradores, pero a nivel básico también puede hacerse mucho daño, y si hay algo que a cualquier usuario promedio nos puede dañar y mucho es la pérdida del acceso a nuestros servicios favoritos o necesarios debido al robo, suplantación o secuestro de nuestras cuentas. Incluyendo contraseñas, nombres de usuario, correo electrónico y lo que se nos ocurra que pueda ser valorable para nuestra privacidad y seguridad está en constante riesgo, y por eso te refrescamos el temor sin entrar en la paranoia de cuáles son los 10 métodos para hackear cuentas de usuario. A continuación te dejamos algunos conceptos junto al resumen de su acción y algunos consejos sobre cómo evitarlos o reducir sus consecuencias.
10 métodos para hackear cuentas de usuario
Keyloggers
El keylogging se basa en un pequeño programa o dispositivo de hardware que graba todo aquello que se tipea en el ordenador y solo requiere de una instalación simple que puede hacerse incluso remotamente si las circunstancias lo permiten. Este sistema es efectivo aunque bastante trabajoso a la hora de recopilar la información rescatada, pero en lo que hace a redes sociales y direcciones de correo electrónico, sesiones de cuentas bancarias, etc. una simple búsqueda con términos “@ + .” podría devolverte los correos introducidos y, en general, la contraseña como la siguiente palabra después de estos. Cómo evitarlo: Revisa tu bandeja de sistema y el Administrador de tareas en la pestaña Procesos o Servicios. Si ves algo sospechoso, prueba con una búsqueda web sobre el proceso en cuestión para informarte de qué se trata. Otra cosa que puedes hacer es buscar aplicaciones como esta, que generan un teclado virtual que puedes “tipear” con el ratón sin dejar nada grabado.
Hackeo mediante teléfonos
Con la llegada de las billeteras virtuales a los smartphones millones saltaron de la alegría. Dentro de ellos están también los que roban teléfonos, los que desde los servicios técnicos se quedan con tu información y los que utilizan sistemas espías para móviles como Mobile Spy o Spy Phone Gold, entre otros. Este tipo de software de terror para la privacidad (y para el mantenimiento de las tasas de parejas estables) puede, como si fuera un keylogger, grabar toda la información que se escribe en un móvil, incluida tu contraseña de Facebook, correo, etc. Cómo evitarlo: En caso de robo o envío a servicio técnico, cambiar inmediatamente todas las contraseñas de tus servicios. Y para evitar aplicaciones espías, fijarse si las tienes instaladas con regularidad y evitar que tu móvil caiga en manos ajenas mientras no le prestas atención. Consejo extra: Evita novias/os celosas.
Phishing
El phishing es tal vez la técnica de robo de identidad virtual más popular que existe en la red dada su efectividad, pero gran parte de este honor viene en base su creación y procedimiento, que puede que sean de los más fáciles y económicos de llevar a cabo. Lo que en general sucede es que el perpetrador crea una falsa aplicación, mensaje, correo o cualquier medio que tenga el objetivo de llevar al usuario a iniciar sesión en su cuenta, por ejemplo, de su banca comercial, para continuar con lo que sea que le interesó del mensaje. El truco está en que cuando el usuario introduce su correo electrónico y su contraseña en esa falsa página de inicio de su banco, la información es enviada a un archivo de texto en el servidor que aloja la página falsa o por correo a quien ataca. Cómo evitarlo: A la hora de iniciar sesión, presta atención a la barra de direcciones y asegúrate de que tenga la dirección formal del banco (o del sitio que sea), o que esté sin “errores” de escritura. Lo mejor es utilizar el protocolo HTTPS para ingresar a estos servicios, y algunos los tienen por defecto y a otros hay que obligarles a utilizarlo a través del navegador.
Stealers
Gran cantidad de usuarios deja almacenadas las contraseñas que utiliza a diario en los navegadores, pero más allá de que cualquiera puede ingresar a estos e ir por las contraseñas manualmente, hay aplicaciones como los stealers que automáticamente roban los datos sensibles guardados a través de comandos muy fáciles de realizar o con interfaces gráficas aún más accesibles a cualquier malintencionado. Su uso junto a pendrives autoejecutables (ver más abajo) puede ser realmente una combinación poderosa. Cómo evitarlos: Utiliza sistemas de contraseñas maestras con aplicaciones como Keepass, Loggin Control, JPasswords o memoriza tus contraseñas sin dejarlas a mano ante la presencia de un stealer.
Secuestro de sesión (hijacking)
Como saben, las cookies sirven para autentificar la identidad de un usuario y recuperar parte de la información entre el sitio y el. El secuestro de sesión o sesión hijacking se realiza normalmente en redes LAN (torneos de juegos, cybercafes, redes laborales o institucionales) a través de aplicaciones de sniffing (o técnicas de ARP poofing si la red es conmutada) y se buscan referencias de las cookies de acceso a determinados sitios que no utilizan HTTPS y se accede a la cuenta. Cómo evitarlo: Entre otros recursos, asegúrate de usar protocolos de protección como el HTTPS cada vez que inicias sesión. Llegado el caso de no poder hacerlo, elimina cookies enseguida hayas terminado la sesión, aunque la efectividad de esto último es más ambigua.
Secuestro de sesión paralela (Sidejacking)
Similar en función y objetivos que el hijacking, pero con la diferencia de aprovechar esta vez de víctimas que estén conectadas a la misma red WiFi abierta o pública que el perpetrador. El sidejacking es básicamente un secuestro de sesión normal, pero a través de redes WiFi, por lo que el proceso es similar. Aplicaciones que realizan sniffing, se utilizan tanto que hasta Chrome y Firefox tienen a Firesheep, que te muestra las sesiones activas y no protegidas en una red Wifi. Cómo evitarlo: Evitando conectar se servicios sin HTTPS, evitando las redes públicas WiFi o usando la némesis de Firesheep: Blacksheep, que te indicará si alguien está usando Firesheep en la red a la que estás conectado.
Botnets
Usualmente no están enfocadas a realizar actividades de secuestro de datos sensibles a particulares y por lo tanto su regularidad entre los 10 métodos para hackear cuentas de usuario es de las menores. Esto no es por alguna cuestión ética, sino por el costo/beneficio que implica su instalación. Sin embargo, siempre está la posibilidad de que una persona o una pequeña empresa tenga una base de datos prodigiosa, y esto los constituye rápidamente en un objetivo para las botnets, que se trata de bots que infectan una red o una terminal y que se puede controlar de manera remota por IRC tanto para recopilar información para generar spam como para hacer ataques de tipo DDoS. Cómo evitarlo: Para evitar este tipo de ataques hay que tener un sistema de seguridad que sea paralelo al costo de producción de estas botnets, además de poner atención sobre las iP dinámicas que utilizan algunas, buscar el canal IRC y el servidor de tal de la botnet para dar aviso y además tener un control absoluto sobre los paquetes que se mueven a través del firewall.
DNS Spoofing
Muy similar al phising, pero a nivel local. Es decir, si compartes con alguien la conexión a una red local y esta persona quiere saber tu contraseña de, digamos, Facebook, puede crear una página web réplica y que mediante redirección se abra cuando introduces la dirección real de Facebook. En este caso, estarás dándole directamente los datos a esta persona y probablemente ni te enteres dado que podría hacer que luego de enviar la información, te vuelva a redirigir al inicio de Facebook original simulando una mala introducción de la contraseña o que te redireccione a tu perfil a través de la creación de un proceso en paralelo que toma el primer plano una vez terminada la parte del robo de datos. Cómo evitarlo: La detección es más compleja y depende del nivel de la réplica creada, pero a veces es muy útil intentar ingresar por navegadores que no sueles utilizar comúnmente, aunque para hacer esto tendrías que sospechar de que te están vigilando y en ese caso lo mejor es cambiar la contraseña urgentemente desde otro ordenador y revisar con un administrador de redes las vulnerabilidades de tu sistema.
Ataque Man-in-the-middle o Janus
La complejidad de este tipo de ataques se eleva considerablemente al lado de los que venimos presentando, pues necesita de una conexión fuerte que irrumpa entre dos partes interconectadas. La idea es posicionarse virtualmente entre dos partes que se comunican e interceptar la información entre ellas sin que estas detecten su presencia. En el caso de MitM, la regularidad de su uso es más activa que pasiva, ya que trasciende la mera “escucha” de la información e interfiere modificando el mensaje entre las partes o incluyendo textos planos con ataques codificados. Cómo evitarlo: Consiguiendo el acceso y comunicación por vías seguras que varían según el tipo de actividad que vayamos a llevar a cabo. Si es comunicación cliente-servidor, buscar protocolos seguros. Si es cliente-cliente, buscar aplicaciones de mensajería encriptadas similares a Tor.
Pendrives autoejecutables
No son los más usados, pero esos pendrives mágicos que ves en algunas películas y series policiales se pueden construir con la codificación adecuada (algunos .bat, .ini y alguna configuración de autoejecución) para lanzar aplicaciones del tipo stealers que estén automatizadas. La automatización puede ser en base a términos de búsqueda o yendo directamente a los directorios de los navegadores, temporales, cookies y otros programas que conserven información de este tipo. La información robada de esta manera puede ser exprimida de forma más fuerte por el victimario, con lo que el hallazgo de datos sensibles es casi una seguridad. Cómo evitarlo: Impidiendo el acceso de terceros a tu ordenador, deshabilitando el inicio automático de dispositivos, solicitando permisos de administración y otros, además de eliminar temporales, cookies e historial frecuentemente.
