hotmail: mitos & realidades

Siempre
quise escibir sobre Hotmail, específicamente los mitos y demás que
giran en torno a "se puede hackear una cuenta de Hotmail", "se puede
obtener una contraseña de Hotmail" ?
La respuesta es no, no se puede sacar de un sombrero, y la respuesta es si, se puede obtener por otros medios.
Por ahi me apresuro al decir que si, pero primero repasemos los no.
No
hay forma de que utilizando un programa,un algoritmo o un bug en el
servidor de Hotmail, explotable para conseguir la contraseña de una
cuenta, partamos por el pensamiento lógico de que si se pudiese, como
es internet, no sería una sola persona la que lo sabría y dicho secreto
hubiese sido ya difundido públicamente,en lo que internet respecta.
Nadie conservaría su cuenta si estubiese en manos de todos poder
conseguir contraseñas ajenas.
De
echo si hubiese una forma de obtener la contraseña de alguien, esta
seria indescifrable, por que ?. Por que Hotmail no guarda nuestras
contraseña en su "base de datos" asi en lo que se llama "texto limpio",
me explico, si mi contraseña es "televisor" en la base de datos de
Hotmail no figura como "televisor" sino que se encuentra encriptada, a
grandes rasgos "codificada".
Pero
hay diferentes formas de codificación, hay algunas que estan echas para
ser revesibles, en el mejor de los casos "televisor" codificada de
manera reversible seria, por ejemplo, "88uuut" y esta ultima
decodificada sería "televisor".
No
es el caso de Hotmail, este utiliza un algortimo de codificación que no
tiene reversión, y entonces como hace Hotmail para saber que la
contraseña que ingresamos es correcta ?.
Fácil,
el algoritmo utilizado que sino me equivoco es el MD5 al momento de
comparar lo que ingresamos, compara los bits de la contraseña
encriptada. Para darle más vueltas al asunto no es que "televisor" en
MD5 va a ser siempre "88uuut" ( en MD5 las cadenas encriptadas son más
largas,utiliza 128 bits ), sino que cambia !, iniciamos una vez es
"88uuut", iniciamos por segunda vez es "zzz887sd" y así sucesivamente.
Esto da a entender que ni siquiera los de Hotmail saben como es nuetra
contraseña, por que piensan que cuando vamos a "recuperarla" por medio
de la "pregunta secreta", nos pide que ingresemos una nueva ?.

Ok hasta ahí el por qué no.

Pero que formas hay por las cuales se puedan obtener nuestras contraseñas?
Hay muchas, algunas más ingeniosas que otras o más ocultas, mas producidas, etc.
Vamos a listarlas con su explicación:

1) Troyanos,
un troyano es un programa que nos pueden enviar via Msn Messenger y una
vez que lo ejecutamos simulando ser un servicio de Windows, por
ejemplo, abre una puerta por la cual el "atacante" o la persona que lo
envió podría acceder a nuestra pc, y dependiendo las características
del troyano podría utilizar y aprovechar nuestra pc a gusto.
Con este programa en nuestra pc, el atacante podría gaurdar las teclas que presionamos
(
keyloggers ) y de esta forma esperar que ingresemos en Hotmail y
tipeemos nuestra contraseña y capturarla antes de que sea procesada por
Hotmail.
Cabe destacar
que la encripcion a MD5 se realiza una vez que apretamos "Iniciar
Sesión" y Hotmail procesa el password, hasta ese momento se encuentra
en "texto limpio".

2) Keylogger,
a veces no es necesario que nos envien un troyano, si utilizamos
Hotmail en una pc pública de una facultad y un cyber, que no esten
correctamente protegidos con Antivirus o Freezadores, alguien podría
dejar un Keylogger corriendo en esa pc y capturar contraeñas de más de
una persona que incie sesión en esa pc.

3) Fakes,
falsamente conocidos como "exploits", los fakes son codigos Html y
páginas que simulan ser la tipica página de incio de sesión de Hotmail,
nos inducen por medio de tentadoras ofertas o postales a que iniciemos
nuestra sesión de correo ahí, con el unico objetivo de capturar nuestra
contraseña y mostrarnos alguna postal falsa en el mejor de los casos,
para mejorar el discimulo o reenviarnos a la verdadera web de Hotmail.
Está
técnica es muy utilizada, más que nada por lo fácil de su empleo, no
hay que saber nada de nada, por que en Internet hay muchos
"lanzadores", así se conocen sus plataformas, que solo requieren que
pongamos el mail de la victima y nuestro mail para que envién la
contraseña capturada, en algunos casos se puede conocer desde la misma
web.
Como protección es
recomendable saber que Hotmail nunca nos pedirá nuestra contraseña, ni
via mail ni nada, a no ser que la misma no se encuentre ingresada. Pero
nunca van a recibir un mail de Hotmail de "poné tu clave o cerramos tu
cuenta", "Hotmail cerrará si no pones tu clave", y diferentes ganchos.
Segunda
medida, fijarse en la barra de dirección ( donde tipeamos las url,
www.gooole.com, por ejemplo ), fijarnos si no es sospechosa la
dirección, por ejemplo: www.h0tmail.com ( notese en vez de "o" hay un
"0" ), y diferentes webs con nombres malisciosos o malformados.
Antes
cualquier duda, si les pasa eso, abran otra ventana de su navegador y
escriban ahí www.hotmail.com e ingresen normalmente, si tienen dudas de
el mail recibido.
Estos fakes suelen venir dizfrasados de postales, asi que si reciben una que al ingresar les pide su contraseña de Hotmail, no la pongan!.

4) Ingeniera social,
se considera de las formas más efectivas de todas. Esta lisa y
llanamente conseguir la contraseña pidiendosela directamente a la
persona, por medio de la obtención de datos de la misma.
Por
ejemplo, por experiencia se podría decir que las mujeres eligen fechas
y documentos. Tener en cuenta que dar datos sin importancia a otra
persona puede ser de riesgo, si nuestra pregunta secreta fuese "nombre
de mi mascota favorita", cualquier persona que lo sepa podria cambiar
nuestra contraseña, y si no la supiese, sería un dato muy fácil de
averiguar.
Intenten que
sus preguntas secretas sean dificiles o sin sentido, y que la respuesta
no sea nada que ver a la pregunta, anotenlá en un papel o cosas así,
asi evitan esta forma fácil de robo de contraseñas, que genera
situaciones de contraseñas inretornables.
Como
dato extra, si sufren este tipo de "ataque" prueben poniendo "123456"
de contraseña, en el caso que se las hayan cambiado. Por una cuestión
de practicidad el "atacante" podría haberla puesto por la fácilidad de
acceso que tiene esa combinación de números en el teclado, en el caso
de que el atacante haya probado varias respuestas a nuestra pregunta.
Un
caso conocido fue el del celular de Paris Hilton, cuya pregunta secreta
era "Nombre de mi mascota", conocido por todos "tinkerbell" se podría
haber buscado en google, o mirado televisión. Los atacantes accedieron
a la agenda de Paris obteniendo números como los de Madona, Eminem,
etc. todos publicados en internet.
Ha habido grandes casos de fraudes y obtención de datos por medio de la ingeniería social.

Por último voy a dar algunos consejos:

Usar
contraseñas que combinen dígitos y no utilizar fechas, documentos,
nombre de artistas, bandas, etc. O utilizarlos de una manera
inteligente, combinando números y letras.
Por
ejemplo: nuestra contraseña es "televisor" fácilmente podría ser más
segura si utilizamos un sistema memotécnico fácil, reemplazando algunas
letras por su parecido en números:
Quedando "televisor" = "t3l3v150r", al momento de ser tipeada es díficil de comprender.



Bueno creo que es todo, espero lo disfruten y les sirva, cualquier duda o pregunta ... comments.