La importancia de saber elegir tus passwords

Esto no es una ciencia nueva, ni siquiera es un consejo que debiera estar dándose todo el tiempo aunque por desgracia, es muy normal que las personas posean una misma clave para todo o casi todo los servicios que utilizan ya sea a través de Internet, telefonía o la propia vida financiera.

click para ver en tamaño completo

Que una persona con poca noción de la seguridad informática lo haga, vaya y pase. Pero esta persona es un colega de toda la vida quien me dió varias lecciones de seguridad informática desde que yo era apenas un estudiante de escuela primaria.

Aruel Angel (apodo de mi colega) es un experto en seguridad informática y me ha enseñado muchísimo. Una de sus premisas siempre fue la de utilizar diferentes claves para los servicios que usamos y es así que compartió esta guía para que la publique en el blog. Lo siguiente, fue escrito por él para ElPlog.com;

Elección de claves
Antes que nada debemos revisar la importancia del servicio que estamos usando y asignarle una contraseña, para esto podemos asignar una escala del 1 al 10 en la importancia de los servicios que usemos. Por ejemplo, “Cuenta Bancaria: 10″.
De esta forma, podrán utilizar las típicas claves que usan a menudo. Muchas mujeres tienen la costumbre de usar claves alfanuméricas como “pepito17031974″ o variables similares, muchas de ellas, muy fáciles de adivinar como el número de documento, fechas de nacimiento (el 90% de las mujeres usa una fecha en sus claves) o nombres de personas y mascotas.

Suponiendo que nuestra clave es una fecha, podremos usar nuestra escala de la siguiente manera y con esto, dar un valor agregado a la seguridad de nuestras cuentas.
Escala 1 al 4
Cuentas asociadas a una red social como Facebook, Twitter, Badoo, Tagged, HI5, etcétera; son cuentas de importancia media/baja dado que no almacenan datos importantes como números de tarjetas de crédito, datos financieros o claves de importancia asociada como la de nuestro correo electrónico de cabecera. La importancia del 1 al 4 es según el criterio de quien la use. Clave sugerida: 17031974_UaC_1

Escala 4 al 6
Correo electrónico secundario, cuentas de difusión como Twitter y demás; Esta escala es obviamente tan flexible como la anterior y los ejemplos son solo para darnos una idea. Claro que cada usuario dará la importancia que necesite a sus respectivas cuentas. Clave sugerida: 17031974_Ca6_4

Escala 6 al 8
Subiendo el grado de seguridad en nuestra escala, ya podremos añadir números o caracteres que nos resulten conocidos pero sin perder la noción de nuestra clave original. Esto nos servirá para seleccionar claves mucho mas seguras en el futuro y de paso, agilizar nuestra mente como un ejercicio que nos permita recordar contraseñas cada vez mas complejas. Clave sugerida: 17031974_Sa8_8_15123456 (a esta clave le podemos agregar un número de teléfono).

Escala del 8 al 10
Servicios financieros, datos bancarios, tarjetas de crédito, cuentas de hosting. Cada uno es libre de aplicar estas escalas a su criterio. Por mi parte solo estoy dando ejemplos muy burdos de cómo podrías aplicarla a tu vida cotidiana pero es importante establecer un orden de importancia para resguardar nuestros datos. Clave sugerida: 17031974_Oa10_15123456_torino (y podemos agregar el nombre de nuestra mascota, nuestro domicilio, etcétera).

Una clave extremadamente fuerte y simple de recordar es por ejemplo, nuestra frase de cabecera. Podríamos utilizar las primeras letras de cada palabra de la frase y añadir algún dato extra de nuestra preferencia. Tomemos por ejemplo la famosa frase de Pablo Neruda “Puedo escribir los versos más tristes esta noche” y nos quedaría algo como PELVMTEN y a su vez agregar nuestra fecha de nacimiento junto a nuestra escala; PELVMTEN_17031974_Ca6_4_torino. De esta forma logramos una clave lo suficientemente compleja para que no sea descubierta ni siquiera por los sistemas de brute force que suelen ser usados para romper nuestras contraseñas.

Repito. La escala es apenas un burdo ejemplo. Uno puede aplicar su propia escala siempre y cuando mantenga un orden de importancia respecto a cuan relevantes son los datos que desea proteger.

Un saludo, Aruel Angel

Ya hubo un grave incidente de seguridad aquella vez que Geelbe.com fue hackeado y muchos de sus usuarios tuvieron un problema aún mas importante cuando los “hackers” se dieron cuenta que las claves de Geelbe eran las mismas que utilizaban en otros servicios como redes sociales o cuentas de email.

Espero que esto al menos te sirva como ejemplo para que el día en que seas hackeado, no sea porque fuiste tan animal de usar la misma clave en todo.

Hola cómo estás? Recién llego…

Durante los últimos días del mes de noviembre de 2010 hasta ahora se están registrando una serie de mensajes bastante extraños en las líneas telefónicas celulares.

Hola como estas recien llego y tengo algo que contarte muy importante

Estos mensajes están apareciendo de manera sistemática bajo diferentes números de remitente. Todos ellos originarios de la ciudad de Buenos Aires (Prefijo 011). Responder a este mensaje es básicamente entregar tu privacidad a extraños. Estos mensajes son aparentemente enviados con el mismo objetivo que los HOAX o spams de “Hotmail Cierra”. Recabar datos y reunir una base de datos de equipos móviles válidos.

Los teléfonos celulares no poseen un sistema de “rebote” de mensajería a menos que ingreses mal el prefijo por lo que, si enviás un mensaje a un número equivocado o inexistente, no recibirás un mensaje notificándote que has equivocado el número de teléfono. Sin embargo, muchos usuarios de telefonía celular móvil suelen avisarte “Flaco, te equivocaste de número” para que vuelvas a enviar el mensaje a quien realmente debías hacerlo. Esa es la idea de este nuevo sistema de spaming móvil.

Te envían un mensaje curioso con el objeto de recibir tu respuesta, de esta manera las empresas de marketing logran recolectar tu número de teléfono como un equipo móvil válido. Ejemplos? Muchos. Días después de recibir este extraño mensaje comencé a recibir ofertas de empresas como Peugeot, Ford, empresas del tipo “llamá al 2020…” y una gran cantidad de basura publicitaria.

Las empresas ya no están conformes con inundar nuestro correo electrónico con publicidad sino que ahora también debemos soportarlos en nuestros teléfonos.

Consejo?
No responderlos. Por mas que nos enojemos y tengamos ganas de llamarlos y putearlos a ellos y a la primera generación de la puta madre que los parió, es mejor evitarlos y no responderlos.

De hecho, a las mujeres, les recomendaría investigar mejor antes de lanzar su ira contra su pareja si ven que recibió este mensaje en el celular porque se puede prestar a confusiones. Lo mismo para los hombres ;)

Microsoft no abadona a Silverlight

El gigante de la informática Microsoft acaba de anunciar que dentro de poco va a lanzar la nueva versión de su plugin para Internet Explorer: Silverlight el cual nació con el proposito de mejorar la experiencia en la red, en especial para los propios servicios de Microsoft como Hotmail, Bing, y todos sus demás servicios; y además espera que esta nueva versión de este plugin le sirva para despegar en el mundo de la informática en la nube.

También se ha mencionado que Silverlight no sera compatible con Safari ni Chrome, pero si lo sera con iOS ¿Quien lo diría?

Entre las novedades que nos ofrecerá Microsoft Silverlight 5 destacan una nueva API para graficos en 3D además de mayor adaptación a entornos con procesadores de 64 bits (ya que por costumbre las pc con 64 bits no pueden aprovechar su máximo rendimiento con los complementos actuales como flash). Se tiene prevista la salida de la beta pública a la mitad del 2011 y la versión final para fines de ese año.

Es obvio que muchos usuarios lo instalarán y usarán ya que como ocurre actualmente para disfrutar al máximo algunos servicios, Microsoft nos pide que instalemos su complemento multimedia y en caso contrario no tendremos una buena experiencia; en lo personal si yo fuera Microsoft no apostaría tanto por un complemento multimedia ya que con las nuevas apliaciones web y la llegada inminente del HTML5 (a su máximo esplendor) el proximo año y teniendo al complemento Adobe Flash como competidor no le veo mucho sentido al asunto.

Más información

Virus se disfraza de notificación de Facebook

Facebook y las redes sociales o servicios masivos han sido objeto de ataques desde siempre. Primero eran los scam de Hotmail, Yahoo o Gmail en la era mas moderna y hoy por hoy son los relacionados a Twitter y Facebook entre otros.

Desde hace unos días estuve recibiendo un email extraño con características obviamente sospechosas. El mismo me llamó la atención el primer día debido a su título un tanto convincente: “Your account is blocked”. cuando digo que poseía características obviamente sospechosas me refiero al archivo adjunto que traía. Facebook no va a mediar ningún tipo de explicación detallada en un adjunto, simplemente te dirá que tu cuenta fué suspendida por denuncias, spam o lo que sea y listo. Fin del asunto.

Así que amigos, tengan muchísimo cuidado con este u otros emails similiares como el de DHL o Fedex que intentan hacernos descargar un archivo adjunto infectado con un troyano/virus. Si poseen un buen antivirus que escanee los emails antes de bajarlos podrán tener suerte, sino, simplemente elimínenlos.

Cómo hackear Facebook

Esto me recuerda a los fines de los años ’90 en donde uno de los cáliz sagrados de la informática eran el hackeo a Hotmail o Yahoo. Últimamente este equivalente era Gmail. En fin. Con las redes inalámbricas de hoy en día es posible con sniffers capturar datos que viajan en el aire y obtener información sensible.

Gracias a una extensión de Firefox, esta tarea no es mas difícil que instalar una extensión (plug in) y un par de clicks. En unos pocos instantes tendremos toda la información necesaria para penetrar en cuentas de Facebook y de ahí un salto a otros datos mucho mas sensibles.

El nombre de la extensión con la que podremos lograr este milagro es Firesheep y nos permite ver los datos de los usuarios conectados a redes sociales como Facebook o Twitter e incluso robar su identidad online. Por desgracia, es fácil y rápido lo que podría ser muy peligroso en manos de cualquier novato en el ámbito del pseudo hacking.

Para esta técnica, se aprovecha de redes inalámbricas no seguras, donde las cookies no están encriptadas.

El uso del protocolo SSL para brindar las direcciones HTTPS al momento de logearnos en un sitio web o comenzar a realizar algún tipo de transacción comercial en sitios de compras online es muy común, pero en el resto de la navegación, el protocolo no se utiliza por lo que cualquier persona con algunos conocimientos en redes puede hacerse pasar por nosotros sin demasiados embrollos tan solo compartiendo la misma red Wi-Fi.

El problema
Antes de que a todos se les empiece a hacer agua la boca, les advierto que esta técnica es solamente funcional en redes WLan por lo que será imposible que la apliques a la cuenta de tu novia o tu ex a la cual querés espiar. En ese sentido, tendrás mas suerte pidiéndole la clave con una pistola en la cabeza.

Usuarios de Windows
Los usuarios del sistema operativo de Redmond tendrán que hacer un paso extra para poder ejecutar esta aplicación de FireFox y consiste en instalar el WinpCap antes de ejecutar el plugin que nos permitirá capturar los datos y los pasos son los siguientes:

Descargamos e instalamos WinpCap desde el sitio oficial y una vez finalizado ese paso, procedemos a descargar e instalar la extensión XPI de Firefox que nos proporcionan desde la web de FireSheep.

Cuando comenzamos a utilizar el plugin, solo debemos clickear en el botón START CAPTURE y comenzará a arrojarnos los datos de las personas que se encuentren conectadas a una red social como Facebook o Twitter. Solo debemos seleccionar la de nuestra preferencia y eso será todo. Podremos utilizar esa cuencta como si fuera nuestra.

Ya hemos “hackeado” con esta técnica, cuentas de Flickr, Twitter, Facebook o cualquier otra que no posea un encriptado de cookies efectivo.

Contramedidas
Como contramedidas podríamos destacar que es un factor imporante conectarte a tus cuentas solo si el sitio web posee HTTPS aunque en muchos casos es en vano puesto que cuando nos logeamos en Twitter, obtenemos una navegación bajo SSL con HTTPS sin embargo, FireSheep también asume el poder sobre la red del pajarito sin importar su encriptación.

Creo que como consejo extra podría recomendarte que no revises sitios web en redes públicas que requieran brindar tu clave como redes sociales, sitios bancarios o financieros ni ningún otro servicio que pueda brindar datos relevantes sobre tu persona (email, teléfono, claves de acceso, tarjetas de crédito, domicilio, etcétera). La paranoia ante todo.

Adjuntar un archivo en Hotmail Correo

Hola a todos, vengo a realizar un post sobre como adjuntar un archivo en Hotmail Correo. No, no lo escribí mal. Puse Hotmail Correo porque según los encargados del Search Engine Optimization, es la mejor forma de que entiendan ustedes, estúpidos que no saben aduntar un archivo en HOTMAIL CORREO pero saben entra a un blog a leer un tutorial.

Cuando entren a Hotmail Correo solo deben ir a donde dice NUEVO, verán un botón enorme que dice ADJUNTAR ARCHIVO y le hacen click.

Para elegir el archivo a adjuntar tendrán que buscar ustedes mismos dentro de sus PC porque yo aún no poseo esa facultad pero aglún día la tendré y ustedes me adorarán como el DiosPerro que les enseñó a adjuntar un archivo en HOTMAIL CORREO y que también puede entrar en sus PC por telepatía!!!

La próxima semana voy a enseñarles a entrar a Tuenti para crear una cuenta de Tuenti así pueden ingresar en Tuenti para usar Tuenti.

NDR: Este es un post que no aporta absolutamente nada a la blogósfera. Leerlo puede ser nocivo para la salud y causar transtornos gastrointestinales, diarrea, vómitos y otros síntomas menos afortunados. Si presenta alguno de estos síntomas, diríjase al buscador mas cercano.

Thunderbird 3.1 y seguridad en correos electrónicos

post patrocinado
Suelo hablar a menudo de la seguridad informática y de los correos electrónicos, la calidad de las contraseñas a colocar y las frases que podemos usar como respuesta a las preguntas secretas y la protección de datos pero las aplicaciones de escritorio también pueden ser vulneradas y nuestra propia red puede estar siendo espiada.

La protección de datos se puede dar tanto a la hora de abrir un correo Hotmail como al momento de asegurar un servidor de ojos curiosos pero obvio que en un solo post no podré explayar todas mis ideas. Voy a detenerme en algunas funciones de Thunderbird que nos protejerán a la hora de enfrentar algún inconveniente que ponga en juego nuestra seguridad y la integridad de los datos.

Protección anti-fraudes
Thunderbird te protege de estafas de correo electrónico que tratan de engañar a los usuarios para que provean su información personal y confidencial indicando que un mensaje es potencialmente un intento de fraude. Como segunda línea de defensa te advierte cuando haces click en un enlace que parece que te llevará a un sitio web diferente al que está indicado en la dirección del mensaje.

Privacidad
Thunderbird 3.1 apoya la privacidad del usuario y provee protección de imágenes remotas que bien pudieran estar infectadas. Para asegurar la privacidad de un usuario bloquea automáticamente las imágenes remotas en mensajes de correo electrónico. Una función que incluso puede parecernos molesta pero que conlleva una gran ayuda para evitar infecciones masivas.

Separar la basura
Las conocidas herramientas de Thunderbird para el correo basura han sido actualizadas para mantenerse un paso por delante del spam. Así como en Hotmail correo, Thunderbird pasa los datos por filtros de correo. Cada vez que marques un mensaje como spam, Thunderbird “aprende” y mejora sus filtros así puedes dedicarle más tiempo a leer los mensajes que realmente importan. Thunderbird puede usar también los filtros de spam de tu proveedor de correo electrónico para mantener a la basura fuera de tu bandeja de entrada.

Pero estas son solo algunas de las funcionalidades que podemos encontrar en un cliente de correo electrónico común. También tenemos las llamadas claves PGP de correo electrónico y filtros avanzados como plugins o complementos que, al igual que en Mozilla Firefox, podemos encontrar en Mozilla Thunderbird

Algunos muy interesantes son, ThunderBrowse: Nos permite ver un enlace sin necesidad de abrir el navegador o FiltaQuilla que agrega una serie de funcionalidades extra a los filtros como la de quitar estrellas, tags, copiar mensajes a distintas carpetas automáticamente, etcétera.

Si hay alguna funcionalidad que te haya dado buenos resultados, no dudes en enviármela :D

Descarga de Thunderbird 3.1

La tormenta perfecta: Phishing y Twitter

Esto posiblemente ya lo hayamos comentado…De hecho si, lo hice pero no está de mas recordar una serie de consejos a la hora de hacer click a una URL en Twitter.

En el post anterior señalé que Twitter había comenzado a filtrar URL’s maliciosas con el objetivo de proteger a sus usuarios de ataques tipo XSS o phishing. Claro que con el XSS es mas simple ya que hay una serie de cadenas comunes que podemos filtrar pero con el phishing no.

Un phishing (pescando) es básicamente eso, “pescar” usuarios desprevenidos en Internet a fines de obtener datos relevantes como nombres de usuario, claves, cuentas bancarias, etc. Esto se hace mostrándole un sitio idéntico al de un banco, una página de logging de Facebook o Hotmail, etc. pero que guardará los datos ingresados en una base de datos propia del atacante y el mismo, dando un mensaje de error, derivaría a la web original para no levantar sospechas de la víctima.

Twitter, el popular sistema de microbloggin tiene un sistema de acortamiento de URL. Es así que si yo ingreso la dirección de mi blog (http://elplog.com) en mi caja de texto (una especie de chatbox o de “Muro de Facebook”) en Twitter, el sistema lo va a recortar para que podamos usar los 140 caracteres que nos permite escribir y quedaría algo así: http://bit.ly/9msMIA (bien, en lugar de acortarlo, lo alargó, pero es bueno para direcciones largas…)

En una oportunidad recuerdo haber enviado un tweet comentando la nueva apariencia de PayPal con el siguiente texto:

Che, vieron lo nuevo de PayPal? http://bit.ly/d5gKdu

AVISO Si ingresan al enlace, NO DEN NINGÚN DATO!

Ese enlace en particular no fué al que redireccioné pero me sirve para aplicar el ejemplo. Recuerdo haber obtenido una gran cantidad de claves solo porque varios ingresaron creyendo que era el verdadero sitio web.
Lo de arriba es un ejemplo. No recuerdo en realidad cual era el tweet ni si lo usé con Facebook o Hotmail. El asunto es que las claves que obtuve las borré de inmediato. Solo quise demostrar el punto de este post y eso fué hace mucho. Este post debería haber sido publicado hace varios meses.
Repito, no ingresen ningún dato si entran al enlace que acabo de mostrar.

Estas técnicas son ADORADAS por los script kiddies y por supuesto que practicadas por muchos newbies y lammers. Hay hackers que suelen utilizarla para diversos fines (a veces lo básico es lo mas efectivo)

Consejos
En el caso anterior podemos ver que el acortamiento de la URL es hecha a través de Bit.ly y lo bueno de este sistema (como el de tantos otros) es que podemos ver la información detallada del mismo, incluyendo, la URL real que se publicó.

Por ejemplo: http://bit.ly/info/d5gKdu (a este enlace si pueden clickearle porque los llevará a una pantalla con datos de fecha, hora, y les mostrará la URL original junto a sus estadísticas)

Como ya dije, ese enlace no es el que yo usé, solo estoy aplicándolo para el ejemplo.

Esa es una forma de averiguar si la URL a la que estamos ingresando es real o simplemente un FAKE. Si está en Bit.ly solo tenemos que agregar el parámetro INFO entre la variable de acortamiento y la URL del host…O sea, en el medio…así como en el ejemplo…

Otra manera sería haciendo click con el botón derecho y seleccionar “Copiar Vínculo”. Lo pegamos directamente en la barra de navegación de nuestro browser (Firefox, Safari, Opera, Konkeror, Internet Explorer, etc) y presionamos ENTER sin problemas. Si es un capturador de cookies no va a tomar ninguna ya que no hicimos click desde una sesión activa.

Estos capturadores de cookies funcionan solamente en sitios vulnerables a ataques XSS y Twitter, que yo sepa, no lo es. Pero sirve para sembrar enlaces lo cual si es peligroso.

Esta técnica de reconocimiento de direcciones web (URL) nos va a servir mas bien para identificar si es un sitio fake dispuesto al phishing.

Así que ya saben. Si la dirección está en Bit.ly, solo tenemos que poner la palabra INFO en el medio para poder saber si es una URL real o un fake.

URL Twitteada: http://bit.ly/9msMIA (http://elplog.com/
URL descubierta: http://bit.ly/info/9msMIA (Los datos y estadísticas de ElPlog.com junto a su URL real)