Por Iñaki Gainzarain.
Si colocas en google el string "hackeo de twitter" (entre comillas) te encontrarás más de 17.000 enlaces. Esto te dice lo movido que está el tema en el mundo. Pero lo sorprendente es, que si pones el string "hackeo de twitter en Venezuela" te encuentras más de 15.000 enlaces.
Tenemos cantidad de amigos que han sido hackeados este año.
¿Habrá un personaje oscuro de la delincuencia política mundial envuelto en este proceso? ¿Será el anciano Ramiro Valdés – delincuente y co-dictador cubano - el cerebro de esta operación?
Una tarea de los medios, es complicarles la vida a estos delincuentes, colocando sugerencias actualizadas para el común de los mortales. Deben popularizar este tema, para evitar la frustración creciente de cantidad de personas que, en un segundo, pierden toda su información de contactos, y de paso, son sometidos al stress de recibir cantidad de llamadas preguntando por qué escribió tal o cual cosa, o por qué mandó ese correo tan extraño; o simplemente, de la noche a la mañana, se enteran que la competencia o la policía tiene en su computador la base de datos de todos sus contactos y correos clasificados por destinatario, tema, etc. En otras palabras, un día se vieron en el espejo del alto mando de las FARC, cuando sus computadoras terminaron en manos de la inteligencia policial internacional.
Permítanme, sin ser un experto en el tema, sugerir unas primeras medidas de seguridad.
Empecemos por el principio. Cuando uno crea un usuario en una red social, tiene que colocar unos cuantos datos en la ficha inicial, entre los que destacan, la clave y la dirección de correo para recuperación de contraseña en el caso de que se le olvide la suya. Por ejemplo, si Pedro creo en twitter la dirección @pedroelsimpatico, ésta tiene una clave, pero además tiene un correo asignado para el caso de que le olvide la clave de @pedroelsimpatico, por ejemplo, pedrogutierrez1890@gmail.com. Normalmente, la gente pone como correo de recuperación su correo principal, es decir, en nuestro ejemplo, pedrogutierrez89@gmail.com. Por supuesto, en ese correo tiene cantidad de contactos y correos que ha mandado y no ha borrado. Y de paso, lo más seguro es que el nombre de ese correo se parece mucho al nombre y apellido de la persona, y muy probablemente, la clave sea relativamente fácil de atrapar por un experimentado hacker (fechas de nacimiento, cédula identidad, nombres familiares….).
Esto mismo aplica a usuarios creados en facebook y otras redes sociales.
Ahora bien, los hackers habitualmente intentan “adivinar” su clave con sus programas. Si su clave está bien diseñada, es decir, es algo así como “tiz34gwz80pya”, entonces al no lograr conseguir la clave rápido pasa a una segunda táctica. En nuestro ejemplo, Pedro recibiría un correo muy llamativo en su dirección de gmail.com. En ese correo hay un archivo anexo, que por curiosidad Pedro lo abrió. En ese instante, ese archivo que es un programa especial, toma el control de pedrogutierrez1890@gmail.com. A partir de allí, Pedro no puede volver a abrir su correo porque le cambiaron la clave. En ese momento todavía no se imagina lo que le viene inmediatamente después. El hacker envía correos de cualquier tipo a la base de contactos, luego pasa toda la información a otro correo bajo su control, y blanquea pedrogutierrez1890@gmail.com, para que guando gmail le regrese el control del correo a Pedro, él no encuentre nada allí.
Mientras el hacker tuvo el control de pedrogutierrez1890@gmail.com, se metió en @pedroelsimpatico, y le dice que se le olvidó su contraseña. Automáticamente twitter le envía la contraseña a esa dirección, que es la que está en su ficha. En ese momento, el hacker ya se apoderó también de @pedroelsimpatico, le cambia la clave, migra los contactos, envia mensajes a medio mundo y blanquea la dirección, para que cuando twitter le regresa el poder a Pedro, su dirección no tiene información.
Visto lo anterior, paso a unas sugerencias básicas.
1.- Usted debe tener al menos tres correos. El de uso cotidiano, con una clave difícil; el segundo correo para abrir correos sospechosos; y el tercero, con nombre raro y clave difícil, para usarlo únicamente como correo de recuperación de claves.
2.- Cuando usted reciba un correo sospechoso, con un archivo anexo para abrir, entonces desde su correo principal lo reenvía a su segundo correo, que no tiene contactos de nadie. Se va a un cibercafé, y con el segundo correo abre el correo sospechoso. Si ese correo sospechoso traía un virus o un programa para controlar su correo, a usted no le pasa nada malo. Simplemente perdió su segundo correo, donde no había ninguna información suya.
3.- Cuando se le olvide su clave de usuario en una red social, entonces entra y le informa que se le olvidó la clave. Esa red social le enviará su nueva contraseña al tercer correo, que como vimos, tiene un nombre que no tiene nada que ver con usted, no tiene contactos ni es usado para mandar correos ni es puesto como contacto en artículos o escritos suyos.
Estas 3 simples medidas le complican la vida a los hackers.
El siguiente paso es ver como guarda usted los nombres y las claves de los 3 correos.
El siguiente paso es ver como guarda usted los nombres y las claves de los 3 correos.
O lo tiene escrito y bien guardado en su casa u oficina, o usa servicios de almacena-miento en la nube, como por ejemplo, el servicio www.dropbox.com. De esta manera, esos datos, fundamentales para su seguridad, no estarán en el disco duro de su computador personal.
Esperemos que expertos en el tema de seguridad contribuyan en esta tarea con ideas fáciles de entender. Exhortemos a los medios a que creen una columna semanal que bien pudiera llamarse como el título de este artículo. Entonces se aplicaría al que caiga, el viejo refrán: “guerra avisada no mata soldado, y si lo mata es por descuidado”.PD: A las 3 medidas básicas hay que agregarle la rutina de cambiar las claves periódicamente (semanal, quincenal, mensual...).
No hay comentarios:
Publicar un comentario