Federico Almada Blog personal… con lo que se me pase por la cabeza…

Una solución para evitar los robos de usuarios y contraseñas de correo gratuito

El otro día estaba pensando en pavadas, y entre las tantas, me salta el mensajito de que se había conectado un amigo... pero con publicidad de esos sitios que te roban usuario y clave (de MSN).

Lo normal hubiese sido avisarle que podía haber sido víctima de una trampa, pero mi cerebro se puso a pensar en como solucionar el problema... lamentablemente (cuando una idea se me mete en la cabeza, esta difícil que salga... y encima dicen que soy cabezón, así que peor jejej).

Actualmente, estos servicios gratuitos de correo (Hotmail, Yahoo! Mail, GMail, etc), implementan APIs (no todos) que permiten a otros sitios hacer uso de tu lista de contactos, para que puedas invitar "fácilmente" a otros usuarios.

El problema está, en que tenemos que ingresar un usuario y clave, y eso puede o no ser capturado por el sitio que está tratando de hacer la invitación. En el mejor caso, no pasará nada, pero en el peor... podemos llegar a ser víctimas de una trampa, y terminar perdiendo nuestros correos o directamente nuestra cuenta (si cambian la clave o solicitan su eliminación).

Acá tiene tanto culpa el usuario, como la empresa que está de cada uno de esos servicios, ya que el primero es suficientemente "tonto" para caer en la trampa, y las segundas son suficientemente "vagas" como para implementar una solución "segura".

Todas las soluciones que me pasan por la cabeza, son un tanto incómodas para el usuario, pero si analizamos la incomodidad de copiar y pegar cada contacto, en relación a una "mediana" incomodidad, pasamos al frente.

Veamos algunos ejemplos:

• Al momento de completar los datos en el sitio X sobre nuestra cuenta, solo debería pedirnos el "usuario". Una vez que envíamos dicho dato, el sistema nos debería avisar que tenemos que abrir nuestra casilla de correo para confirmar la solicitud. Por lo que una vez que ingresamos con nuestro usuario y clave al "sitio de la casilla de correo" (o sea, no a un sitio de terceros posiblemente inseguro), este nos avisaría de que tenemos una solicitud del "sitio X" que está necesitando acceso a "nuestros contactos" o "nuestro calendario" (o lo que sea). De esta forma, una vez que aceptamos... el sitio recibe la autorización (que tendría una vigencia temporal de N minutos), y luego se revoca dicho permiso para que no pueda hacer uso más de nuestros datos.
• Otra forma, sería que al momento de ingresar a nuestra casilla de correo, podamos activar temporalmente el uso de, ya sea, nuestros contactos, calendario, etc... pero ingresando una clave de al menos N dígitos generada por el sistema. De este modo, al ir al "sitio X", este nos solicitaría nuestro usuario y dicha clave generada, evitando así que este reciba datos sobre nuestra clave real del usuario. El acceso, nuevamente, sería temporal... y limitado a los datos que permitimos en nuestro correo.

Aplicando alguno de estos simples métodos, eliminaríamos gran parte de las trampas que existen en la web, y que permiten el robo de cuentas de correo fácilmente (con las consecuencias que eso puede traer).

En este caso, como dije anteriormente, debemos tener en cuenta de que estamos dejando de lado un poco el aspecto de facilidad, para hacer hincapié en la seguridad.

En fin, tenía que dejarlo escrito... es algo que no puedo implementar por mi cuenta, por lo que no me molestaría que una empresa lo ponga en vigencia... siempre y cuando sea para el bien de todos.