Federico Almada

Hoy a la mañana abro mi correo para ver si tenía algo nuevo (normalmente ocupado por decenas de ‘alertas’ de Facebook, Sonico, entre otros), y entre toda la basura, me encuentro con un correo que me da el OK de mi cuenta recientemente creada en Outsourcing Room… con un pequeño detalle… nunca me di de alta en dicho lugar.

El nombre de usuario de dicha cuenta, es uno de los tantos que utilizo en distintos sitios, aunque la clave me parece más bien aleatoria (y la mencionan en el correo que me llega, lo cual me genera un toque más de desconfianza).

Investigué un poco, y me encuentro con que este sitio es un tanto fraudulento… roba (o compra) bases de datos de otros sitios, y luego las utiliza para crear perfiles falsos de usuarios.

Tengan cuidado con este tipo de cosas, ya que el sólo hecho de iniciar una sesión en el sitio ya les da el OK de que tus datos son correos (al menos, el correo). Luego, pueden pasar varias cosas…

• que te pidan cambiar el password, e introduzcas uno que usas en otros servicios (groso error)
• que te pidan actualizar tu perfil, y consigan así más datos sobre vos
• que en las condiciones aceptadas, te comprometas a algo que no puedas cumplir

En fin, simplemente tengan cuidado…

Varias veces he leído por algún que otro “gurú” de la seguridad informática, que si el software de nuestras computadoras se actualizara solito, estaríamos mucho más seguros como usuarios.

Quizás esta premisa pueda ser cierta en el caso de una gran cantidad de usuarios que normalmente ni se preocupan por lo que tienen en sus máquinas… aunque para nada cierto en el caso de los usuarios de empresas y los que tienen un poco más de idea de informática.

El primer caso, el corporativo, está justificado por el hecho de que normalmente las empresas prefieren delegar este tipo de decisiones al área de seguridad, si la tienen, o de sistemas, en su defecto. Esto se da, más que nada porque las actualizaciones pueden provenir de fuentes seguras… o no (¿o acaso nunca les llegó una presunta actualización de Windows por correo?), y pueden traer mejoras que quizás no cumplan con la política de seguridad de la empresa.

En el segundo caso, el de los usuarios con más conocimientos, es un tanto especial… ya que seguramente querrán tener control sobre todo lo que instalan, y a veces se llega a un borde de paranoia si algo se instaló por sí solo (díganmelo a mí, con mis últimas malas experiencias en Windows unos años atrás).

Ahora sale un nuevo paper que afirma que las actualizaciones silenciosas incrementan la seguridad, enfocándose más que nada en el tema de los navegadores.

La información del paper está buena, aunque nuevamente… no aplica para el total de los casos, ni tampoco para la “gran mayoría”, ya que los usuarios corporativos conforman una gran porción del pastel

Recién me llega este correo, enviado a mi casilla, para que reactive una cuenta de banco que no tengo xD

Estimado Cliente,

Nosotros hemos determinado eso fue 3 tentativas equivocadas a la entrada en su cuenta bancaria en línea del hostname: 82-76-19-27.rdsnet.ro. Sospechamos que esta tentativa no fue legitimada así, como un meassure de seguridad, nosotros hemos suspendido temporalmente su cuenta. Usted puede reactivar su cuenta, el tiempo que usted desea, verificando sus informaciones personales conectadas a su cuenta bancaria en línea.
Para reactivar su cuenta utiliza por favor el lazo siguiente:

https://www.xxxxxxxxxxx.com/ [borrado, para que no caiga nadie]

Favor de notar:
Su cuenta se quedará suspendió para prevenir el fraude hasta que usted lo reactivará.

Gracias por utilizar servicio de Banca Electrónica.

Me interesaría saber si hay gente que cae en este tipo de cosas, sobretodo con las frases y palabras utilizadas que no tienen coherencia, y que están traducidas de forma literal (lazo = link = enlace; ¿informaciones? != datos; meassure != medida; suspendió != suspendida; etc).

En fin… una pena que no sepan ‘enfocar’ lo que hacen tendrían mejores resultados…

Si alguien recibe esto, y tiene dudas… es FALSO, por lo tanto… no ingresen al enlace en cuestión.

Uno de los problemas que suelo ver de forma reiterada, cuando administro sitios web, es el hecho de que muchas personas no suelen acostumbrar a cambiar la clave por defecto que uno les asigna cuando se les crea su usuario.

He visto que este problema no tiene una buena solución cuando el usuario ya está registrado, ya que las formas implementadas para exigir que se ‘cambie’ la clave, son un tanto agresivas. Read More

El otro día estaba pensando en pavadas, y entre las tantas, me salta el mensajito de que se había conectado un amigo… pero con publicidad de esos sitios que te roban usuario y clave (de MSN).

Lo normal hubiese sido avisarle que podía haber sido víctima de una trampa, pero mi cerebro se puso a pensar en como solucionar el problema… lamentablemente (cuando una idea se me mete en la cabeza, esta difícil que salga… y encima dicen que soy cabezón, así que peor jejej).

Actualmente, estos servicios gratuitos de correo (Hotmail, Yahoo! Mail, GMail, etc), implementan APIs (no todos) que permiten a otros sitios hacer uso de tu lista de contactos, para que puedas invitar “fácilmente” a otros usuarios.

El problema está, en que tenemos que ingresar un usuario y clave, y eso puede o no ser capturado por el sitio que está tratando de hacer la invitación. En el mejor caso, no pasará nada, pero en el peor… podemos llegar a ser víctimas de una trampa, y terminar perdiendo nuestros correos o directamente nuestra cuenta (si cambian la clave o solicitan su eliminación).

Acá tiene tanto culpa el usuario, como la empresa que está de cada uno de esos servicios, ya que el primero es suficientemente “tonto” para caer en la trampa, y las segundas son suficientemente “vagas” como para implementar una solución “segura”.

Todas las soluciones que me pasan por la cabeza, son un tanto incómodas para el usuario, pero si analizamos la incomodidad de copiar y pegar cada contacto, en relación a una “mediana” incomodidad, pasamos al frente.

Veamos algunos ejemplos:

• Al momento de completar los datos en el sitio X sobre nuestra cuenta, solo debería pedirnos el “usuario”. Una vez que envíamos dicho dato, el sistema nos debería avisar que tenemos que abrir nuestra casilla de correo para confirmar la solicitud. Por lo que una vez que ingresamos con nuestro usuario y clave al “sitio de la casilla de correo” (o sea, no a un sitio de terceros posiblemente inseguro), este nos avisaría de que tenemos una solicitud del “sitio X” que está necesitando acceso a “nuestros contactos” o “nuestro calendario” (o lo que sea). De esta forma, una vez que aceptamos… el sitio recibe la autorización (que tendría una vigencia temporal de N minutos), y luego se revoca dicho permiso para que no pueda hacer uso más de nuestros datos.
• Otra forma, sería que al momento de ingresar a nuestra casilla de correo, podamos activar temporalmente el uso de, ya sea, nuestros contactos, calendario, etc… pero ingresando una clave de al menos N dígitos generada por el sistema. De este modo, al ir al “sitio X”, este nos solicitaría nuestro usuario y dicha clave generada, evitando así que este reciba datos sobre nuestra clave real del usuario. El acceso, nuevamente, sería temporal… y limitado a los datos que permitimos en nuestro correo.

Aplicando alguno de estos simples métodos, eliminaríamos gran parte de las trampas que existen en la web, y que permiten el robo de cuentas de correo fácilmente (con las consecuencias que eso puede traer).

En este caso, como dije anteriormente, debemos tener en cuenta de que estamos dejando de lado un poco el aspecto de facilidad, para hacer hincapié en la seguridad.

En fin, tenía que dejarlo escrito… es algo que no puedo implementar por mi cuenta, por lo que no me molestaría que una empresa lo ponga en vigencia… siempre y cuando sea para el bien de todos.