Roban y exponen gran cantidad de contraseñas de correo en Internet
Miles de nombres de usuario y contraseñas de Hotmail, Gmail o Yahoo! Mail entre otros, han sido recientemente expuestos en la Red de redes, una noticia de la que se han hecho eco los principales rotativos.
Redacción – Que se roben nombres de usuario y contraseñas de servicios online no es algo fuera de lo común, e incluso podríamos afirmar que pasa con cierta regularidad. Su uso se destina principalmente al cibercrimen, a enviar correo basura o a apoderarse de datos personales más sensibles como números de tarjetas de crédito. No obstante, el presente caso se sale de lo habitual.
Según informa en exclusiva el sitio web Neowin -información reproducida posteriormente por otros medios- hasta 20.000 nombres de usuario y contraseñas de cuentas, sobretodo de Hotmail pero también de otros proveedores de servicio como Gmail (propiedad de Google), o Yahoo! Mail, habrían sido expuestos en un sitio web, con lo cual dicha información habría estado al alcance de todos los millones de internautas que se conectan a la Red. Pese a que la página en la que se exponían ha sido retirada, es imposible saber si su contenido fue copiado por alguno de los internautas que la visitaron mientras estuvo online, cuantos afectados han cambiado a tiempo su contraseña y a cuantos ya les han entrado en su cuenta.
El alcance va más allá de poder acceder al correo de otros; cambiando la contraseña, es posible “secuestrar” la cuenta, pidiendo dinero a cambio de liberarla. O usurpar la identidad de una persona enviando mensajes como si fuera en su nombre.
Para los servicios de mensajería instantánea de algunos de los proveedores afectados, el nombre de usuario y contraseña de acceso coincide con los datos de acceso al correo electrónico, por lo que también es fácil apoderarse de información de contactos e incluso simular ser esa misma persona en chats online, con lo que se conseguiría no solo información sensible del poseedor de la cuenta usurpada, sino también de sus contactos directos.
La forma de obtener los datos expuestos ha sido mediante técnicas de phishing; alguien o alguna organización han enviado multitud de mensajes a usuarios de estos servicios de correo, simulando que estos procedían de la administración del proveedor de servicio. En dichos mensajes se solicitaba al usuario rellenar algún tipo de cuestionario online para finalizar un supuesto trámite de configuración de su cuenta, algo que evidentemente era un engaño para que el usuario mandara su contraseña.
“Pescando” internautas incautos
Algunos mensajes de phishing son bastante sofisticados, aunque con un poco de atención se pueden llegar a detectar. Para no caer en los ardides de quienes se dedican a emplear estas tácticas para sus oscuras finalidades, hay que tener muy claro que debemos ser un poco paranoicos para sospechar sistemáticamente de todos los mensajes de correo electrónico que nos lleguen, sean de fuentes conocidas o desconocidas.
Esto no quiere decir que clasifiquemos automáticamente todo el correo como spam, pues entonces sería mejor no disponer de buzón, pero si que tengamos presente que falsear el remite es algo bastante simple.
La apariencia de un mensaje, esto es, los logotipos de cualquier empresa y su forma de redactado, pueden ser fácilmente reproducibles, pues se encuentran en cualquier sitio web que posea la empresa objeto del ataque. Por ejemplo, miles de los internautas que han caído víctimas en este caso son usuarios de Hotmail, y a sus buzones llegó un mensaje de phishing con los logotipos de Microsoft y el servicio Live de la misma compañía.
Por último hay que tener una regla muy presente: ninguna empresa ni servicio online nos solicitará que le enviemos datos personales -incluyendo nombres de usuario y contraseñas- vía correo electrónico, y tampoco incluirá en el mensaje que nos envíe un enlace a un formulario para llevar a cabo dicha tarea. Si leyendo un mensaje vemos la mínima posibilidad de que lo que se nos solicita sea cierto, deberemos entrar manualmente la dirección de la página principal del sitio web de la empresa en nuestro navegador y, a partir de ahí, buscar en sus páginas. Si no lo vemos claro, una llamada telefónica puede ahorrarnos un buen susto...
Copyleft 2009 www.imatica.org
Esta obra se encuentra sujeta a la siguiente licencia:
La difusión, reproducción y traducción de este texto se permite libremente en cualquier medio o soporte con las únicas obligaciones de mantener la presente licencia e incluir un enlace o referencia a la página en la que se encuentra el original dentro del servidor www.imatica.org . En medios audiovisuales se requiere la cita al medio www.imatica.org
