¿Están nuestros
datos a buen recaudo? La semana pasada nos sobresaltamos con la noticia de que
Lastpass, uno de los gestores de contraseñas más conocidos, había sido hackeado y miles de cuentas de usuarios de todo el
globoestaban
comprometidas. Y no estamos hablando de una cuenta en la que
almacenamos fotos, sino de un sistema al que confiamos todas nuestras
contraseñas.
Estos servicios
prometían, en teoría, una mayor seguridad al permitir al usuario asignar una
contraseña a cada acceso y cifrar el contenido, y pronto surgieron las dudas.
¿Hay algo realmente seguro
en internet? Parece que hay acuerdo entre los expertos en que la verificación
en dos pasos (es decir, que el servicio nos envíe un código
temporal al móvil mediante SMS) es el sistema más seguro. Pero nos va a durar
poco la tranquilidad, puesto que Symantec ha alertado de una sencillísima
manera de acceder a cuentas protegidas con la doble
verificación, como Gmail, por ejemplo. Y en unos pocos pasos.
La firma de
seguridad ha encontrado una vulnerabilidad en el método de verificación en dos
pasos no tanto en el sistema, sino en su ejecución. En el caso descubierto por
Symantec, el atacante debe conocer dos datos de la víctima para poder acceder a
su cuenta: su correo
electrónico y su móvil. Como ven, no es una información
realmente difícil de obtener.
Una vez conseguidos
estos datos, el funcionamiento de esta práctica descam es el
siguiente: el usuario intenta acceder a uno de los servicios que empleen este
método de seguridad e introduce deliberadamente una contraseña equivocada (a
fin de cuentas no conoce la reall). A partir de ese punto, el sistema alerta
del error y propone la recuperación de la misma, enviando un código de
seguridad mediante mensaje de texto al móvil.
Es aquí donde el
método de seguridad flaquea, como podrán suponer, por la intervención humana.
El atacante, una vez requerido el SMS a Gmail, envía otro mensaje de texto
desde un móvil identificándose como Google y alertando de que la cuenta está
siendo atacada y que debe responderse a ese mensaje indicando el código que le
habrá llegado en otro SMS.
Pónganse en el
pellejo de la víctima: una secuencia de mensajes con apenas unos segundos de
diferencia y la alerta de un ataque sobre su cuenta. Si a uno le pillan con la
cabeza en otro lado o no es muy avezado en el uso de la tecnología, es fácil
que el impulso sea enviar el código de seguridad al hacker, que con él, podrá
acceder a la cuenta con una nueva contraseña. Graham Culley alerta, además, de un peligro
añadido de este ataque.
La víctima tarde o
temprano se dará cuenta del acceso no deseado a su cuenta, y lo primero que
hará será cambiar la
contraseña, pensando que con esta acción terminará la pesadilla.
Pero no. El hacker seguirá accediendo a su
correo desde el programa con que lo haya configurado a menos que la víctima
modifique los accesos en la configuración, algo que, lógicamente, no todo el
mundo tendrá en cuenta o sabrá hacer.
Ante todo, sentido
común
¿Cómo prevenir este
ataque? Solemos tener una falsa sensación de seguridad al creer que no vamos a
ser tan estúpidos como para caer en la trampa, pero por desgracia, nuestro
nivel de alerta puede descender en determinadas circunstancias. Symantec
explica que ningún servicio le pedirá la respuesta a un mensaje o correo. Lo
mismo sucede con los bancos, que se curan de informar bien a sus clientes que
jamás solicitarán información suya mediante correo electrónico.
En esta semana horribilis de la seguridad en internet, otro
gigante, Apple, en este caso, está también en el disparadero. No por una sino por varias flaquezasen
sus diferentes sistemas de seguridad. En el caso de los de Cupertino, se está
trabajando ya en varios parches que solucionen esta situación, y entre tanto,
nuestro mejor aliado será siempre el sentido común.
0 comentaris:
Publicar un comentario