Cómo cifrar tu email paso a paso y evitar que te 'hackeen'

Hace unos días, unos hackers no identificados lograron acceder a la cuenta de correo personal del director de la CIA, alojada en el proveedor norteamericano AOL, filtrando posteriormente documentación sensible que Wikileaks ha publicado en abierto. En internet estamos acostumbrados a ver cómo se vulnera la privacidad de muchos usuarios, y que alguien lograse acceder a la cuenta de correo de otra persona no es algo nuevo; pero que el hackeado tenga el cargo de director de la CIA lo convierte en un caso relevante.

La realidad entorno a la seguridad informática es que es todo una gran ilusión: hablamos de sistemas creados por personas y que por tanto están expuestos a fallos de programación. ¿Significa esto que debemos resignarnos a que en algún momento alguien pueda acceder a nuestro correo o conversaciones? No del todo: existen formas de que tus conversaciones se mantengan privadas si eres capaz de hacer frente a una ligera complejidad técnica.

Los delincuentes informáticos que accedieron a la cuenta del director de la CIA no usaron ninguna táctica especialmente compleja, sino que se valieron de la llamada ingeniería social para engañar a un trabajador de la operadora Verizon, ahora dueña de AOL. Con algunos datos personales filtrados en internet, lograron cambiar la contraseña de la cuenta y acceder a toda la información.

Esto indica que, aunque se usen contraseñas fuertes, no sirve de nada si no tenemos cuidado con la información personal que existe sobre nosotros en la red y a la que cualquiera puede acceder.

Antes de cifrar: ¿Qué tener en cuenta?

La seguridad es un esfuerzo continuo. Por desgracia no sirve de nada tener una buena contraseña y desentenderse a partir de ahí.

Algunos consejos iniciales. Para empezar, si tu servicio lo permite, usa la verificación en dos pasos. Google, Apple, Yahoo y Microsoft ofrecen formas de activar un sistema que requiere que tengas un dispositivo cerca para verificar tu identidad.

Evidentemente, utiliza diferentes contraseñas para diferentes servicios. Uno de los mejores trucos es pensar en una frase larga que sólo tú conozcas. Usar una contraseña que use números y símbolos no es siempre totalmente seguro. ¿Quieres comprobar cómo de segura es tu clave? Usa servicios como How Secure is my Password? para comprobar su fortaleza.

Es normal que una persona esté registrada en varios sitios y, para almacenar todas las contraseñas, la solución más práctica es usar alguna aplicación dedicada a gestionar claves. Por ejemplo, LastPass es compatible con navegadores y todo tipo de sistemas operativos. En ella puedes guardar las contraseñas asociadas a las webs. Otra solución es 1password, disponible para todos los sistemas operativos.

Estas dos aplicaciones te alertan de cuando una base de datos con usuarios y contraseñas se ha filtrado en internet, para que decidas si quieres cambiar la tuya por seguridad. También reconocen las contraseñas repetidas en diferentes servicios para que pgeneres otras nuevas.

Si quieres una solución total para correo electrónico, deberías echar un vistazo aProtonMail. La empresa que hay detrás de este servicio asegura que todos los mensajes van cifrados de punta a punta, por lo que nadie podrá acceder a los datos a no ser que disponga de la contraseña del usuario.

PGP: la mejor forma de cifrar correos electrónicos

El correo electrónico tiene más de veinte años y sigue siendo una de las formas de comunicación más usadas del mundo. Un estudio de The Radicati Groupcifra que en 2015 se habrán mandado alrededor de 4.000 millones de mensajes, de los cuales más de 3.000 millones son correos personales.

Para proteger estos mensajes no existe mejor forma que cifrarlos. Para ello lo más seguro es usar PGP (Pretty Good Privacy). Este software toma un texto plano y y lo convierte en una serie de caracteres que para cualquier persona no tiene sentido.

Este galimatías se genera gracias a llaves especiales que un usuario tiene que generar, una privada que nunca debe compartirse y otra pública que proporciona a otras personas para que puedan descifrar tus mensajes. De la misma forma, tú deberás tener la clave pública del usuario que te envíe un correo cifrado, o no podrás leerlo.

Mailvelope cifra correos en Gmail, Outlook…

No existe una forma rápida de cifrar y descifrar mensajes, pero sí existe una forma segura y simple: Mailvelope. Es una extensión para los navegadoresChrome y Firefox que funciona con los servicios de correo más comunes: Gmail, Outlook.com o Yahoo!Mail.

Una vez instales la extensión tendrás que configurar tus claves. Pulsa sobre el icono de la aplicación en la barra de direcciones y pulsa en Opciones. En la nueva ventana de configuración selecciona Generar clave.

Escribe tu nombre, correo electrónico al que se asociará la clave y una contraseña. Esta debe ser lo más robusta posible. Cuanto más larga, más segura. Al pulsar sobre Enviar se empezarán a generar las dos claves: la pública que puedes dar a cualquier persona y una privada que nunca debes divulgar.

En la sección Mostrar Claves encontrarás la que acabas de crear. Accediendo a ella podrás ver en la pestaña Exportar tu clave pública y tu clave privada.

Aún falta un paso más para poder empezar a escribir correos cifrados y es conocer la clave de la otra persona. Una vez la obtengas, deberás importarla enImportar Claves.

Listo, ahora puedes ir a Redactar y verás un icono en la parte superior derecha. Pulsándola se abrirá una nueva ventana que es donde deberás escribir el mensaje que quieres enviar.

Una vez termines de escribir el mensaje, pulsa sobre Cifrar, elige el correo del destinatario, pulsa Añadir y Aceptar. En la ventana verás tu mensaje cifrado, pulsa sobre Transferir y se pegará el mensaje en tu correo.

Al recibir un correo, Mailvelope identificará que se trata de un correo que necesita ser descifrado. Si tienes la clave pública del remitente, con un solo clic puedes descifrar el mensaje.

No es un proceso sencillo: tiene varios pasos y se necesita un mínimo de conocimientos de cómo instalar una extensión o cómo gestionar contraseñas. Pero es un sistema seguro y es lo mínimo que se puede hacer para mantener tus conversaciones fuera de las miradas de terceras personas

Read more »

Está segura nuestra cuenta Gmail ?

¿Están nuestros datos a buen recaudo? La semana pasada nos sobresaltamos con la noticia de que Lastpass, uno de los gestores de contraseñas más conocidos, había sido hackeado y miles de cuentas de usuarios de todo el globoestaban comprometidas. Y no estamos hablando de una cuenta en la que almacenamos fotos, sino de un sistema al que confiamos todas nuestras contraseñas.

Estos servicios prometían, en teoría, una mayor seguridad al permitir al usuario asignar una contraseña a cada acceso y cifrar el contenido, y pronto surgieron las dudas. ¿Hay algo realmente seguro en internet? Parece que hay acuerdo entre los expertos en que la verificación en dos pasos (es decir, que el servicio nos envíe un código temporal al móvil mediante SMS) es el sistema más seguro. Pero nos va a durar poco la tranquilidad, puesto que Symantec ha alertado de una sencillísima manera de acceder a cuentas protegidas con la doble verificación, como Gmail, por ejemplo. Y en unos pocos pasos.

La firma de seguridad ha encontrado una vulnerabilidad en el método de verificación en dos pasos no tanto en el sistema, sino en su ejecución. En el caso descubierto por Symantec, el atacante debe conocer dos datos de la víctima para poder acceder a su cuenta: su correo electrónico y su móvil. Como ven, no es una información realmente difícil de obtener.

Una vez conseguidos estos datos, el funcionamiento de esta práctica descam es el siguiente: el usuario intenta acceder a uno de los servicios que empleen este método de seguridad e introduce deliberadamente una contraseña equivocada (a fin de cuentas no conoce la reall). A partir de ese punto, el sistema alerta del error y propone la recuperación de la misma, enviando un código de seguridad mediante mensaje de texto al móvil.

Es aquí donde el método de seguridad flaquea, como podrán suponer, por la intervención humana. El atacante, una vez requerido el SMS a Gmail, envía otro mensaje de texto desde un móvil identificándose como Google y alertando de que la cuenta está siendo atacada y que debe responderse a ese mensaje indicando el código que le habrá llegado en otro SMS.

Pónganse en el pellejo de la víctima: una secuencia de mensajes con apenas unos segundos de diferencia y la alerta de un ataque sobre su cuenta. Si a uno le pillan con la cabeza en otro lado o no es muy avezado en el uso de la tecnología, es fácil que el impulso sea enviar el código de seguridad al hacker, que con él, podrá acceder a la cuenta con una nueva contraseña. Graham Culley alerta, además, de un peligro añadido de este ataque.

La víctima tarde o temprano se dará cuenta del acceso no deseado a su cuenta, y lo primero que hará será cambiar la contraseña, pensando que con esta acción terminará la pesadilla. Pero no. El hacker seguirá accediendo a su correo desde el programa con que lo haya configurado a menos que la víctima modifique los accesos en la configuración, algo que, lógicamente, no todo el mundo tendrá en cuenta o sabrá hacer.

Ante todo, sentido común

¿Cómo prevenir este ataque? Solemos tener una falsa sensación de seguridad al creer que no vamos a ser tan estúpidos como para caer en la trampa, pero por desgracia, nuestro nivel de alerta puede descender en determinadas circunstancias. Symantec explica que ningún servicio le pedirá la respuesta a un mensaje o correo. Lo mismo sucede con los bancos, que se curan de informar bien a sus clientes que jamás solicitarán información suya mediante correo electrónico.

En esta semana horribilis de la seguridad en internet, otro gigante, Apple, en este caso, está también en el disparadero. No por una sino por varias flaquezasen sus diferentes sistemas de seguridad. En el caso de los de Cupertino, se está trabajando ya en varios parches que solucionen esta situación, y entre tanto, nuestro mejor aliado será siempre el sentido común.

Read more »

Robo de claves del correo electrónico

Gmail puso de moda no borrar los emails, por lo que acabas guardando toda tu vida. Te pueden robar la clave y te quedas si tu historia. Que métodos utilizan para robarte las claves ? y como puedes prevenir el robo?

Read more »