Por Ariel Torres
Como he visto que le hackearon las cuentas de mail y
Twitter a mucha gente importante -lo que me dio a pensar qué queda,
pues, para el resto de nosotros-, haré mi pequeño aporte al bien de la
nación con una serie de medidas simples y fáciles de implementar para
evitar esta clase de atracos virtuales. En general, el procedimiento
aplica también a otros servicios, como Facebook, Twitter y así.
Favor de anotar.
Contraseñas
Al menos la mitad de los robos de cuentas de correo
electrónico que me ha tocado resolver tenía un factor común: una
contraseña cómicamente fácil de adivinar. En un caso, cuando menos, la
persona usaba su número de teléfono o la dirección postal. Cuando le
dije: "Interesante, vos ponés la clave de tu correo en la puerta de tu
casa, a la vista de todo el mundo", me respondió: "Ay, Ariel, cómo te
gusta complicar las cosas, ¿eh?"
En fin. Si usa 123456 o RiverCampeón, es lo mismo que
ponerle a su casa una cerradura de bizcochuelo. Con BocaCampeón tampoco
va a funcionar, quedan avisados.
Así que, para no tener que estar dándole a todo el
mundo la patética explicación de que a uno le hackearon una cuenta,
póngale una contraseña robusta. ¿Qué significa esto? Que no sea fácil de
adivinar, como mínimo. Si además puede ser resistente a ataques de
fuerza bruta, aunque éstos no sean la práctica habitual para quebrantar
el mail, mejor. ¿Qué carámbanos es un ataque de fuerza bruta? Correr un
programa que prueba todas las posibles combinaciones de caracteres hasta
acertar con la clave. Así que si le puso pepe61, garantido, está en
riesgo.
¿Por qué usar una contraseña resistente a ataques en el
mail, cuando los programas de fuerza bruta no sirven ahí? Por varias
razones, pero por una en particular: todo este asunto de las contraseñas
es más una cuestión de costumbre y disciplina que de otra cosa. Lo diré
así: si usted tiene una contraseña como qwerty en su correo casi
seguramente también tendrá una clave débil en su cuenta de Windows,
donde los ataques de fuerza bruta sí son viables. Puede resultar un poco
molesto al principio, pero luego de adoptar el hábito estará usando
buenas contraseñas en todas partes.
En esta columna, algunas pistas para crear contraseñas resistentes y a la vez fáciles de recordar: www.lanacion.com.ar/909837
Wi-Fi públicos sin clave
Los Wi-Fi públicos sin contraseña son la segunda causa
más común de cuentas que mágicamente se salen de nuestro control. O así
era hasta hace no mucho.
El porqué es bastante sencillo: Wi-Fi no es, a pesar de
lo que se suele creer, una forma de conectarse con Internet, sino una
forma de conectar dispositivos en red. En lugar de cables se usan ondas
de radio. O sea que la información que usamos va y viene por el aire
(aunque, en rigor, no hace falta aire).
Así que cualquiera con una notebook, un smartphone o
una tablet y un poco de conocimiento podrá capturar nuestras cookies de
sesión, impostar nuestra identidad ante el servicio de que se trate y
quedarse con la cuenta. No obstante, veo todos los días docenas de
personas usar alegremente los Wi-Fi públicos sin contraseña para leer el
mail. ¿Es lo normal, no?
Sí, es lo normal, pero puede ser también muy riesgoso.
Así que el otro consejo fundamental es dejar de usar los Wi-Fi no
cifrados. Ante la duda, si no tuvo que ingresar una contraseña para
conectarse a la red Wi-Fi, entonces no lo use para el correo
electrónico.
Redes privadas virtuales
Ahora, esta medida puede ser demasiado estricta para la
mayoría de las personas que trabajan en movimiento. Pues bien, si
realmente necesitamos usar cualquier Wi-Fi que nos caiga cerca, lo ideal
sería hacerlo por medio de una red privada virtual. Si trabaja en una
compañía más o menos grande, sin duda su notebook usara una de estas
conexiones de túnel. Si no, y si cree que amerita el gasto, puede probar
algunos de los servicios basados en el software libre OpenVPN ( http://openvpn.net ). El que aparece en su portada ( www.privatetunnel.com
) tiene una prueba gratis de 100 MB de tráfico, pero cuidado. Es por
una sola vez, no por día. Cuando se agotan esos 100 MB, no hay forma de
seguir usando el servicio. Por lo tanto, a los fines prácticos, es
comercial.
Hay también servicios gratis (como Cyber Ghost y proXPN), pero todavía no los he probado. Prometo ocuparme.
La solución más geek, y sin duda más compleja, es poner
tu propio servidor de red privada virtual en tu casa y usarlo desde
cualquier parte.
Pero, de nuevo, estas soluciones pueden resultar
demasiado para muchas personas. No se preocupe, las cosas han mejorado
un poco últimamente -ya verá por qué- y con algo de configuración su
cuenta de correo puede quedar bastante protegida.
Navegación segura o HTTPS
Hasta que apareció el Firesheep ( http://blogs.lanacion.com.ar/freeware/otros/ahora-cualquiera-puede-robar-tu-cuenta-de-facebook-y-twitter-como-protegerse/
) muchos servicios online extraordinariamente populares, como Hotmail,
Twitter y Facebook, no encriptaban toda la sesión. Sólo cifraban el
tráfico de datos cuando escribíamos el nombre de usuario y la
contraseña. Después ya no. ¿Por qué? Por una serie de motivos, todos
basados en la rentabilidad.
La ovejita de fuego fue una forma quizá censurable,
pero al parecer efectiva de terminar con esto. Hoy, los servicios
mencionados ofrecen cifrar toda la sesión. Es decir, usar https en lugar
de http todo el tiempo. Esto impide, en principio, el robo de cookies y
la suplantación de identidad frente al servicio. Así que ya no hace
falta instalar nada; alcanza con activar la función desde dentro de
Facebook, Twitter y Hotmail.
* En Facebook hay que ir a Configuración de la cuenta > Seguridad > Navegación segura ( www.facebook.com/settings?tab=security§ion=browsing&view ).
* En Twitter hay que ir a Configuración > Cuenta > Usar siempre HTTPS ( https://twitter.com/settings/account ).
* En Hotmail es bastante más complicado, porque la opción está muy escondida, pero se llega directamente con este link: https://account.live.com/ManageSSL
En todos los casos, si usa los links, deberá ingresar con nombre de usuario y contraseña.
Ciertamente, si un servicio de correo o de red social
no brinda la opción de usar https durante toda la sesión, mi mejor
consejo es no usarlo desde una conexión pública no cifrada.
¡Cierren esa puerta!
Quizá no hace falta que lo diga, pero no es una gran
idea utilizar un locutorio para el correo y las redes sociales. Pero
para muchas personas es la única solución posible. Ahora, ¿cómo
asegurarse de que no dejamos atrás información que un aprendiz de pirata
podría usar para robarnos la cuenta? Bueno, es un asunto algo largo,
pero al menos ¡cierre la sesión! En mis últimas vacaciones y en las
anteriores y en las otras y así por varios años he visto en computadoras
de hoteles y locutorios sesiones abiertas de Hotmail, Facebook y demás.
Luego, mire la pantalla donde pone el nombre de usuario
y la contraseña, y fíjese si existe la opción Mantenerme conectado o No
cerrar sesión. Nunca ponga un tilde ahí.
Si cierra la sesión de la forma adecuada (es decir,
mediante un menú), esta opción no es peligrosa. Pero por mis
observaciones lo más común es que las personas cierren el browser, no la
sesión. Si, habiendo activado la función No cerrar sesión, cierra el
navegador y viene alguien atrás y abre ese mismo navegador, entrará
directo a su cuenta de Facebook o Gmail, por citar dos muy sensibles.
Algo más sobre la seguridad al usar PC públicas, aquí: www.lanacion.com.ar/1221981
Ingeniería social
¿Cuál es el método más empleado hoy para robar cuentas
de correo? Invitarte a abrir algo (puede incluso ser un PDF) que te
llega por mail y que cuando le das doble clic instala un malware en tu
equipo. Muy circular, pero de lo más frecuente, me dicen personas que se
dedican a cuidar la seguridad de redes de empresas e instituciones.
Así que volvemos, al menos de momento, a las fuentes.
Hay que pensar muy bien antes de darle doble clic a los adjuntos, sobre
todo a los más tentadores. Fue así, después de todo, como los piratas
informáticos lograron ingresar en una de las redes más seguras del
planeta, la de RSA, hace casi exactamente un año.