Antes que nada, este es el primer articulo de nuestro nuevo colaborador jia200x. Decir que es un honor que lo tengamos aquí en el blog, pues es un genio de la informática y de muchas otras cosas. Esperamos ver más aportes de el.

Debido a las múltiples dudas, he decidido aclarar ciertas situaciones relativas a la seguridad en internet y sus derivados, retocando de vez en cuando las situaciones locales.

“Me llegó un mail diciendo que no agregara a un tal juanitoperez@hotmail.com, porque dice que es un jaker que borrará todos los datos de mi computador”

Este tipo de mensajes generalmente son un hoax (una falsa alarma).  ¿Cuál es el fin? O bien, generar bases de datos a partir de los mails que se reenvían, o simplemente generar molestias entre los usuarios.  En el caso de que el usuario fuera real, no debemos olvidar que la dirección de e-mail NO está relacionada con el computador; por lo tanto, a menos que Juanito Perez logre introducir algún programa de control remoto en nuestros computadores (para esto, previamente debe habernos contactado), o que ocupe algún agujero de seguridad, no podrá acceder a nuestro equipo sabiendo la dirección de correo.

“¡Dios mío! Me ha llegado un e-mail que dice que el programa de Messenger será de pago en un par de meses, y que para evitar esto, debo enviar el mensaje a XX personas”

¡Dios mío! El calibre de cosas que puede inventar el ser humano…

El servicio Messenger Service es un servicio gratuito financiado por publicidad, Microsoft jamás se arriesgaría a cometer un delito como aquel, obligando a los usuarios a migrar a otras alternativas. Por otro lado, no existen sistemas de control de envío de mensajes entre usuarios: No porque envíes un mensaje a XX personas, vas a producir un cambio tanto en tu cuenta como en el servicio (a no ser que sea una junta de firmas o alguna variante, pero no va al caso).

Además, si los programas clientes “MSN Messenger” o “Windows Live Messenger” comenzaran a ser de pago, se pontenciarían las alternativas (como A-Msn)

Entonces, ¿Cuál es el origen de estos HOAX (léase consulta anterior)? El 70% de los casos, estos mensajes que son reenviados, sirven para recolectar cuentas de e-mail, que posteriormente son vendidas como bases de datos para prácticas ilegales (como enviar spam).

“Creo que ya soy todo un jaker, descubrí que puedo enviar un mensaje a service_password_lost@hotmail.com con mi user y password, y logro confundir al sistema, enviándome la clave de la cuenta víctima. Pues, ¡Que listo soy!“

Querido Lammer:

El sistema de autentificación de servicios como Hotmail es bastante más complejo que un simple e-mail. NO es posible confundir al sistema con texto de esa forma. Probablemente, la dirección service_password_lost@hotmail.com sea de algún lammer más astuto que tú, que logra que caigas en su trampa, enviando tu contraseña.

Este “novedoso y rápido sistema de jaker” se comenta mucho a lo largo de internet, y deben comprender que no es más que un fraude.

“Creo que ya entendí. El sistema de Messenger Service es muy seguro, porque de la misma forma que yo intento buscarle vulnerabilidades para explotarlas, ellos las buscan para arreglarlas. Sin embargo, ¿Por qué existen robos de contraseñas?”

El 90% de los ataques satisfactorios relativos al robo de contraseñas en las cuentas de e-mail o servicios de mensajes (MSN, AOL, etc),  son gracias a la ingeniería social (identidades falsas, sistemas de postales engañosas, o cualquier sistema en la cual se logre que el usuario entregue su clave), o a la simplicidad de la “Pregunta Secreta”.

El 10% restante, se debe a diversas causas. Entre ellas:

• Descuido del usuario al aceptar la transferencia de  algún programa capturador de teclas, y ejecutarlo para beneficio del atacante
• Técnicas de cracking (Fuerza Bruta, poco efectiva en este sistema)
• Bugs del servicio o del cliente: Cross Site Scripting (XSS), inyección de SQL, buffer overflow (sobrecarga de buffer, ya hablaré de ello), inyección de código

Respecto a los bugs del servicio, la mayoría están parchados, es prácticamente imposible acceder a la clave de una cuenta sin fuerza bruta.

Pero se han detectado horribles fallas en los clientes de Messenger Service. Por dar un ejemplo, un equipo descubrió que era posible inyectar código en imágenes PNG cargadas desde el avatar.

PD: ¿Alguien dijo XSS?

“Me considero un usuario responsable, no confío en extraños, jamás aceptaría un programa de alguien, confío en que es muy difícil obtener una clave en el servicio Messenger por fuerza bruta, debido al tiempo empleado; así que me declaro una persona invulnerable al robo de contraseña”

SÍ. Alguien dijo XSS.

Cross Site Scripting es una técnica de inyección de código en el cliente (JavaScript, para ser más exacto). JavaScript puede obtener cookies del documento, y los puede enviar a un servidor para que los almacene, y que el atacante pueda acceder a tú cuenta, utilizando tú sesión.

Por lo tanto, si eres paranóico, no aceptes un link de hotmail de un desconocido.

Espero que éste FAQ sirva como referencia de comportamiento ciberespacial, y que les sea útil.