Prevenir robo de contraseñas y secuestro de cuentas

publicado a la‎(s)‎ 28 oct 2012, 17:37 por Marcel Guzmán de Rojas Wesner   [ actualizado el 5 ene 2023, 3:42 ]
Obtener (robar) la contraseña de una cuenta se ha vuelto trivial. Un niño de 12 años con curiosidad informática lo puede lograr sin dificultad en pocos minutos. Uno de los lugares donde con mayor frecuencia se roban contraseñas son los laboratorios de informática de las escuelas, y este tipo de incidentes son cada vez más frecuentes. Los programas antivirus, las comunicaciones cifradas, los cortafuegos (firewalls) están indefensos ante esta amenaza y únicamente generan una falsa sensación de seguridad a sus usuarios.

¿Cómo se roba una contraseña? Con un programa espía llamado Keylogger. Un keylogger registra los que el usuario escribe en el teclado. Muchos keylogger son identificados y anulados por los programas antivirus, pero cada día aparecen variantes nuevas y los antivirus no pueden mantener el paso de la creación de nuevos Keylogger. Obtener un Keylogger está a una búsqueda en Google de distancia. Instalarlo es tan sencillo que un niño de 12 años no tiene dificultad de jugarle una (peligrosa) broma a sus compañeros.

Instalar un Keylogger en una computadora pública es trivial, es por esto que usar computadoras públicas es riesgoso. Los Keyloggers se encuentran en sitios de descargas de música, películas y software pirata. La copias pirata de programas para computadora por lo general incluyen un Keylogger o un Netboot. Instalar un Keylogger en una computadora privada puede ser un poco más difícil, sobre todo en la computadora de un usuario conocedor de seguridad informática.

Existen servicios de hackers que por menos de US$100 roban la contraseña de usuarios específicos, por lo general en menos de 48 horas. Lo que todavía nos protege con este servicio, es que como la mayoría de los servicios piratas, muchos de estos servicios son sencillamente un engaño.
Es importante tener conciencia de que la mayoría de los robos de contraseñas no requieren contratar a un hacker ni instalar un Keylogger. La mayoría de los casos de robo de contraseña ocurren porque el usuario tiene una contraseña muy común o es una palabra o número muy fácilmente ligada al usuario, por ejemplo el nombre de la enamorada(o).

La buena noticia es que es fácil protegerse mediante la autenticación de dos pasos. Cada día más servicios implantan esta autenticación. Los bancos comenzaron con la autenticación de dos pasos y varios servicios como Gmail, Facebook y Dropbox la implementaron este año.

La autenticación en dos pasos es muy sencilla. En una primera pantalla se coloca la conocida dirección de correo electrónico o nombre de cuenta y en otro campo la contraseña. Si ambos son correctos se pasa a una segunda pantalla o un campo adicional que pide un número de corta vigencia, que cambia cada número. Este número se puede obtener con los dispositivos de generación de claves que muchos bancos ofrecen a sus clientes, mediante un SMS o con un programa de generación de claves instalado en un teléfono inteligente.

Para el hacker es imposible adivinar el número de verificación, aunque haya registrado este número en una transacción, en la siguiente transacción el número será distinto. Si el hacker te roba el teléfono o dispositivo generador, todavía tiene que saber tu contraseña. Si logra ambos, o te apunta con una pistola, el hacker obtendrá acceso temporal a tu cuenta. Todavía tienes la posibilidad de anular el dispositivo de generación de números y cambiar tu contraseña. Algunos servicios como Gmail implementan métodos alternativos que permiten recuperar tu cuenta aún cuando tanto tu contraseña ha sido comprometida como tu dispositivo robado.

En Gmail, Facebook y Dropbox puedes activar la autenticación de dos pasos en la configuración de las opciones de seguridad de la cuenta. Activar un mensaje SMS con el código de verificación te tomará 5 a 10 minutos. Este método tiene la limitación de que si estás en un área donde no tienes servicio celular, no podrás obtener el código de verificación. Para superar este problema puedes instalar y registrar un programa como Google Authenticator en tu teléfono Android, iPhone o Blackberry.

Poner un código de autenticación en tu propia computadora cada vez que ingresas al correo no es práctico. Es posible habilitar el código para 30 días o en algunos casos permanentemente. También es posible deshabilitar una computadora que tiene un código de autenticación activado.
¿Te gustó el artículo? ¿Quisieras recibir más artículos sobre colaboración electrónica, seguridad informática y otros temas interesantes? Sígueme en:
  1. Google plus: coloca a marcel@guzral.com en uno de tus círculos.
  2. Twitter sigue a: @marcelgw
  3. Facebook, haz me gusta a la página http://www.facebook.com/AprendiendoGM
Necesitas consultoría en colaboración electrónica, optimización del trabajo en equipo o seguridad informática, contactame a marcel@guzral.com.

Artículos relacionados: