Webmails en la mira

Webmails en la mira

Después del caso de los correos de Yahoo! hackeados desde China, Javier Richarte te explica cómo pudo haber pasado y qué deberías hacer para proteger mejor tus datos.

Este artículo fue publicado originalmente en la edición de mayo de 2010 de DattaMagazine, la revista de tecnología de Dattatec.
Autor: Javier Richarte – javier.richarte@dattamagazine.com

Otra reciente noticia relacionada con la seguridad informática llegó a los medios masivos. Esta vez, relacionada con cuentas de correo de Yahoo! hackeadas desde China; que se suman a los cuantiosos casos de cuentas de GMail vulneradas durante diciembre de 2009 y enero de 2010, pero en esta ocasión con una particularidad: los afectados fueron únicamente periodistas y activistas cuyo trabajo se vincula con China. Además, lo sospechoso es que esto ocurrió -casualidad o no- pocos días después de que Google anunciara la mudanza de su servicio de búsqueda en idioma chino fuera del gigante asiático, a raíz del hostigamiento y censura abusiva por parte de su gobierno.

LA NOTICIA

Varios periodistas con base en China y Taiwán, no pudieron ingresar a sus cuentas de webmail de Yahoo desde el 25 de marzo hasta semanas después. En recientes declaraciones a la prensa, dijeron que sus contraseñas fueron cambiadas temporalmente y luego restablecidas. Durante ese lapso -los afectados sospechan- una copia de toda la información crítica fue descargada.

Otros periodistas, en cambio, notaron en la configuración de sus cuentas de GMail que copias de los sus mensajes de correo entrantes y salientes eran enviadas a direcciones desconocidas, sin consentimiento. ¿Hackers chinos de suma experiencia trabajando para el gobierno?

En el caso de Yahoo, se pueden barajar dos hipótesis: complicidad del portal con las autoridades de China o phishing. La única prueba existente para sugerir la acusación a Yahoo de brindar información (supuestamente confidencial) al gobierno chino se basa en lo ocurrido en el año 2004 con el periodista chino Shi Tao, quien fue sentenciado a diez años de prisión por revelar secretos de estado y, al momento del juicio, el servicio de webmail ofreció a las autoridades del país oriental detalles sobre su cuenta, lo cual perjudicó al acusado. Si bien la cuestión es más que evidente, dejemos de lado las conspiraciones por un momento y centrémonos en la otra posibilidad: el phishing.

PHISHING

Se trata de una modalidad más de ingeniería social con el único objetivo de obtener datos, contraseñas, acceso a las cuentas bancarias o capturar números de tarjeta de crédito de un usuario (conocido o no) para luego utilizarlos de forma fraudulenta, como por ejemplo, realizar estafas o husmear una cuenta de webmail.

Consiste en engañar al usuario de determinado servicio haciéndose pasar o haciendo pasar un mensaje como oficial, cuando en realidad es falso. En esa transacción se le solicita al usuario sus datos personales, incluyendo contraseñas y claves. ¿Recuerdan los casos de teclados falsos, lectores de tarjetas y minicámaras instaladas en cajeros automáticos? Ese es uno de los métodos más antiguos y precarios de phishing, pero no por eso menos efectivos.

Hoy en día se realiza mediante una combinación de correo electrónico (para notificar la solicitud de la información personal) y un sitio web falso, pero muy parecido al oficial (para registrar los datos que ingenuamente el usuario ingrese).
De hecho, este es el mecanismo el más utilizado y también el más conocido. Los usuarios reciben un correo electrónico que emula ser de una entidad (pareciendo casi el real, con logotipos, el mismo diseño y presentación que el oficial). La información es supuestamente requerida por asuntos de seguridad, encuestas, mejoras en el servicio, mantenimiento, confirmación de identidad, etc. para que el noble usuario facilite la información deseada. El mensaje de e-mail contiene además enlaces falsos o formularios para rellenar directamente.

Aprovechan también las vulnerabilidades de los navegadores y/o software cliente de correo, para que el usuario ingrese los datos personales sin saber que los está enviando sin escalas al estafador, para después usarlos en forma fraudulenta (robando su dinero, realizando compras online, etc.)

VULNERABILIDAD

No todos nosotros somos periodistas corresponsales en China, ni pensamos en caer en la trampa del temido phishing; pero si hay algo que está claro es que nuestras cuentas de correo pueden dejar de pertenecernos en cualquier momento, ya sea por descuido o turbias razones. Si eso ocurre, puede traernos serios problemas laborales y comerciales; más aún a aquellos que confían ciegamente en la seguridad de su servicio de webmail, confiándole no solamente los mensajes de correo electrónico sino como el lugar ideal para alojar archivos y documentos (como adjuntos en los mensajes) para poder acceder a ellos las veces que sea necesario, desde cualquier lugar y en cualquier momento.

Esta práctica puede salvarnos en algunas circunstancias. Por ejemplo, un usuario termina un determinado informe que le implicó horas o días terminarlo y lo envía en un archivo adjunto a uno de sus compañeros de trabajo, para que le dé un vistazo antes de entregárselo al jefe. Al día siguiente, ese usuario sale a la calle y le roban su computadora portátil (y con ella, el informe que le llevó tanto tiempo y esfuerzo). Por suerte, una copia del archivo había sido enviada con anterioridad y lo puede recuperar fácilmente. A mucha gente le ha ocurrido una situación similar, tal es así, que confían plenamente en su cuenta de correo, como método para almacenar archivos.

La mejor forma de resguardar la información crítica es una combinación de esa modalidad con la del backup convencional. Algunos usuarios se conforman con un simple pen drive USB. Otros, manejan información confidencial o sensible, a tal punto que se ven obligados a emplear varios métodos de respaldo que comprenden cifrado o encriptación de los datos y varias copias simultáneas: una copia queda in situ (por ejemplo, la oficina), otra se la guarda en un lugar remoto (en casa, por ejemplo) y otra es enviada o subida a algún servicio de backup online. Este caso mencionado es extremo, pero prácticamente infalible. Al distribuir las copias de seguridad en diversos sitios, la información está protegida contra siniestros (robos, incendios, etc.), contra catástrofes naturales (terremotos, derrumbes, inundaciones, etc.) y contra hackers (al estar encriptada es imposible recuperarla).

RESPALDO MÁS SEGUROS DE LA INFORMACIÓN

La mayoría de los usuarios que recién se adentran en el mundo informático simplemente desconocen o ni siquiera consideran una posible pérdida de sus datos. No intuyen que los discos duros son frágiles, que algunos virus no perdonan, que las computadoras son tentadoras para los amigos de lo ajeno o que las oficinas y las casas pueden eventualmente incendiarse…

Existe una enorme cantidad de soluciones al alcance de la mano. Desde excelente software para realizar copias de seguridad en forma local y remota (vía LAN o FTP), como el Cobian Backup (gratuito).

Incluso hay varios servicios disponibles para realizar backup online, como Syncplicity, que ofrece 2 GB de almacenamiento. También existe el popular DropBox para sincronizar archivos en la nube: 2 GB para la modalidad gratuita.
Windows Live SkyDrive de Microsoft es otra alternativa gratuita de gran capacidad, posee 25 GB de almacenamiento por usuario y se pueden cargar archivos directamente desde el Explorador de archivos de Windows.

Otro método muy utilizado es mediante el uso de los viejos archivos de procesamiento por lotes (.BAT o .CMD), usados desde la época del D.O.S.: aún hoy, en Windows, resultan un recurso muy práctico para hacer backups locales o a una unidad remota en una red LAN (o WAN). La tarea se puede automatizar mediante el uso de las Tareas Programadas de Windows para que se ejecute a diario o semanalmente, por ejemplo.

En materia de hardware, los CDR/W y los DVDR/W ya no son tan prácticos para la mayoría de los usuarios, existiendo dispositivos como las memorias Flash o los pen drive USB, los discos externos, las cintas de backup o los servidores de almacenamiento.