Seguridad informática y sentido común

Leo en este
post de 2+2 que al conocido jugador profesional sueco Mats
Rahm le han sustraido 65.000$ de su cuenta de Party
Poker. La noticia
apareció en un portal
sueco sobre póquer online y, parece ser que la
razón principal por la que le pudieron robar este dinero fue
por algo que el usuario habitual acostumba a hacer. Por una parte,
utilizar una cuenta de correo de Hotmail y por otra, utilizar la misma
constraseña en tu cuenta de correo que en Party Poker,
normalmente debido a que usamos la misma contraseña para
todas nuestras cuentas.

El problema viene por el dudoso sistema de seguridad que
emplea Hotmail,
entre otras compañías, de
utilizar una pregunta secreta como paso previo a recuperar tu
contraseña. Normalmente, las preguntas son tan simples como
tu lugar de nacimiento, el nombre de tu perro, o el nombre de tu madre,
todos ellos datos publicos y fácilmente averiguables,
más aún si eres un
personaje conocido. 

De esta forma, éstos crackers,
que no hackers,
son capaces de recuperar tu contraseña de Hotmail de forma
más que sencilla. Si además les damos la
facilidad añadida de que esa sea nuestra
contraseña 'maestra', les estamos dando acceso
automático acceso a todos las páginas en las que
estemos registrados. 

Otro método muy utilizado últimamente
para recuperar tu contraseña es el denomiado phising,
cuya descripción podemos extraer de la
propia Wikipedia.

Phishing es el
acto que consiste en
recomendar la visita a una página web
falsa, haciendo creer al visitante que se encuentra en la
página
original o copiada. La vía de difusión
más habitual de esta técnica es
el correo electrónico, aunque últimamente se han
detectado vías
alternativas como el teléfono o el fax. Normalmente se
utiliza con
fines delictivos, duplicando páginas web de entidades
financieras de
renombre. Una vez en las páginas falsas, se pide al
visitante que
introduzca datos personales (claves de acceso, etc.) que posteriormente
son usados por los creadores de la estafa. Las entidades recomiendan
que no se revelen nunca las claves personales aunque sean pedidas en
nombre de tales entidades.

Es decir, estos crackers, te envían un mail con una
advertencia de Hotmail, del estilo 'debes
ir a esta página para confirmar tus datos o tu cuenta
será dada de baja blah blah blah'. La
página falsa simula en todos los aspectos a la de la empresa
objetivo del ataque, en este caso Hotmail, y muchos incautos acaban por
proporiconar sus datos.

¿Qué podéis hacer para
prevenir que os suceda algo así?

Afortunadamente es bastante sencillo protegerse de estos
ataques, pero implica que utilizamos algo bastante desvirtuado en el
mundo real como es el sentido común.

• Lo principal, y más básico, es evitar
  en lo posible tener una contraseña maestra. Es conveniente
  que para cada servicio importante utilicéis una
  contraseña distinta.
• En segundo lugar, deberemos evitar en lo posible utilizar
  la pregunta secreta como medio de recuperar una contraseña.
  Si os es imposible evitarlo, os recomiendo memorizar una
  contraseña maestra adicional que os servirá
  únicamente para responder a todas estas preguntas secretas.
• Por último, para evitar el phising,
  jamás confirmar vuestros datos personales más
  sensibles (contraseñas, datos bancarios, tarjetas de
  crédito...) a través de la web. Ninguna empresa
  seria os pedirá jamás este tipo de datos a
  través de este medio.

En fin, lo que quería que fuese tan sólo
un comentario sobre una noticia, ha acabado siendo un
pequeño artículo dedicado a la seguridad en
vuestras cuentas. Recordad, sentido común, sentido
común...