Skip to content

Hotmail: 10.000 cuentas comprometidas mediante phishing tradicional

Publicado por Sergio Hernando el 7 octubre 2009

Hola,

Tranquilos los amantes de Hotmail, o mejor dicho, lo que últimamente se viene llamando Windows Live Mail, que este no es un post para aburrir a nadie con comparativas absurdas sobre si es mejor Hotmail que Yahoo!, AOL o Gmail.

La noticia que nos ocupa tiene que ver con el robo de credenciales. En este ocasión los afectados no son usuarios de instituciones financieras, sino que las víctimas del ataque original, que después ha ido ampliando su ámbito a otros proveedores de correo, han sido usuarios de Hotmail.

La compañía ha reconocido en uno de sus múltiples blogs el incidente. No vamos a ahondar en la frase Phishing scheme affecting some Hotmail customers, y cómo ese some puede sonar raro cuando esos "algunos" son aproximadamente 10.000 usuarios. El caso es que mediante phishing tradicional unos atacantes han comprometido unas 10.000 cuentas Hotmail. Otros medios contabilizan 20.000 cuentas comprometidas en la segunda oleada de un ataque similar al que originalmente estaba orientado a los usuarios de Hotmail, y en el que también han caído cuentas de Gmail, Yahoo! y AOL. Google reconoce que en el paquete hay 500 cuentas suyas, y que han actuado sobre ellas. De lo que dice Yahoo! o AOL poco hay escrito.

Cuando pasan estas cosas siempre hay aspectos a reseñar de los que quizás podamos aprender. Es nuestra obligación, aunque no seamos los responsables de Hotmail ni de los otros proveedores de correo, realizar un ejercicio de crítica constructiva si vamos a opinar sobre el incidente. Estos asuntos son siempre preocupantes por muchos motivos, sobre todo porque la calidad de las contraseñas capturadas deja mucho que desear, especialmente si la contraseña más frecuente entre las sustraídas es 123456. También es preocupante comprobar como el phishing tradicional, que lleva detrás años de concienciación y esfuerzos de educación, sigue haciedo mella y produciendo resultados.

Resulta obvio que tenemos delante de las narices un problema de educación en materia de seguridad del usuario, que debería poner de su parte para mejorar en este aspecto, ya que cuando uno navega por Internet y se suscribe a servicios, hay que leerse todas las letras, entre las cuales están las recomendaciones de seguridad de los proveedores, la aceptación de unas condiciones de privacidad y confidencialidad y la aceptación de unas normas generales de uso. Cuando uno se va a hacer una cuenta Hotmail hay un apartado de preguntas frecuentes (todo sea dicho, no es que resalte tampoco), y os puedo dar fé que la respuesta a la pregunta "Cómo crear una contraseña segura" está claramente escrita y explicada, aunque se ve que parte de la gente sólo quiere recurrir al siguiente, siguiente, siguiente para irse corriendo al MSN a chatear con su flamante cuenta recién creada, dejando a un lado su obligación de entender y aceptar lo que está suscribiendo antes de usar el servicio, y qué puede aportar o qué se espera que aporte para que la experiencia sea positiva y segura.

Seamos realistas: no son pocos los casos en los que la primera necesidad que tiene el usuario al usar el MSN es pensar en qué nick chorra se pondrá para demostrar lo mafioso que es, qué frase de comentario emplear para saludar a la ristra completa de los 40 amiguetes que tiene en línea y cuál será la pose de cuarto de baño que usará a modo de fotografía. No podemos esperar que todo el mundo tenga como primera necesidad leer la documentación del producto y mostrar interés por salvaguardar su información.

Es por esto que la seguridad de los usuarios no deja de ser también responsabilidad del proveedor, ya que permite crear y utilizar contraseñas triviales como 123456 a los sujetos descritos en el párrafo anterior. Un total de las 2000 contraseñas capturadas tenía una longitud igual o inferior a 6 caracteres (las estadísticas completas las tenéis en este post de Acunetix). No sólo podemos echarle el muerto a la falta de educación y al ceporrismo de buena parte de los usuarios, que es manifiesto, sino que también hay que impedir todo lo posible que un usuario que no lee absolutamente nada salga a Internet con una clave 123456 para salvaguardar sus contactos, datos personales, correo, fotos y vida social.

¿Quieres poner de tu parte? ¿Quieres saber cómo crear una contraseña segura? Pincha en este enlace. Verás que no es tan complicado :)

Un saludo, y por favor, tratad de evitar estos engaños que recibimos por el correo. Nos va en ello nuestra privacidad, entre otras muchas cosas.

Be Sociable, Share!

Categoría/s → Seguridad

5 comentarios
  1. 7 octubre 2009

    Sólamente puedo decir, que olé por el post. Muchísima gente debería reflexionar un poco sobre que tal está su privacidad, si es segura, o no es segura.
    Otra cosa que habría que comentar, es el tema de la pregunta secreta. Es un hecho real que haya cuentas comprometidas por culpa de la pregunta secreta. Si bien ayuda en caso de olvidar la contraseña, es una puerta abierta a la ingeniería social. Yo opino que cuando uno se hace una cuenta, que sea consciente que si olvida la contraseña, la puede recuperar via e-mail. Que si le piden la pregunta secreta en el registro, mamporreen unas cuantas teclas aleatoriamente, que ni el mismo sepa que narices ha puesto. La otra seria que dichas compañias quitaran ese “servicio”.

    Que opinas?

  2. 9 octubre 2009

    Pues yo no creo que ésto sea tan así. En primer lugar pongo en duda la calidad de la información que está dando, porque claro. ¿Como saben que se han obtenido únicamente por phising? Pueden ser los resultados de una “Botnet”. Como también podrían ser resultados de una base de datos MySQL clásica de cualquier foro/portal de la red.

    Si uno obtiene una base de datos completa y hace un “volcado” por norma general suelen estar cifradas con “md5”. (y con suerte de que no tenga “salt”).

    El estándar que suele hacer ésta gente sería buscar los password por “rainbow tables”. Sería una de los tantos métodos que existen para sacar 10.000 (incluso muchos más).

    Pero ahí existiría el problema que estoy viendo ahora, el hecho de que saques todas las contraseñas “alfanuméricas” de hasta 10 caracteres (por poner un ejemplo) está limitando mucho las estadísticas.

    También es común hacer cuentas y no utilizarlas (de ahí un simple 123456). Como también es probable que el método de pishing haya capturado mal las password y crea que son correctas.

    En definitiva, no es todo ni tanto ni tan poco. Y por ello la seguridad debería de ser necesaria, siempre y cuando el usuario necesite que los sea. Porque no creo que un usuario que use de password “123456” tenga informacioń sobre sus cuentas bancarias, de megaupload o rapidshare en su correo ;).

    Un saludo!

  3. 11 octubre 2009

    Shaddy,

    Este enlace apoya tu teoría :)

    http://www.computerworld.com/s/article/9139098/Researcher_refutes_Microsoft_s_account_of_hijacked_Hotmail_passwords

    Veamos en qué acaba todo esto. No obstante creo que el origen no invalida el postulado principal: tanto proveedor como usuario tienen que ver en la permisividad de claves débiles.

  4. 9 mayo 2011
    vani| permalink

    En el día de hoy comprometieron mi cuenta que es la que utilizo para trabajar. Me puse en contacto con hotmail y de inmediato (corroborando unos datos que me pidieron) me habilitaron nuevamente mi cuenta sin problemas. Lo que sucedió es que desde hace varios meses ya, desde mi correo se disparan mails con un link que obviamente contiene virus. Lo que hice en primera instancia es cambiar mi clave (la cual ya de por si es IMPOSIBLE que alguien la pueda adivinar ya que son solo siglas de diferentes cosas y algunos numeros que no refieren a nada especial) la cambié por otra también imposible de decifrar y esperé a ver si se seguían disparando los mails….y los mails se siguieron disparando, de hecho mis clientes me respondian los mails preguntandome que era eso (y algunos hasta se han enojado conmigo). Pasé 3 antivirus diferentes primero el Norton, que ya me venía instalado, no me detectó nada e instalé uno, que ahora no recuerdo el nombre y tampoco me dteectó ni un archivo infectado , lo desinstalé e instalé otro – el AVAST y con los mismos resultados. Asi que no se que a se debe esto, de mas está decir que jamás abro ese tipo de mails para robar pass, como las postales de gusanito que te piden clave para supuestamente mostrarte la tarjeta pero en realidad te roban tu clave. Si alguien me puede ayudar estaré muy agradecida! :-)

Trackbacks & Pingbacks

  1. 7 enlaces 7 (y XXXVII) : Un lugar en el mundo…

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS