Hotmail: 10.000 cuentas comprometidas mediante phishing tradicional

Hola,

Tranquilos los amantes de Hotmail, o mejor dicho, lo que últimamente se viene llamando Windows Live Mail, que este no es un post para aburrir a nadie con comparativas absurdas sobre si es mejor Hotmail que Yahoo!, AOL o Gmail.

La noticia que nos ocupa tiene que ver con el robo de credenciales. En este ocasión los afectados no son usuarios de instituciones financieras, sino que las víctimas del ataque original, que después ha ido ampliando su ámbito a otros proveedores de correo, han sido usuarios de Hotmail.

La compañía ha reconocido en uno de sus múltiples blogs el incidente. No vamos a ahondar en la frase Phishing scheme affecting some Hotmail customers, y cómo ese some puede sonar raro cuando esos «algunos» son aproximadamente 10.000 usuarios. El caso es que mediante phishing tradicional unos atacantes han comprometido unas 10.000 cuentas Hotmail. Otros medios contabilizan 20.000 cuentas comprometidas en la segunda oleada de un ataque similar al que originalmente estaba orientado a los usuarios de Hotmail, y en el que también han caído cuentas de Gmail, Yahoo! y AOL. Google reconoce que en el paquete hay 500 cuentas suyas, y que han actuado sobre ellas. De lo que dice Yahoo! o AOL poco hay escrito.

Cuando pasan estas cosas siempre hay aspectos a reseñar de los que quizás podamos aprender. Es nuestra obligación, aunque no seamos los responsables de Hotmail ni de los otros proveedores de correo, realizar un ejercicio de crítica constructiva si vamos a opinar sobre el incidente. Estos asuntos son siempre preocupantes por muchos motivos, sobre todo porque la calidad de las contraseñas capturadas deja mucho que desear, especialmente si la contraseña más frecuente entre las sustraídas es 123456. También es preocupante comprobar como el phishing tradicional, que lleva detrás años de concienciación y esfuerzos de educación, sigue haciedo mella y produciendo resultados.

Resulta obvio que tenemos delante de las narices un problema de educación en materia de seguridad del usuario, que debería poner de su parte para mejorar en este aspecto, ya que cuando uno navega por Internet y se suscribe a servicios, hay que leerse todas las letras, entre las cuales están las recomendaciones de seguridad de los proveedores, la aceptación de unas condiciones de privacidad y confidencialidad y la aceptación de unas normas generales de uso. Cuando uno se va a hacer una cuenta Hotmail hay un apartado de preguntas frecuentes (todo sea dicho, no es que resalte tampoco), y os puedo dar fé que la respuesta a la pregunta «Cómo crear una contraseña segura» está claramente escrita y explicada, aunque se ve que parte de la gente sólo quiere recurrir al siguiente, siguiente, siguiente para irse corriendo al MSN a chatear con su flamante cuenta recién creada, dejando a un lado su obligación de entender y aceptar lo que está suscribiendo antes de usar el servicio, y qué puede aportar o qué se espera que aporte para que la experiencia sea positiva y segura.

Seamos realistas: no son pocos los casos en los que la primera necesidad que tiene el usuario al usar el MSN es pensar en qué nick chorra se pondrá para demostrar lo mafioso que es, qué frase de comentario emplear para saludar a la ristra completa de los 40 amiguetes que tiene en línea y cuál será la pose de cuarto de baño que usará a modo de fotografía. No podemos esperar que todo el mundo tenga como primera necesidad leer la documentación del producto y mostrar interés por salvaguardar su información.

Es por esto que la seguridad de los usuarios no deja de ser también responsabilidad del proveedor, ya que permite crear y utilizar contraseñas triviales como 123456 a los sujetos descritos en el párrafo anterior. Un total de las 2000 contraseñas capturadas tenía una longitud igual o inferior a 6 caracteres (las estadísticas completas las tenéis en este post de Acunetix). No sólo podemos echarle el muerto a la falta de educación y al ceporrismo de buena parte de los usuarios, que es manifiesto, sino que también hay que impedir todo lo posible que un usuario que no lee absolutamente nada salga a Internet con una clave 123456 para salvaguardar sus contactos, datos personales, correo, fotos y vida social.

¿Quieres poner de tu parte? ¿Quieres saber cómo crear una contraseña segura? Pincha en este enlace. Verás que no es tan complicado :)

Un saludo, y por favor, tratad de evitar estos engaños que recibimos por el correo. Nos va en ello nuestra privacidad, entre otras muchas cosas.

La protección de Datos Personales. Soluciones en entornos Microsoft. Versión 2.0

Buenas,

Microsoft ha publicado la versión 2.0 de su manual de cumplimiento de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Tuve la oportunidad de emplear este manual en mis años mozos de consultor LOPD (en su primera versión) y creo que tiene bastante manifiesta para aquellos que se tienen que implantar en entornos Microsoft las medidas de seguridad que son exigibles según la legislación vigente, ya que contiene ejemplos concretos que pueden permitir a los usuarios correlacionar directrices de la normativa con aspectos técnicos de las plataformas que pueden dar cobertura a dichos requisitos (por ejemplo, cómo articular el registro de accesos empleando los mecanismos propios de acceso de los sistemas Windows, cómo segregar roles mediante permisos, el uso de los mecanismos de cifrado de documentos ofimáticos, etc.)

Estas correlaciones son especialmente útiles para quienes afronten sus propios proyectos de conformidad LOPD sin recurrir a consultoría externa, e incluso, para reducir los costes de la misma: empresas que solicitan apoyo de consultoría LOPD, a las que un colaborador les prepara el manual de conformidad y el alta de los ficheros, y que luego aplican por sus medios las medidas de seguridad necesarias.

El libro se puede descargar gratuitamente en la URL http://technet.microsoft.com/es-es/security/bb986181.aspx, y están disponibles una versión PDF y una versión XPS (XML Paper Specification, eterno competidor de PDF y PostScript, bautizado tiempo atrás como Metro)

Vía: Chema