El objetivo de este artículo no busca convertir a los lectores en hackers ni detallar todas las formas posibles de hackear un email. Lo que se busca es señalar cómo se lleva a cabo este proceso para que las personas tomen precauciones y mantengan segura su información personal.
Métodos más usuales de hackeo
El método de ataque dependerá principalmente del acceso del hacker a su víctima, al conocimiento personal que se tenga sobre ella y a la computadora que esta usa. Mientras más cercana la persona, más probable el poder hackearla.
Keylogging. Consiste en instalar en una computadora un programa invisible que graba todos los movimientos del teclado, los mismos que son enviados a un correo determinado sin que la víctima se pueda dar cuenta. Por este motivo, no es recomendable acceder a cuentas privadas desde accesos públicos como cabinas de internet, cuyas máquinas podrían tener programas como estos instalados.
Pishing: Nos llega un mail, aparentemente de nuestro banco, empresa de seguros, etc. pidiéndonos que entremos a un link para actualizar los datos. ¡Cuidado! Esta es una página falsa. Si se llega a responder a todos los requerimientos que se piden, se le pasará valiosa información personal al hacker, la misma que probablemente le servirá para acceder a otras cuentas. Tenga en cuenta que al tener, por ejemplo, la clave de nuestro email, puede hacer un proceso de "me olvide mi clave" en otras páginas e ir consiguiendo los accesos que necesita.
Fuerza Bruta: Existen programas a los que se ingresan los datos (nombre, fecha de nacimiento, nombres de la esposa, hijos, fechas de nacimiento de estos, teléfonos, etc.) de la persona que se quiere hackear. Estos programas crean un "diccionario" de claves probables a partir de esa información que luego empiezan a probar de manera automática con la cuenta. Ojo que no solo usan las palabras sino combinaciones a las cuales se agregan palabras frecuentemente usadas para claves. Las más comunes en el mundo son "password", "qwerty", "123456", 123123, nombres propios, nombres de equipos deportivos o deportes, modificaciones de los nombres de los hijos, números de celular o similares.
Ingeniería Social: Reciben una llamada de una empresa encuestadora que quiere "verificar sus datos" por encargo de una organización conocida (su banco, su seguro, etc.). En este proceso de 'verificación' se le pregunta acerca de su "primera mascota" o el nombre de su profesor favorito del colegio, el segundo nombre de su mamá o similares. Quizá en ese momento le pueda parecer un hecho anecdótico, pero después de este 'peculiar' interrogatorio, la persona que lo llamó va a una computadora, entra con su cuenta, presiona "me olvide mi clave" y responde las preguntas de seguridad con los datos obtenidos. Otra variante de esta modalidad, es que un extraño se le acerque amigablemente en una reunión o en la calle y origine una conversación donde pida que le cuente sobre los datos mencionados anteriormente.
El corporativo: He querido incluir esta modalidad, porque estoy seguro de que sucede. Uno trabaja en una empresa (o un puesto público, por ejemplo) y repentinamente renuncia o es despedido. Al hacerlo, pierde el acceso a su email de la institución y olvida que allí no sólo tiene información personal, sino que uso ese email para registrarse en otros servicios y allí es donde envían las claves de "olvidaste tu contraseña". Lo mismo puede suceder, por ejemplo, con un teléfono celular, una laptop o computadora, no necesariamente porque se deja de trabajar en un lugar, sino porque se hace una reparación del equipo. Este tema es más complejo, porque no basta con borrar la información de la memoria interna, ya que hay programas para recuperar la data eliminada. Existen programas especiales para eliminar información que deberían usarse en el ordenador antes de dejar de manipularlo. Uno nunca sabe a dónde puede ir a parar ese equipo.
El Servicio técnico: Súper común. Falla la computadora y se manda al servicio técnico. Allí, el técnico encuentra allí todo tipo de información confidencial, la misma que puede usar con malos propósitos. No creo que valga la pena ahondar más en este tema, es similar al anterior.
La defensa
Como hemos podido apreciar, la clave es "la clave" del asunto. Si bien los sistemas gratuitos de correo electrónico como Gmail ofrecen buenos niveles de seguridad, esto no sirve de nada si la clave que se tiene es débil. Es como tener un castillo fortificado con puertas de cristal y esperar que no lo invadan.
Aunque sea pesado, lo mejor es tener una clave de al menos diez caracteres de largo, que contenga mayúsculas, minúsculas, números, caracteres alfanuméricos (que no son ni números ni letras) y que no tengan ninguna relación con algo asociado a nosotros. Es más, ni siquiera deberían formar una palabra real. Una mala clave sería por ejemplo A1fr3d0123. El tamaño sí importa, mientras más larga y esté menos relacionada con nosotros, será más difícil de descifrar.
Si bien muchos sistemas, como por ejemplo Gmail o Facebook, consideran el equipo desde donde se está accediendo y disparan una alerta si es que se accede desde un equipo o ubicación nueva, e incluso bloquean las cuentas o piden captcha si es que se falla una cantidad de veces con la clave, debemos evitar las computadoras públicas, y no dejar nuestras máquinas desatendidas ni dejar que personas que no son de nuestra confianza tengan acceso a las mismas.
Este artículo no cubre todas las formas de hackear un email, pero si las más comunes. Tomando en cuenta estas recomendaciones, usted puede elevar considerablemente el nivel de seguridad de sus cuentas y evitar ser víctima del hackeo.
¿Cómo usted protege la información personal de sus cuentas virtuales?
Tome un taxi en Londres y el taxista lo llevará por la ruta más corta y rápida a su destino sin usar Waze ni otro sistema parecido. Los taxistas ingleses deben pasar el test llamado The knowledge (El conocimiento), uno de los exámenes más difíciles del mundo equivalente a tener implantado en el cerebro un mapa completo de Londres.
Cualquier empresa que administra una página de Facebook puede encontrar que su alcance orgánico (número de personas que se pueden alcanzar gratuitamente con un post) decrezca ocasionalmente. ¿A qué se debe esto?
Google no sólo considera una palabra en sí (involucra también sus sinónimos y palabras relacionadas). Por ello, resulta necesario conocer la utilidad de la concordancia negativa.