Hacks de ingeniería social y cuentas vinculadas: cómo protegerse contra el robo de identidad

En la actualidad, Internet tiene un vínculo estrecho con la mayoría de los aspectos de nuestra vida e identidad. Prácticamente todos tenemos un perfil de Facebook, así como posiblemente una cuenta de Twitter, una página de LinkedIn, cuentas corrientes en línea, cuentas con minoristas en línea y, probablemente, muchos perfiles antiguos en otros sitios que solo acumulan polvo virtual. La mayoría de nosotros hemos llegado a confiar en Internet con nuestra información. Confiamos en que las compañías globales y sofisticadas como PayPal, Facebook, Amazon y todos los demás grandes nombres no dejarán nuestra información abierta a la piratería. Pero la capacidad intelectual colectiva de los piratas informáticos de todo el mundo está orientada a encontrar formas nuevas e innovadoras de violar los sistemas de esas empresas.

Se ha dicho antes, pero lo diré nuevamente: la seguridad es tan fuerte como su eslabón más débil. ¿Exactamente cuán débil es la cadena que conduce a su información personal? Existen numerosas vulnerabilidades a las que se debe tener en cuenta en su presencia en línea: algunas de las cuales puede estar al tanto y otras en las que nunca ha pensado La protección y la prevención son fundamentales en su proceso de seguridad en línea: es mucho más fácil prevenir un ataque que reparar el daño después de que se haya producido uno.

¿Qué es la ingeniería social?

En este contexto, la ingeniería social es un método utilizado para manipular a las personas para que divulguen información personal. Un artículo reciente de Mat Honan, de Wired, detalla cómo fue víctima de un ataque de ingeniería social que hizo que su vida digital se viniera abajo. Las vulnerabilidades en el protocolo de seguridad de Amazon y Apple permitieron a un pirata informático obtener acceso a una serie de cuentas del escritor. El hacker pudo ingresar a su cuenta de Amazon, que proporcionaba una dirección de facturación y los últimos cuatro dígitos de un número de tarjeta de crédito. Esta información era todo lo que se necesitaba para convencer a Apple de que el pirata informático era Honan y, por lo tanto, le permitió restablecer la contraseña de ID de Apple. Desde allí, el pirata informático obtuvo acceso a su cuenta de correo electrónico de Apple, que luego condujo a su cuenta de Gmail, que era el centro de más información en línea. Esto es ingeniería social en el trabajo. La forma en que los hackers sabían que el Sr. Honan tenía una cuenta de Amazon no está del todo clara, pero vale la pena señalar la cadena de eventos que los alertaron sobre su vulnerabilidad:

“Después de encontrar mi cuenta [de Twitter], los hackers hicieron una investigación de antecedentes. Mi cuenta de Twitter está vinculada a mi sitio web personal, donde encontraron mi dirección de Gmail. Suponiendo que esta también era la dirección de correo electrónico que usé para Twitter, Phobia [el hacker] fue a la página de recuperación de la cuenta de Google. Ni siquiera tuvo que intentar una recuperación. Esto fue solo una misión de reconocimiento. Como no tenía activada la autenticación de dos factores de Google, cuando Phobia ingresó en mi dirección de Gmail, pudo ver el correo electrónico alternativo que había configurado para la recuperación de la cuenta. Google oscurece parcialmente esa información, destacando muchos personajes, pero había suficientes caracteres disponibles, m••••[email protected]. Bote."

Piense dos veces en cuentas vinculadas

La cadena de su vida digital comienza y termina en algún lugar, y si se encuentra una vulnerabilidad fácil, será explotada. Desde entonces, Amazon ha afirmado que ha cambiado sus procedimientos de seguridad para que este tipo de explotación ya no sea posible (sin embargo, después de leer la historia de Wired, desde entonces he eliminado toda mi información de Amazon y la ingresaré manualmente cada vez). No hay tal cosa como ser demasiado cuidadoso). Apple, por otro lado, no ha dicho que haya cambiado ninguna política de seguridad; Apple solo dijo que sus medidas de seguridad no se siguieron por completo. Hay muchas otras compañías que son susceptibles a las tácticas de ingeniería social, y sus cuentas vinculadas les dicen dónde comenzar. A veces, el exploit más fácil puede ser tu cuenta de Facebook.

El rastro digital que te lleva de vuelta a tu vida no digital.

Suponiendo que su perfil de Facebook sea público o que acepta solicitudes de amistad de personas que realmente no conoce, ¿su perfil incluye su cumpleaños completo? ¿Tu dirección de correo electrónico personal, dirección de casa y número de teléfono? ¿Tienes fotos de una vieja mascota de la familia donde las nombras, o eres amigo de tu madre, que todavía usa su apellido de soltera? ¿Hay fotos tuyas de primer grado que muestren el nombre de la escuela, tú con tu primera novia o tu mejor amiga?

Sí, y ¿por qué estoy haciendo todas estas preguntas personales? Bueno, su fecha de nacimiento y su dirección me pueden dar suficiente información para comenzar a hacerme pasar por otra empresa o en línea. En algunos casos, es posible que necesite los últimos cuatro dígitos de su número de seguro social, pero ese no es el recurso que cree que es. Entonces, ¿por qué debería importar tu primera mascota familiar, el apellido de soltera de tu madre, tu primera escuela primaria, tu primera novia o el nombre de tu mejor amigo? Son todas las respuestas a las preguntas de seguridad para los procesos de recuperación de cuentas. Si, sin saberlo, he descifrado su correo electrónico, pero mi objetivo real es su cuenta bancaria, ahora tengo las respuestas a sus preguntas de seguridad y podré cambiar la contraseña de su cuenta bancaria para obtener acceso.Por si acaso, probablemente también cambiaré la contraseña de su correo electrónico o, si he terminado de explotarla, puedo eliminar la cuenta por completo. Por supuesto, hay muchos factores para hacer que esta situación sea ideal, y existen otros métodos que pueden usarse para controlar su identidad.

Si tiene contraseñas débiles como "bucketKid", como un ejemplo completamente aleatorio, un ataque de fuerza bruta en su cuenta tomaría aproximadamente ocho días para descifrar su contraseña (más información sobre cómo sé eso en la sección de Recomendaciones). Simplemente agregando un número para que sea "bucketKid7" agrega seis años al tiempo que le tomaría a un hacker descifrarlo.

También es posible que su información esté expuesta como daño colateral en el hackeo de otra compañía. Si usa la misma contraseña en varios sitios, uno de los cuales incluye su correo electrónico, entonces es hora de que cambie todas sus contraseñas e investigue hasta qué punto podría llegar el daño. Ahora que tiene en mente los peores escenarios, veamos cómo puede protegerse realmente.

Nuestra recomendación del sitio

¡Nunca uses la misma contraseña dos veces! Sé que lo ha escuchado un millón de veces antes, y podría pensar que no es práctico tener docenas de contraseñas únicas en numerosos sitios. Bueno, hay dos cosas que puedes hacer para que sea práctico:

La primera es que puede usar un programa para ayudarlo a crear y almacenar contraseñas únicas para todos sus sitios. 1Password es uno de esos programas: cuando inicie sesión en uno de sus perfiles en línea, simplemente puede seleccionar el inicio de sesión que necesita y 1Password le proporcionará la contraseña y le otorgará acceso. Sin embargo, tal vez no desee que todas sus contraseñas se almacenen en una base de datos, eso es una preocupación válida.

La siguiente opción es crear una serie de contraseñas relacionadas. Una contraseña puede ser "Treez4Eva" el siguiente "Trees4eVer" y así sucesivamente. Recordar qué sitio usa qué versión puede ser un poco difícil, pero es factible y definitivamente vale la pena intentarlo. Recuerda que siempre puedes recuperar las contraseñas que olvidas. Puede llevar mucho tiempo, pero no deje que el olvido de las contraseñas le impida crear contraseñas únicas y seguras.

Ahora con la contraseña en sí misma: puede usar How Secure Is My Password como una referencia útil para evaluar qué tan seguro está realmente. Siempre use combinaciones alfanuméricas junto con letras mayúsculas y caracteres especiales. Si el sitio lo permite, usa espacios también. “BucketKid” es mucho más seguro cuando es “bu (¡k3t K! 4 15 r3a!”. Esa contraseña tardaría 3 quintillones en descifrar, según How Secure Is My Password, que es lo que parece falso. creo que le tomaría tantos años recordar una contraseña como esa, pero piense cómo puede usar los trucos de memoria para facilitar el proceso. El ejemplo anterior dice: "bucket kid es real", todo lo que debe recordar es qué letras ha capitalizado y cómo reemplazó las letras con números o caracteres especiales. Si aún desea usar la misma contraseña en varios sitios, use la más fuerte, como el ejemplo anterior, para los sitios que usa con frecuencia, como el correo electrónico. contraseñas como "umbrella boy 15 falso" para otros sitios que no usa con frecuencia o que siente que no son tan seguros.

Siempre use la verificación de dos pasos para cualquier sitio que lo admita. ¿Recuerda el relato del escritor de Wired de cómo fue pirateado porque no usó la verificación de dos pasos? No cometas el mismo error. Google lo soporta, al igual que Yahoo y Facebook. La verificación en dos pasos significa que cuando inicie sesión en su cuenta desde una computadora o dirección IP no reconocida, se le pedirá que ingrese un código que se envió a su teléfono. Lo bueno de esto también es que también funciona como un sistema de alarma para sus cuentas. Si alguien intenta acceder a su correo electrónico y de repente recibe un mensaje de texto que le proporciona un código de inicio de sesión, sabe que es hora de cerrar las escotillas.

Por último, si tiene alguna duda sobre su seguridad en línea, marque la casilla Debo cambiar mi contraseña. Este sitio le permite ingresar su dirección de correo electrónico y ver si aparece en alguna lista que los piratas informáticos hayan compilado después de abrir un sitio. Acaban de agregar una nueva función en la que puedes almacenar tu dirección de correo electrónico con ellos y la referencia cruzada con futuros ataques.

Todo esto puede parecer irse del extremo profundo y ser demasiado paranoico para ti, pero ser paranoico en Internet a veces puede mantenerte seguro. Hay muchas otras medidas que debe tomar para protegerse, como: cifrar su disco duro, crear direcciones de correo electrónico desechables y nombres para sitios en los que no confía o siente que carecen de seguridad y cambiar las contraseñas cada pocos meses. Esta guía debe tomarse como un punto de partida para hacer que esté más seguro, y si lo único que hace es crear una contraseña segura y registrar su correo electrónico con la base de datos Debo cambiar mi contraseña, este es al menos un buen primer paso para protegerse. Del robo de identidad en internet.

Recomendaciones de expertos

Ryan Disraeli, VP de Servicios de Fraude en TeleSign:

"La persona promedio es sorprendentemente muy hackeable, pero la realidad es que los hackers intentarán atacar al objetivo más fácil". Esto no es diferente a fuera de línea. ¿Robará un ladrón una casa con guardias de seguridad 24/7 o una casa que siempre deja la puerta principal sin llave? La realidad es que un buen ladrón puede robar una casa con una seguridad excelente, pero preferirá perseguir a una víctima más fácil.Al igual que tomaría precauciones para salvaguardar su propiedad personal, las personas deberían agregar algunas capas de prevención para asegurar su identidad en línea ".

Dodi Glenn, Gerente de producto de GFI Software VIPRE Antivirus:

“Trata tu teléfono inteligente como una computadora. Si realiza cualquier tipo de transacciones financieras en su teléfono, se aplicarán las mismas “mejores prácticas” de seguridad que con una computadora ”.

Shuman Ghosemajumder, VP de estrategia en Shape Security:

“Presta atención a cómo accedes a los sitios web. Parte de asegurarse de que confía en un sitio es verificar que la organización detrás del sitio web tenga buena reputación. Otra parte es asegurarse de que confía en su conexión a ese sitio web. Debe asegurarse de que la URL sea correcta, que haya navegado directamente hacia ella y que no haya hecho clic en un enlace desde un correo electrónico, mensaje instantáneo o ventana emergente no solicitados. Si puedes, usa solo tus propios dispositivos y conexiones. Debes evitar las conexiones WiFi públicas y las computadoras públicas compartidas si puedes, ya que es fácil para los atacantes rastrear el tráfico de la red o instalar keyloggers para capturar las contraseñas. Si debe usar una conexión WiFi pública, asegúrese de no enviar información de inicio de sesión o personal a un sitio que no use una conexión HTTPS ".