Pasar al contenido principal

ES / EN

¡Con la contraseña no alcanza!
Miércoles, Febrero 3, 2010 - 14:53

Las redes sociales son nuevas formas de interacción social que comenzaron a ser explotadas por las empresas, pero plantean desafíos de seguridad desconocidos para muchos.

Cuando creó su cuenta deFacebook, seguramente tuvo cuidado de utilizar una contraseña segura, ¿verdad?Por ejemplo, alternó entre mayúsculas y minúsculas, utilizó números, nocomparte la misma contraseña con otros sitios como por ejemplo Gmail o Hotmail,y nadie más que usted la conoce. Con todas esas precauciones, se garantiza quenadie puede acceder a sus datos… ¿o no?

Lamentablemente, la cosa no estan sencilla: con una variación de una técnica de ataque conocida, es posibleacceder a todos los datos de la cuenta de Facebook de cualquier usuario, ¡sinconocer la contraseña!

Como siempre, debe haber unengaño de por medio, que le permita al atacante acceder a su informaciónpersonal y la de sus contactos, pero lo novedoso de esta técnica es que el tipode engaño necesario es sorprendentemente fácil de conseguir.

El nombre que recibe estatécnica es “cross-site identification” o CSID, y se trata de generar, en primerlugar, que usted ingrese a un sitio elegido por el atacante mientras que estálogueado en Facebook (o cualquiera de las otras redes sociales que sonvulnerables, como por ejemplo Orkut).

De esta manera, el atacanteaprovecha que usted ya había ingresado la contraseña, para engañar a la redsocial y solicitar el envío de información como si usted mismo lo estuvierahaciendo.

Por supuesto, en ningúnmomento durante el ataque es posible detectar esta actividad, y lamentablementeesta operación no deja rastros.

En cuanto al sitio necesariopara el engaño, es necesario que genere una motivación para que el usuarioacceda a hacer click en algún link o una imagen, por lo que generalmente seutilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica esque el sitio no necesita ser creado por el hacker, sino que se puede utilizarun sitio legítimo para realizar el ataque.

¿Qué se puede hacer paraevitar caer en esta nueva técnica? Bueno, lo cierto es que la mayor de lasposibilidades de evitar un ataque de cross-site identification recae en lossitios de las redes sociales, ya sea mejorando el diseño de sus interfases,aumentando la seguridad de las aplicaciones, y fortaleciendo las políticas deentrega de datos personales de los usuarios.

Sin embargo, podemos citar cincorecomendaciones que siempre es necesario tener en cuenta, y que pueden ayudar aprotegerse también de este tipo de ataque:

· En las redes sociales, acepteinvitaciones solamente de gente conocida.

· Configure siempre laspreferencias de seguridad y privacidad de su perfil; puede tomar algo detiempo, pero realmente vale la pena para protegerse!

· Utilice aplicaciones en lasredes sociales solamente cuando conozca el origen, es decir, quién es el autoro la empresa que la distribuye, y qué hace exactamente.

· Al otorgar acceso a sus datospersonales, tanto a una aplicación como a la red social en sí, evalúe lasconsecuencias potenciales de la decisión; la recomendación es probar primerodenegar accesos, y habilitarlos si comprueba que son necesarios.

· No habilite las opciones quele permiten mantenerlo logueado durante mucho tiempo en un sitio; es preferibleingresar la contraseña varias veces; generalmente, esta opción se presenta como“no cerrar mi sesión”, “mantenerme logueado”, “keep my session alive” o algopor el estilo.

· Cuando deje de utilizar unapágina que requiere de una contraseña (ya sea una red social, su correo o elhome-banking), siempre asegúrese de desconectarse; típicamente, existe unaopción llamada “sign out”, “log out”, “salir” o similares.