En la entrada anterior hablamos sobre los primero elementos que debemos tener en cuenta a la hora de querer «hackear» una cuenta en internet, vimos aspectos como las contraseñas y aproveché la oportunidad para dar algunas ideas para crear contraseñas más robustas; también hablamos de lo que son los ataques por fuerza bruta y ataques por diccionario y terminamos viendo lo que era un ataque de ingenieria social y de como afecta el eslabón más debil de la estructura de seguridad de los programas y aplicaciones, el usuario.
Hoy continuaremos con la parte final de ésta serie, cubriremos los aspectos finales y daré mis conclusiones.
No soy un robot o Capchat
Con la finalidad de evitar los ataques por fuerza bruta o autenticaciones de forma automática a través de alguna aplicación, se crearon los Capchat. Estos vienen de diversas presentaciones:
- Visuales: estos que te muestran una imagen con una serie de caracteres y debes transcribirlos; – Auditivos o sonoros: el sistema te dicta una serie de números y otra veces letras y de igual forma se deben transcribir;
- Rompecabezas: te presenta las piezas desordenadas y lo debes armar;
- Retos: donde te indican que debes determinar cuales imágenes corresponden a un patrón, por ejemplo, escojer las imagenes que contienen carros;
- Incluso hay unos métodos donde ni siquiera debe haber una acción por parte del usuario.
En fin, las formas que hay para validar si es un ser humano quien está autenticandose son casi infinitas, es importante destacar que, con la aparicién de la inteligencia artificial se han decubierto formas para sobrepasar la validación del Capchat, haciendo «creer» al Capchat que en realidad es una persona quien está del otro lado de la conexión. Entonces, así como algunos sitios web requieren la resolución del Capchat cada vez que se hace una operación, existen otros, como los grande de internet (Google, Facebook, Microsoft), que requieren de ésta validación si se cumplen alguna de las siguientes condiciones:
- Despues de un número considerable de intentos fallidos de autenticación (alrededor de unos 15 intentos);
- Cuando se intenta ingresar desde una dirección IP fuera del país de donde usualmente se ingresa al portal web (por ejemplo si usualmente ingreso a google desde Australia y derrepente estoy ingresando desde España);
- Cuando se trata de ingresa desde una dirección IP que se encuentre en alguna lista negra (Tor, IP’s reportadas como parte de una botnet, IP’s reportadas como spam).
Autenticación multifactor
Debido a la capacidad tan escasa, que tienen nuestros usuarios, para proteger sus contraseñas; porque vamos a ser sinceros, el poner la contraseña en una nota adhesiva en el escritorio, enviarla por correo electrónico, que sea la misma contraseña en todos nuestras cuentas de internet o que sea «123456» no son métodos muy eficaz de proteger nuestra llave de entrada a cuentas en Internet. O cuando, por alguna vulnerabilidad del proveedor de la aplicación, quedan expuestas nuestras credenciales de acceso (ésta última no es responsabilidad del usuario), si quieres saber si tus credenciales de acceso fueron expuestas en alguna fuga masiva, visita haveibeenpwned.com. En realidad, existen muchas razones por la que nuestras contraseñas pueden quedar expuestas, lo importante aquí que desde hace un tiempo para acá apareció un concepto llamado autenticación multifactores, donde además de pedirte el tradicional «usuario y contraseña» ahora piden algo más, basandose en el esquema de
«algo que sé » + «algo que tengo» = «autenticación exitosa»
Ese algo que sé no es más que el usuario y la contraseña y ese algo que tengo es el segundo factor de autenticación.
Segundo factor de autenticación
Como veniamos diciendo, ese algo que tengo puede ser huellas dactilares, iris, Token por software, token por hardware, mensaje de texto, llamada telefonica y más… ¿Cúal utilizar? puede variar dependiendo de la tecnología disponible, es decir, si no tenemos un lector de iris, obviamente, no podemos tener el iris como segundo factor de autenticación; aunque el factor más determinate es la tecnología que tenga disponible el proveedor de la aplicació, por ejemplo, si Google no permite que el segundo factor sea el código recibido en un mensaje de texto (cosa que no es así), entonces, no podemos utilizar ese método de validación. Cabe destacar, la activación del segundo factor de autenticación es opcional, por lo que muchos usuarios no lo usan (para tranquilidad de los atacantes), de hecho, hace poco leí un artículo donde se indicaba solo el 10% de los usuarios de Gmail tienen activo el segundo factor de autenticación (claro que estoy dentro de ese 10%).
Entonces, es un asunto de educación a nuestros usuarios de esta práctica, personalmente, yo tengo activo el segundo factor de autenticación en TODAS las aplicaciones y sistemas que lo tengan disponible.
Cómo hackear Facebook, Instagram, Snapchat, Correos electrónicos y demás redes sociales.
Despues, de habernos puesto a tono con los aspectos necesarios, para realizar un ataque a una cuenta en internet, considero que ya podemos tomarnos «la pastilla roja».
Pero antes, quiero hacer el inciso de que en esta serie artículos no estamos cubriendo nada de lo relacionado a la explotación de vulnerabilidades en los sitios web, ya que supondría profundizar a temas más complejos, recuerden que solo estamos abarcando lo necesario para darle respuesta a nuestros amigos «intensos» que nos piden que le hackeemos la cuenta de Facebook a su novia.
Entonces la mejor forma que podemos aplicar para hackear una cuenta en internet, es tratar de conseguir la contraseña del usuario (y rezar para que no tenga el segundo factor de autenticacion activado), ya que si queremos hacer un ataque por fuerza bruta o un ataque por diccionario con alguna herramienta, solo nos funcionara para las primeras 15 contraseñas, aproximadamente, despues se activará la validación por Capchat de la página e incluso pueden enviarle una notificación al usuario de que se está intentando ingresar a su cuenta.
La otra posible forma de poder ingresar es a traves de responder las preguntas de seguridad, la forma de poder explotar este vector de ataque es que hayamos hecho una muy buena investigación de la persona para lograr acertar con las respuestas, a veces esto no es tan difícil si eres alguien cercano a la victima.
Para finalizar, como se pudo leer despues más de 2000 palabras, ya sabemos porque «diablos» no se puede hackear una cuenta en internet de alguien y mucho menos cuando no tenemos ni la menor idea de quien es la victima de éste ataque. Espero que ésta serie de artículos te hayan de utilidad para poder explicarle a las personas el porqué no todo es como las peliculas (en realidad casi nada es como en las peliculas) y que no es tan fácil hackear un correo electrónico o cualquier cuenta en internet y menos si es de uno de los gigantes en la red de redes.
Antes de irte haz lo siguientes:
* Vuelve a leerlo, para que no se te escape nada de lo aquí discutido;
* Dame tus comentarios, me encantaría saber que piensas de éste escrito;
* Visita el blog, para buscar más contenido de este tipo;
* Suscribete al podcast en iTunes, iVoox, whooshkaa o RSS, para los que no tienen tiempo de leer; para los quieren hackear su aprendizaje y quieren adquirir conocimientos mientras van en el bus, metro o conducen; o para los que quieren escuchar mi voz (cada quien con sus gustos y preferencias 😉 );
* Suscríbete al newsletter, para que no te pierda nada y tengas acceso a contenido exclusivo; y
* ¡Compartelo!, para permitirle a más personas tener acceso a este contenido.
…”Mantente seguro mi amigo”… Chao..
Esta obra está bajo una Licencia Creative Commons Atribución-Compartir Igual 4.0 Internacional
Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.
Gracias por leerme y hasta la próxima.
Relacionado