Formato de impresión patrocinado por

Robo de claves de e-mail: mitos y realidades
Rubén Castro / ELUNIVERSAL.com.mx
El Universal

Jueves 21 de diciembre de 2006

Ofrecen a través de correo spam robar claves de cuentas de correo electrónico a cambio de dinero; expertos dan consejos para no dejarse engañar

Tal vez te haya sucedido: en todo ese correo spam que recibes te ofrecen la posibilidad de robar claves o passwords de cuentas de Hotmail o Yahoo a cambio de una determinada cantidad de dinero.

Incluso, te ofrecen “pruebas” como garantía de que el supuesto servicio es real, sólo para que tú pagues a cambio de navegar libremente por el e-mail ajeno de tu amigo, familiar, pareja o incluso compañero de trabajo o competidor.

La pregunta es ¿este tipo de servicios son reales? según lo investigado por expertos, “técnicamente” es posible hackear un correo electrónico, las formas para hacerlo tienen que ver más con el descuido de los dueños de esas cuentas.

Y para aquél que decide gastar su dinero para “espiar” e-mails ajenos, la verdad es que es muy probable que sea objeto de una estafa.

La negociación

En tu bandeja de entrada recibes un correo de un desconocido, con frases “gancho” en el asunto, para que te animes abrirlos, vienen leyendas como “Regalo para ti”, “Fotos de la fiesta”, “Chica te quiere conocer”, entre otros. Algunos simplemente tienen números y letras sin sentido.

Al abrir el correo, leerás un mensaje parecido a este: “Conoce lo que hay dentro de los e-mails, ahora puedes saber la contraseña de los correos de Hotmail y Yahoo”.

La promesa que ofrece dicho correo “gancho” es que a cambio de 300 pesos la clave te será devuelta vía correo, incluso con una serie de consejos para no ser descubierto por el dueño de la cuenta a espiar.

El formato del mail es sumamente escueto, sin presentar algún nombre o al menos un logotipo para identificar quien ofrece el servicio.

Un grupo de expertos se dio a la tarea de fingirse interesado. David Soria sería la persona ficticia interesada en el servicio y para ello, debería contar con su propia cuenta de correo.

El resultado, tal cual lo prometía el hacker: un día después el supuesto interesado recibió respuesta y una serie de instrucciones a seguir.

El robo de claves

En la opinión de expertos en informática, es factible robar un password “pero no es tan fácil como lo pintan”.

Si bien es cierto que “existen herramientas para tratar de hackear una cuenta y sacar el password, esto es posible cuando son claves débiles, porque estas tecnologías usan diccionarios de palabras y combinaciones hasta que dan con la buena”.

Al respecto, David Herrerías, director de seguridad de Cash Management y Banca Electrónica de Banamex, afirma que -tal como sucede con otro tipo de ataques como el phishing- “la tecnología no es la culpable, lo es más bien el descuido y la ingenuidad del usuario”.

Algunas maneras para obtener una clave de correo electrónico son las siguientes:

  • Probando claves lógicas y básicas, tal como “123456”, “abc123”, entre otras similares, así como el uso de tu fecha de nacimiento, nombres de familiares, de la pareja, de algún libro o canción favorita.

  • Probando passwords que utilizas en otros lados, es decir, cuando repites la misma clave para el correo, el MSN, el ICQ, la PC de tu trabajo, etcétera.

  • El vulnerable factor humano o sicología social: cuando te envían sitios clones de bancos, buscadores o sitios de entretenimiento -muy parecidos a los originales- que te invitan a enviarles tus claves para arreglar “algún desperfecto” o simplemente hacerte acreedor de algún premio.

  • Grabando las pulsaciones del teclado con utilidades como Keylogger. Por ello, es recomendable usar tu ordenador desde casa y evitar en la medida de lo posible trabajar en sitios externos como hoteles, escuelas o los cafés Internet.

    Los expertos admiten que existen muchas formas de robar una clave de correo, pero en la mayoría de los casos el factor determinante es el descuido del usuario y el uso de un password fácil de adivinar.

    ¿Servicio o estafa?

    Como prueba de que el robo se llevó a cabo, el hacker te envía un correo desde la cuenta que solicitaste espiar.

    En el experimento realizado, sin embargo, el supuesto David Soria jamás se recibió tal confirmación y aún cuando la hubiera ¿quién garantiza que la clave que nos mande es en efecto la correcta?, sobre todo después de haber pagado los 300 pesos.

    Lo anterior porque el supuesto servicio deja en claro que no siempre obtiene las cuentas y que por ello no pagas hasta que la “prueba” se te envíe. Incluso la persona que manda espiar es propensa a ser hackeada..

    “No me hago responsable del uso que le des al servicio”, afirma el hacker en su mensaje. Y es que espiar una bandeja de entrada implica desde espiar los mensajes de algún amigo hasta hurtar información secreta de una empresa.

    El consejo de los expertos es “hacer caso omiso de este tipo de correos” y denunciarlos a las autoridades.

    Recuerda que en México existe la Unidad de Policía Cibernética, dependiente de la Policía Federal Preventiva. Consulta su sitio en www.ssp.gob.mx.

    Las recomendaciones

    Según aconseja la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef) para evitar ser víctima de phishing y cualquier ataque relacionado con el robo de claves, toma en cuenta los siguiente:

  • Actualiza tu computadora con herramientas Antispyware, Antivirus y Antiadware para que controlen las conexiones de entrada y salida.
  • Procura que quien instale programas en tu equipo o le dé mantenimiento sea de confianza, ya que algunos programas espías pueden ser instalados físicamente en las computadoras.
  • Utiliza claves fáciles de recordar pero difíciles de adivinar; cámbialas regularmente y usa al menos ocho caracteres alfa-numéricos (letras y números).
  • Desactiva las opciones de recordar contraseñas y auto completar de tu navegador.

    rc/amr



    • © 2006 Copyright El Universal-El Universal Online