Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hack - Robo de Cuentas de Hotmail
Hack - Robo de Cuentas de Hotmail
qxd
10/15/03
11:28 AM
Page 60
RUBEN GUTIERREZ
.hck
DESARROLLADOR WEB
rubeng@tectimes.com
LA INGENIERIA SOCIAL, AL
SERVICIO DE LOS CRACKERS
ROBO DE CUENTAS D
upongamos que, por algn motivo, alguien quisiera obtener la contrasea de
cierta persona. Normalmente, el atacante
tendra dos caminos: crackear la cuenta en cuestin
o hacer que la misma vctima le d su contrasea.
Sin duda, la segunda opcin parece la ms conveniente, ya que, en un principio, no requiere de demasiados conocimientos tcnicos (necesarios para
crackear cualquier tipo de cuenta), pero a la vez, parece la ms disparatada. Cmo alguien va a lograr
que su vctima le entregue su contrasea? Muy
simple, usando ingeniera social.
INGENIERIA SOCIAL
FIGURA
01
60
FIGURA
02
POWERUSR
INSEGURIDAD.qxd
10/15/03
11:28 AM
Page 61
*
DE HOTMAIL
QUIEN VISITE FOROS O CHATS DE SEGURIDAD CON FRECUENCIA SE HABRA CRUZADO ALGUNA
VEZ CON UN USUARIO NOVATO QUE PREGUNTA COMO HACKEAR UNA CUENTA DE HOTMAIL.
LA RESPUESTA SIMPLE ES: NO SE PUEDE.
UN ATAQUE EXITOSO
La siguiente es una historia verdica de un ataque exitoso en el que se utiliz la
ingeniera social. Un da, una persona a la cual llamaremos Leonel Zellwegger
(cualquier similitud con nuestro benemrito Secretario de Redaccin es pura
coincidencia...) recibi en su cuenta de Hotmail un mensaje de YupiMSN (ambas
empresas, propiedad de Microsoft) a nombre de un tal Ricardo Haveice. Como
Leonel conoca a Ricardo, no le pareci extrao que le hubiera enviado una
postal. El ataque comenzaba a perpetrarse. Para ver dicha postal, Leonel no tena ms que hacer clic en el enlace que apareca en el mensaje: ste apuntaba
(o al menos eso pareca) a una pgina dentro del dominio postales.yupimsn.
com. Al hacer clic sobre el enlace, se abri una nueva ventana, pero a diferencia de lo que uno podra suponer, lo que apareci no era la postal, sino una
ventana de Hotmail en la que se le peda volver a ingresar su contrasea para
continuar. El hecho de que todos los enlaces de los mensajes de Hotmail tengan
un marco superior con el logotipo de la empresa, y que por ese entonces la pgina pidiendo volver a ingresar la contrasea (el nombre de usuario apareca
automticamente en la pgina) era muy comn en este servicio de mail, ayud
a que Leonel no sospechara nada, o al menos no lo suficiente. Ansioso por ver
la postal de su amigo Ricardo, Leonel ingres su password tal y como se le peda. Tras hacer clic en el botn correspondiente, fue redirigido a una pgina
dentro de YupiMSN y pudo disfrutar de su tarjeta postal virtual. Minutos despus, la vida de Leonel se volvera un calvario al darse cuenta de que su contrasea haba sido robada por cybercriminales (ejem...) que le cambiaban su
nick en Messenger por obscenidades de todo tipo.
COMO SE HIZO
El sistema que haban utilizado los atacantes era bastante simple. Por empezar, el mensaje que recibi la vctima no era un mail enviado en texto puro,
como los que manda el sistema de postales de YupiMSN, sino un mail en formato
FIGURA
03
POWERUSR
FIGURA
04
61
INSEGURIDAD.qxd
10/15/03
11:28 AM
Page 62
FIGURA
05
62
A ESTAR ATENTOS
En el momento menos pensado, hasta el usuario ms
avanzado y precavido puede ser vctima de un ataque o
robo de este tipo. Muchas veces, el xito de un ataque
que utiliza ingeniera social no depende tanto de la ingenuidad de la vctima, sino de la astucia del victimario.
Por eso, en la Red de Redes, hay que estar siempre con
los dos ojos bien abiertos. [N. de la R.: Rubn, la prxima te corto las manos!]
FIGURA
06
POWERUSR