jueves, 15 de enero de 2009

David Bisbal hackeado

Hoy se ha hecho público que David Bisbal ha sido objeto de extorsión cibernética fruto del acceso ilegítimo de una fan al correo electrónico personal del artista. Los hechos también son explicados en su propio comunicado.

Sorprende que el método de acceso parece haber sido simplemente que la fan ha podido adivinar las preguntas alternativas que se formulan como método de autenticación alternativo a no conocer la contraseña. Del incidente, íntimamente relacionado con otros similares producidos durante la campaña a las elecciones americanas, me sorprenden dos cosas:
- Por un lado, la importancia del bloqueo de una cuenta si tras sucesivos intentos fallidos no se adivina ni la contraseña ni las respuestas alternativas que permiten el acceso.
- Por otro, el alto valor de los activos que David Bisbal maneja a través del correo electrónico.

Es cierto que la fluidez del email permite agilidad e inmediatez en las gestiones profesionales y personales pero dudo yo que David Bisbal enviara por carta ordinaria información excesivamente valiosa o comprometedora. El formato electrónico parece tener la curiosa habilidad de hacer disminuir el valor de la información, pero una canción es una canción ya sea un fichero mp3 o una partitura escrita.

Para estos casos donde la información es tan sensible, yo utilizo un método muy simple basándome en la creación de unos contenedores seguros de información. La idea es bien sencilla, utilizar el software freeware Truecrypt y consta de los siguientes pasos:
  • 1.- Se crea un fichero truecrypt del tamaño deseado (1,2,o más MB) para guardar la información importante que se desea enviar.

  • 2.- Se introducen los archivos valiosos dentro del fichero truecryt.

  • 3.- Se envía por correo electrónico el fichero truecrypt que hace de contenedor seguro.

  • 4.- Se envía un SMS al destinatario o se llama por teléfono para indicar la clave simétrica utilizada para proteger el fichero truecrypt.


El tutorial sobre como usar truecrypt se puede consultar aquí.

También recomendar los consejos que Julián Inza da en su blog para evitar la ingeniería social sobre contraseñas.

  • La longitud de las contraseñas no debe ser inferior a los siete caracteres.

  • Las contraseñas deben estar formadas por una mezcla de caracteres alfabéticos (donde se combinen las mayúsculas y las minúsculas) y números.

  • La contraseña no debe contener el identificador o el nombre del usuario o de otras personas.

  • La contraseña no debe ser (o contener) una palabra del diccionario (de cualquier idioma).

  • La contraseña no debe ser una fecha, o un número identificable como el teléfono, el DNI, la matrícula del coche,…

  • La contraseña no debe estar compuesta por letras cuyas teclas sean consecutivas en el teclado

  • Un truco interesante es pensar en una frase (que no sea de uso muy frecuente) y utilizar laa letras iniciales de cada palabra. Ojo, que mucha gente usa este truco y acaba poniendo +vpemq100v (¿adivinas el refrán?)

3 comentarios:

Julio Cidón dijo...

Creo que bloquear las cuentas de correo tras x intentos de introducir la contraseña o la pregunta de seguridad para recordare esta no es una buena política pues en caso de querer fastidiar a alguien lo tendríamos muy fácil.
Por otro lado Bruce Schneier decía en un artículo que nunca ponía una pregunta y una respuesta de seguridad para recuperar contraseñas, en su lugar escribía algo sin sentido (tecleos aleatorios) para evitar un problema como el que le ha ocurrido a Bisbal. Creo que es buena política.

Javier Cao Avellaneda dijo...

Pues tienes razón, una configuración del bloqueo de cuenta para servicios externos alcanzables desde Internet podría generar una denegación del servicio. Es algo más propio para redes internas y usuarios corporativos donde en caso de producirse una denegación de servicio pudieramos saber desde donde se realiza.
La estrategia de Schneier es buena siempre que uses una misma regla nemotécnica para recordar cuales son los caracteres que pones porque si no adivinas la pregunta misteriosa, te puedes también quedar sin acceso porque sea tan segura tu respuesta que ni tu mismo luego la recuerdes.

Kawjones dijo...

Me parece que la estrategia de Schneier era caracteres aleatorios y olvidarlo (lo leí en Kriptopolis). La contraseña se apunta en una libreta o se mete en un fichero Truecrypt. Personalmente utilizo la libreta. Puede parecer primitivo, pero la libreta la controlo al igual que el DNI o la tarjeta de crédito. Eso si, las contraseñas importantes estan a su vez camufladas y dejo a la vista (en la libreta) las contraseñas de las cuentas basura (las que uso para los registros que te pide por cualquier cosa) tambien con truco: Todas acaban en el mismo número y ese es el que no pongo. Con ello espero que el posible ladrón se entretenga con la posible clave de la cuenta basura y me de tiempo a cambiar las importantes.

 
;