domingo, 16 de mayo de 2010

Me robaron mi cuenta de correo! ...



Es común para mi recibir respuestas como :

Frase celebre 1
No me importa que alguien se robe mi cuenta de correo, no tengo nada importante allí.

Frase celebre 2
Realmente no me importa que alguien se robe mi cuenta de correo, no tengo nada que ocultar.

Frase celebre 3
Meh!

Decidí escribir este post para que las personas que aún piensan que el asunto del robo de una cuenta de correo no puede pasar a mayores tengan un segundo punto de vista. Resumo los riesgos en 5 aspectos que deberías considerar antes de levantar los hombros y manifestar que no te interesa el tema, si se me olvida algo, por favor usa los comentarios.

1. Tú perfil

Tu cuenta de correo, lo quieras o no, puede perfilarte en gustos, clase social, económica y religiosa, aunque no lo creas tendrás correos que te identifican con una forma de pensar y de vivir, un intruso informático extraerá toda la información que quiera sobre ti de los correos que consideres no importantes. Generalmente esta será la cuenta que usas para enviar correos privados e información personal tal como tus hojas de vida y obviamente será el lugar donde las personas interesadas en tu talento te escribirán, ¿Qué pensarías si en este mismo instante no la tuvieras disponible?, alguien adivinó tu contraseña y ahora no puedes ingresar!


2. Mensajes falsos

Tu cuenta de correo puede ser usada para engañar a tus contactos, la pueden usar para pedir favores, establecer citas, organizar reuniones, dar ordenes, coordinar proyectos o lo que se le pueda ocurrir a un intruso dependiendo del perfil de la cuenta a la que tenga acceso, no es lo mismo una cuenta personal a una cuenta corporativa. ¿Qué piensas ahora?, ¿tienes alguien en el trabajo que quisiera tener tu cuenta para enviar este tipo de correos?

3. Difamación

Tu cuenta de correo puede ser usada para difamarte o difamar a un compañero de trabajo o hasta tu mismo jefe, piensa por un minuto si desde tu cuenta se escribiera un correo grotesco a tu jefe, ¿Qué pensaría de ti?, ¿Qué sucede si eres alguien nuevo en la empresa?, ¿Qué sucede si le escriben a un profesor del colegio o universidad?, ¿te creerían?. Tu cuenta de correo robada puede ser un canal para enviar fotos, vídeos, mensajes, campañas y hasta malware a nombre tuyo, piensa en lo que esto le ocasionaría a tu reputación. ¿Te importa tu reputación?


4. Recordatorios

Tu cuenta de correo no solo tiene información acerca de los correos que van dirigidos a ti en esa cuenta, muchos sistemas y portales en Internet usan cuentas de correos como recordatorios, quizás tu cuenta de correo robada sea el lugar al que llegarán los típicos correos recordatorios de contraseñas de facebook, gmail, hotmail, yahoo, de algunos cursos en línea, del pago de los servicios, los comprobantes de pagos de salud y pensión, de nomina, los abonos de la tarjeta de credito, los recordatorios de claves privadas de otros sistemas como el DAS, la procuraduría, los bancos, etc. Haz el ejercicio de pensar cuantos portales, blogs, sistemas de IM usas y cuantos de estos apuntan sus recordatorios a tu cuenta de correo robada. Un intruso con esta cuenta en su poder, podrá recuperar cada uno de los accesos a estos servicios. ¿Cuanta información podrá recolectar?, ¿ Hará lo mismo para cada una de los servicios recuperados?. Por supuesto!.
¿Sigue sin importante?


5. Disponibilidad

La NO disponibilidad de tu cuenta de correo te acarreará problemas con otros contactos, no solo amistosos, si no de trabajos, citas, reuniones, proyectos, pagos pendientes y todo el día a día que tienes almacenado. No poder contactarte con alguien porque no recuerdas su correo es algo molesto y asumir que perderás estos contactos para siempre es mucho peor. o NO?


Una vez reflexiones acerca de las consecuencias de no prestarle atención a tu cuenta de correo pasemos a plantear algunas contramedidas que puedes aplicar.


a. Los sistemas de correos son útiles para nuestra vida diaria, sin embargo compartir información privada sin usar mecanismos de seguridad adecuados no es para nada recomendable, por esto se recomienda usar aplicaciones de llaves públicas como GPG, donde podrás crear un par de llaves (privada y pública) y de esta forma podrás cifrar y firmar cada correo electrónico que vayas enviar. En caso de alguien logre robarte la identidad en el correo no podrá recuperar los mensajes en texto claro, pues solamente estarán disponibles para la persona a la que se lo enviaste.

b. Una segunda contramedida es no enviar a través de este medio, fotos, vídeos, o material que no quisieras ver publicado en sitios de Internet sin tu autorización, la mejor forma de no perder el control sobre esta información, es no compartirla.

c. Para verificar que un correo es tuyo y no de una persona que lo esta suplantando, alguien debería comprobar tu identidad digital, una forma de hacerlo es a través de las firmas electrónicas o de los certificados digitales, si tu empresa aún no usa esto, es hora de que se lo cuentes, de esta forma cuando llegue un correo electrónico aparentemente firmado por X, todos tendrán la certeza de que se trata de X y no de alguien suplantándolo. El mito es que estos sistemas son costosos y por eso las empresas no los implementan, la verdad es que existen sistemas libres y opensource totalmente gratuitos y que la implementación se puede hacer en menos de un mes dependiendo del tamaño de la compañía.

d. Trata de usar los recordatorios de las cuentas lo menos posible, en algunos casos es preferible arriesgarse a perder la información almacenada allí, que establecer un mecanismo de recuperación fácil de adivinar, como las típicas preguntas ¿ Donde nació su Madre?, ¿Cual es mi color favorito?, estas preguntas se pueden deducir despues de visitar tu facebook o haciéndote la pregunta directamente en el MSN cuando alguien se hace pasar por una rubia de 1.80 de estatura a la que le encanta bailar "pegaito". Por favor evita responder a estas preguntas y evita los mecanismos de recuperación de contraseñas. Pero si es necesario hacerlo, garantiza que la cuenta a donde llegarán todos los recordatorios es la mas segura de todas y que la clave la estas actualizando por lo menos cada mes. Como recomendación general usa respuestas en los sistemas recordatorios bastante complejas de mas de 20 o 40 caracteres y anota esta respuesta en un papel y guardalo bajo llave en tú casa, de esta forma podrás recuperar tu acceso si algo extremo ocurre, es algo mas complicado, pero le harás la vida mas difícil a cualquier delincuente informático o amigo aficionado que quiera husmear en tus archivos.

e. Crear respaldos de los correos es una buena política. Cuando tengas respaldados los correos intenta eliminarlos de las fuentes originales, esto hará que existan menos copias de la misma información, lo que logra un mejor control de la misma. De vez en cuando puedes ponerte en el escenario donde no tienes acceso a tus cuentas de correo y esto te obligará a pensar cual es la información que consideras IMPORTANTE y así podrás determinar que es lo que debes respaldar. Recuerda que los respaldos no solo son los textos que van con los correos, recuerda que en gran parte el sistema de correo se usa para transportar ficheros (doc, odt, xls, ppt, pdf, avi, exe, etc) que pueden ser vitales para tu estudio o trabajo, trata de prestarle atención a estos y trata de mantenerlos en lugares seguros fuera del sistema de correo.

f. Una recomendación que suena bastante drástica es limpiar/purgar el sistema de correo cada cierto tiempo, personalmente borro mis cuentas de correo cada cierto tiempo, al punto de dejar 1 o 2 mensajes importantes, se que es algo que puede ocasionar un infarto para algunos, pero ya lo he hecho y he sobrevivido, mi última limpieza resultó en -14.000 correos en mi Inbox, aunque fue motivado por un ataque de paranoia me ayudó a comprender que datos eran los realmente importantes en ese mar de mensajes. Después de eso lo hago con mas cautela, selecciono la información, respaldo y luego DELETE ALL. :)


Espero que este post te haya parecido interesante, si tienes aportes sobre otros posibles problemas u otras posibles contramedidas, eres bienvenid@ para aportar en los comentarios.

4 comentarios:

SairuX dijo...

Muy buena reflexión nonroot, ya que a veces olvidamos todos estos problemas que implica la perdida de una cuenta de correo. Lo que me pone a pensar es que te llevo a escribir esta entrada... :D

nonroot (c) 2010/2011 dijo...

Jajaja, just for fun, pero si alguien se me roba alguna cuenta, por favor me pone un SMS con la clave ;)

Julio Restrepo dijo...

La nube...

Veo 3 golpes fatales a la privacidad en la historia de informática:

1) Active Directory: Las mismas credenciales permiten el ingreso a múltiples recursos.

2) Cuando los grandes proveedores de correo dijeron "No necesitas borrar tus mensajes"... y todo el mundo dejó de borrarlos.

3) Las redes sociales: Cuando todo el mundo empezó un gran proceso de documentación de su vida privada... de manera pública.

Por ahora rastrean nuestras ips públicas, próximamente estarán en nuestros teléfonos móviles y un poco después nos georefenciarán.

Esa será nuestra perdición.

m@olinux dijo...

excelente post nonroot. saber como manejar cada dia su privacidad en la red es super importante estamos expuestos a variedad de ataques como la que se expones en este post.perfecto el punto de vista en el que tomas la capacidad y manejo en la internet. es de suma importancia lo cual haces ver a demaciadas personas que se den cuenta de la realidad y los peligros .ojala la gente se anime a ver pos que dicen la realidad de la vida virtual. me facino

Entradas populares