El reciente episodio del hackeo a Mat Honan, popular periodista tecnológico, es de esos que proporcionan muchos temas para la reflexión y el aprendizaje, así como muy interesantes lecturas para todos los que vivimos apasionadamente entregados a ese concepto de la «vida digital».
Si no habías oído hablar del tema, te recomiendo que empieces por su anuncio del tema en su Tumblr, «Yes, I was hacked. Hard«, en donde documenta lo ocurrido con toda suerte de detalles y actualizaciones posteriores. Y, sobre todo, la parte que más me interesa: cómo lo vivió. En lo referente a este tipo de temas, es importante entender que la pregunta no es si te va a pasar a ti, sino cuándo, y que, por tanto, si eres capaz de entenderlo y de saber cómo te vas a sentir cuando ocurra, tienes un importante camino ganado. Dado un interés determinado que todos en algún momento de nuestras vidas podemos generar, debes saber que si alguien quiere hackearte, lo hará. Punto. Como bien dice la frase del gran Gene Spafford, ‘Spaf‘,
«el único sistema realmente seguro es aquel que está apagado, confinado en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados – y aún así tengo mis dudas.»
Es sencillamente inevitable. Lo que no quiere decir, lógicamente, que no debamos intentar impedirlo o tener la preparación más adecuada para cuando tenga lugar.
Después, te recomiendo también su artículo en Wired, «How Apple and Amazon security flaws led to my epic hacking«, para terminar de entender qué pasó y cómo pudo haberse evitado. Para tu tranquilidad – pero no demasiada – tanto Apple como Amazon han anunciado que ya los agujeros en los procedimientos que permitieron la entrada en sus cuentas han sido corregidos. La próxima vez, será a través de otro agujero diferente. Pero ocurrirá.
¿Qué ocurrió? Básicamente, ingeniería social. Una llamada telefónica a Amazon para añadir una tarjeta de crédito, un procedimiento para el que eran necesarios únicamente un nombre, una dirección de correo electrónico y una dirección de facturación, datos a los que resulta relativamente sencillo tener acceso. Tras esto, una nueva llamada a Amazon para, alegando que habían perdido el acceso a esa cuenta y utilizando la información de la recién añadida tarjeta de crédito, añadir una nueva cuenta de correo electrónico. Esa nueva dirección de correo les permitió solicitar y recibir un reset de contraseña. Con el acceso a Amazon, pudieron ver los últimos cuatro dígitos de la tarjeta de crédito real de Mat, información que les permitió, junto con la dirección de correo electrónico y la física, llamar por teléfono a Apple y solicitar una contraseña temporal para acceder a su iCloud, y borrar seguidamente el contenido de varios dispositivos.
¿Tercera lectura recomendada? Business Week y su reflexión al respecto: cómo antes lo que resultaba cool era hackear sistemas Microsoft, y ahora, en cambio, lo cool es conseguir hackear sistemas Apple: «In today’s performance, the role of Microsoft will be played by Apple«. A pesar de que una primera interpretación podría leerse como algo positivo para la empresa de Redmond, no os engañéis y analizad lo que realmente significa: podéis estar completamente seguros de que a nadie en Microsoft le va a gustar leer esta noticia.
Dado un interés suficiente y con la preparación adecuada, nadie es inaccesible, por más sofisticadas que sean sus contraseñas. ¿Qué hay que hacer? Aprovechar situaciones como la ocurrida a Mat, que dada su condición de periodista especializado ha aprovechado para documentar y comentar todo con una gran precisión, para aprender del tema, y hacer una buena revisión de las mejores prácticas para la seguridad en la nube que se publiquen en los análisis posteriores. Sencillamente, piensa cómo te sentirías si te ocurriese a ti, e intenta actuar en consecuencia. Ver cómo, en cuestión de una hora, pierdes acceso a tu correo electrónico, tu cuenta de Twitter empieza a publicar estupideces con las que no tienes nada que ver sin que puedas controlarlo, y se empiezan a borrar tus dispositivos uno por uno suena, sin duda, a la peor de las pesadillas para cualquiera.
Desde el punto de vista estrictamente tecnológico, no hablamos de ningún derroche de medios: fundamentalmente, ingeniería social. Lo dicho: si a alguien le interesa lo suficiente y lo prepara adecuadamente, seguro que podrá hacerlo. Intenta al menos poner los medios oportunos para, si ocurre, no perderlo todo.
ACTUALIZACIÓN: Un interesante bonus track, el relato de cómo Mat Honan recuperó sus datos y su vida digital tras el ataque, contado por él mismo.
Pues si alguien no sabía cómo hacerlo…
Enrique, genial tu aviso, pero igual que has descrito qué hay que hacer para conseguir los datos de una tarjeta de crédito, yo en particular, te agradecería muchísimo que describieras igual de claro qué hay que hacer para intentar evitarlo. (Las explicaciones técnicas en inglés pueden resultar farragosas a los que no somos expertos). Es decir, ¿podrías darnos algún consejo concreto que ayude a lo de «Intenta al menos poner los medios oportunos para, si ocurre, no perderlo todo».
Muchas gracias por tu ayuda.
El DNIe se supone que podría evitar cosas como esta.
La confianza ciega en la nube y la desidia al no hacer backups locales sólo se soluciona estudiando estadística.
La pérdida de la identidad digital está camino de convertirse en un trauma de dimensiones épicas. Más cerca hemos tenido el caso de Mikel Agirregabiria, un bloguero prolífico por aquí arriba, al que un robot de google le cerró la cuenta porque interpretó que, escribiendo tanto, tenía que ser un bot y no una persona. Al final, no hay mucha diferencia entre que te hackee un maloso o lo haga la propia empresa que te da el servicio :-)
La historia: http://blogagirregabirianet.blogspot.com.es/
Esta inseguridad tan inevitable, es la que fuerza a que cuando debas efectuar un trámite legal, económico etc, esten obligados, deberia ser YA por ley, a ofrecerte un medio alternativo como telefono, fax o en persona etc, revelando una vez mas a internet como medio no válido y limitado. En la jungla mejor ir con cuatro ojos y la escopeta cargada, y no llevar dinero encima …
Este tema es realmente interesante, y lleva a varias reflexiones:
– Hay mucha gente que se expone de una forma casi peligrosa a perder sus datos. Este reportero usaba una laptop como ordenador principal. Tenía información importante en ese portátil. No hacía backups. Tenía instalada una funcionalidad que permitía borrar todos los datos del ordenador remotamente. Y siendo periodista, seguramente llevaba ese portátil por todo EEUU, a hoteles, convenciones, reuniones, aeropuertos, etc. Que coraje.
Una caída, un accidente, un ladrón, o cualquier otra cosa que afectara a ese portátil (como un hacker) le habrían hecho perder esos datos únicos que ha perdido.
El hecho que fuera un portátil le hizo habilitar la función de borrado remoto, en caso que le robaran el ordenador, y fue esa funcionalidad la que utilizaron para dejarlo sin las fotos de su hija o de sus familiares desaparecidos. Terrible. Esta funcionalidad tiene mucho más sentido en un smartphone. Pero en tu ordenador principial, no, no, no.
Si decides usar un portátil como ordenador principal, asegúrate de tener un backup de datos externo. Los portátiles son propensos a sufrir accidentes, a ser robados, etc. No arriesgues tus datos, tus trabajos, tus fotos a ser perdidos en un momento.
– Eventualmente, tu dirección de correo principal se convertirá en tu centro neurálgico de datos. El sitio dónde van a parar los correos de recuperación de contraseña. Dónde van a parar las facturas de la compra online. Dónde habrá mayor cantidad de datos personales. Asegúrate de que acceder a esta dirección sea difícil.
Cuando tomé conciencia de que mi dirección de correo de Gmail se había vuelto demasiado importante en mi vida. Que cualquiera con acceso a ella sería capaz de acceder a mi presencia digital, a mis datos, cambié a la verificación de dos pasos. De momento, es el mejor sistema para impedir que accedan a esa cuenta fácilmente. Si tu proveedor de correo no tiene verificación de dos pasos, cambia de proveedor. Con el tiempo veremos este tipo de verificación implementarse en más servicios (Battle.net de Blizzar, por ejemplo, lo utiliza).
– Amazon la ha cagado malamente con los datos de la tarjeta de crédito que revela. Del número de la tarjeta de crédito, los primeros dígitos son los comunes, los que indican que tipo de entidad es. Estos dígitos no son importantes. Los últimos 9 dígitos corresponden a la cuenta y al número de control. Son éstos dígitos los que no se deben revelar, y son precisamente los cuatro últimos de estos los que Amazon deja visibles. Pifia total.
– Las redes wifi son un punto débil de acceso, que permite acceder fácilmente a un ordenador. Muchos (demasiados) de los ataques sobre móviles y ordenadores personales ocurren por ataques «Man in the Middle» sobre redes wifi. Cambiar el password y el SSID de la red wifi por uno seguro no es demasiado tedioso, y te puede dar un poco más de seguridad ante un posible ataque. Para evitar problemas, la mejor solución es encriptar la red con WPA2 con una clave de 63 caracteres aleatorios (usando por ejemplo Wireless Key Generator: http://www.perceptionreality.com/wkg/), un SSID también aleatorio de al menos unos 10 caracteres y deshabilitar la opción de WPS de los routers. Demás está decir que hay que cambiar la contraseña por defecto del router. :P
– Un buen esquema de contraseñas, que evite repetir la misma contraseña en distintos sitios sin que sean difíciles de recordar, siempre es de ayuda. Aunque la mejor opción son los gestores de contraseñas. Pero como se ve en este caso, a veces ni siquiera es necesario saber las contraseñas, basta con un poco de ingeniería social para obtener acceso a las cuentas que queremos.
Teniendo en cuenta que los chips de las tarjetas son muy difíciles de reproducir, no entiendo por qué no tenemos ese tipo de lectores de tarjetas incorporados en el hardware y software de nuestros terminales, y tener una tarjeta para cada servicio. No digo que sea la panacea, pero sí que junto con una contraseña alfanumérica se lo pondría más difícil a los hackers.
Por otra parte da miedo la facilidad con la que con una simple llamada, empresas como Amazon, Apple, etc. distribuyen datos personales, sin confirmar la identidad del que llama. No me extraña que después nos spamicen con todo tipo de publicidad inútil, o que recibamos llamadas para encuestas en nuestros móviles (llamadas hechas por empresas privadas) o que recibamos publicidad dirigida a nosotros en nuestros buzones. Está claro que con empresas así la Agencia Española de Protección de Datos tiene un valor simbólico.
Perdón pero de Hackeo nada… Y lo de ingenieria social… bien poco… Nosotros para cambiar una contraseña no sabes el jaleo que hacemos, nos falta tomarte la huella online para cambiarte algún dato… Aquí lo que paso es lo de siempre, no importa lo seguro que es tu sistema si depende de un gilipo****
Pero me parece bien para los que se jactan de la seguridad de Apple… si es que no hay que ser Hacker… no tienes que saber nada de informatica para acceder a la cuenta de alguién si detrás del la línea del equipo de soporte hay un tí@ mal pagado, mal formado y al que en realidad poco le importa lo que le ocurra a tu información…
Y estamos hablando de los E.E.U.U. donde hasta hace bien poco, (y si no me equivoco aún se hace)… con meterse a tu basura o directamente a tu buzón y accediendo a cualquier cuenta cualquiera con un poco de ingenio (retorcido)puede suplantar la identidad del dueño de esa cuenta…
Yo no sé en que mundo de fantasias animadas la gente vive pensando que sus datos alguna vez han sido seguros…
¿Dirían que una tarjeta de crédito es un medio «seguro» de pago?
No lo es, y que sea una forma de pago generalizada es porque es ACEPTADA.
La clave para un sistema no es su seguridad, sino la ACEPTACION.
VISA se aceptó porque se responsabilizan de devolver el dinero a quien es víctima de fraude, no porque sea un sistema «seguro».
Damian, un comentario muy útil. Gracias :)
Mi experiencia es que la seguridad a un nivel medianamente alto es incompatible con una vida cómoda y encima es poco eficaz, pues enseguida las normas de seguridad se relajan. El otro día leía que una anciana pacifista se había colado en el arsenal nuclear del ejercito americano. ¿Pretendemos tener nosotros mejor seguridad que el ejercito USA?
Lo más básico y lo que a mí me han obligado a hacer en ocasiones, es cambiar el passwort cada dos meses, por otro que no fuera parte de una serie lógica, o sea que no fuera algo así como ABC11Enero, ABC11Febrero, lo que te obliga a llevar la contraseña en la cartera para que no se te olvide, con el claro riesgo que te la vean o te la copien.
La mejor defensa es pasar desapercibido, a Mat Honan, le han hackeado por ser un popular periodista tecnológico. En esta vida llamar la atención por lo que sea, es siempre peligroso, por eso, la mejor solución vuelvo a repetir por enésima vez, es compartimentar tu vida en distintas personas ficticias, una para el circulo familiar, otra para la vida social, otra para la profesional, y una pública para acceder a sitios como este.
Si hackean a Gorki cosa que probablemente sea sencillo, poco daño me harán, porque no tiene cuenta corriente ni ingresos ni DNI, como mucho entraran en un e-mail en un Twittwr y un Facebook para escribir cosas en mi nombre ficticio para internet.
La mejor defensa no es una caja fuerte, es un pajar, la caja fuerte se pone para tener entretenidos un bue rato los ladrones en abrirla.
El búnker o la esquizofrenia ¡¡Jajaja!!
Casi que voy a seguir como estoy.
Hola,
No me extenderé mucho comentando. Solo quería decir lo que vengo diciendo hace muchos años (y que no es ningún descubrimiento mio): Todo sistema creado por un hombre, podrá ser violado por otro hombre, mas tarde o más temprano.
Un saludo
Gracias. Se dan también aquí entre los comentaristas buenos consejos, pero efectivamente, y como en el mundo físico, si quieren al final te pillan.
Respecto a tener diferentes identidades digitales (Gorki), cierto que reduce mucho el riesgo. El inconveniente es que puede ser un engorro o como mínimo no optimiza tu tiempo. Merecerá la pena dependiendo del valor de tu información. Llevar un perfil bajo por supuesto también es muy efectivo, pero a veces es incompatible con la actividad profesional. Una de las claves para proteger nuestros datos pienso que es clasificar, aun intuitivamente, nuestra información: en función de su peligro potencial la dejamos como está, le ponemos unas medidas de seguridad o directamente no la ponemos en la red. Y las medidas pueden ser tener la información en otras cuentas o mandarla encriptada o dificultar más el acceso u otras cuantas cosas más.
Un problema es que, como en este caso, a veces nuestra seguridad depende de protocolos ajenos. Pero no martiricemos a Amazon; podrían haber obtenido esos 4 últimos dígitos de múltiples maneras, hasta en el buzón físico, el de casa. El fallo es que los 4 dígitos sirvan para verificar una identidad.
Los usuarios tenemos que hallar un balance entre seguridad y comodidad, cosa no sencilla. Cada uno tenemos un punto de equilibrio distinto. Mientras no lo hallemos, hay que procurar no ir desperdigando con alegría datos que puedan cruzar los malos para encontrarnos el fallo, ni tratar toda toda la información igual; la personal, la profesional, la inocente y la peligrosa.
Aquí unas reflexiones con motivo de este asunto:
http://precaver.org/2012/08/sonado-hackeo-a-mat-honan/
Saludos desde México
Pues el problema es que, como ha dicho el compañero Fabian, el tipo este no usaba las más mínimas medidas de seguridad. ¿No tenía copia de seguridad de sus fotos?. Eso es algo inadmisible. El portátil se puede robar, romper, o, simplemente, como me ha pasado a mi, el disco duro se estropea. A mi se me han estropeado varios HDD ya desde que empecé con la informática hace más de 20 años, y siempre tengo copia de las cosas importantes. Las fotos son de lo más importante que hay.
Luego está el tema de la seguridad en 2 pasos de la cuenta de gmail. Es algo fundamental. De esta forma es casi imposible acceder a tu cuenta. Tendrían que quitarte físicamente uno de los dispositivos autorizados, o el móvil, para poder hackear la cuenta.