Seguridad de cuentas Hotmail y otros webmails
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Introducción
Es probable que conozcas a personas o incluso tu mismo en estas
situaciones: "Me han robado la contraseña de mi cuenta de correo, ¿qué
hago?", "Me han hackeado mi cuenta de correo, malditos hackers", "No
puedo entrar a mi cuenta de correo, me dice que la contraseña está
equivocada", "¿Cómo puedo recuperar mi correo?, me lo han robado" o el
típico "Ayudaaaa, me han hackeado mi correo Hotmail, me muero...".
Lamento decirte que es poco probable que recuperes tu cuenta de
correo, hablaré más adelante al respecto, acerca de lo que se puede
intentar para recuperarla. Si estás leyendo este documento y no tienes
mucha idea de cómo mantener segura tu cuenta de correo y aún no has
sufrido la desgracia de que te la roben, entonces espero que el
presente documento te ayude para prevenir que lo hagan. Si estás
leyendo esto porque eres una víctima más del "jackeo de correos",
espero que te pueda servir de ayuda, aprendas y evites que vuelva a
pasar.
Así pues, en este tema trataré (lo mejor posible) acerca de las
pautas básicas de seguridad (actuales y a la fecha de este documento)
para mantener "segura" (la seguridad nunca es del 100%) tu cuenta de
correo Hotmail, que bien pueden funcionar con cualquier cuenta de
correo webmail (el correo webmail es todo aquél que puede ser
consultado a través de un sitio web, los ejemplos más comunes son
Hotmail y Yahoo!).
Antes que nada quiero aclarar varias cosas, anteriormente he
mencionado las palabras hackear y hackers, entre comillas, pero quiero
que se lea con un aire sarcástico. Aunque el tema de robar contraseñas
de correos es ampliamente conocido en Internet como "Hack Hotmail",
nada tiene que ver con el verdadero hack, el hacking o los hackers; de
hecho, en esos círculos es muy mal visto andar robando correos por ahí.
Los verdaderos hackers no estarían perdiendo el tiempo robando
contraseñas de cuentas de correo. No me meteré en detalles acerca de la
verdadera definición de hacker (si quieren buscarla usen Google), pero
te aseguro que un hacker NO ES un idiota que anda robando contraseñas
de correos por doquier, los idiotas que hacen eso se les llama Lammers
(la escoria del Internet).
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Seguridad Básica
Empecemos por la seguridad básica general, la que no sólo te
ayudará a prevenir que te roben tu cuenta de correo, sino a proteger tu
computadora de otras amenazas. Estos son:
Antivirus
Cortafuegos (en inglés Firewall)
Antitroyanos
Antispywares
Es probable que ya tengas algunas de estas aplicaciones, pero me he
encontrado con mucha gente que no las tiene, o al menos no todas. No te
garantizarán el 100% de seguridad, pero si un porcentaje mayor si no
los tuvieras.
Antivirus: te protege te virus, gusanos, troyanos y códigos
maliciosos. Es el que por regla general debería estar en cada ordenador
(algunos no los usan, bien son precavidos o si se infectan saben cómo
hacerlo manualmente). Algunos métodos de robo de contraseñas usan
troyanos o gusanos para robar contraseñas guardadas en el equipo, como
por ejemplo la del correo. Otros, los keyloggers (algunos vienen
incluídos en troyanos) capturan todas la teclas presionadas por el
usuario, por lo que al acceder a tu cuenta de correo, introduces la
contraseña y ésta queda guardada y posiblemente envíada al atacante. La
mayor parte de los antivirus no detectan todos los troyanos y
keyloggers, por lo que es necesario usar aplicaciones más
especializadas (las cuales explicaré en breve). Existen muchas
aplicaciones antivirus hoy en día. A continuación enumero algunas de
ellas: Kaspersky, NOD32, Norton, McAfee, Norman, PC-Cillin, Panda,
Antivir, Avast!, BitDefender, ClamAV, AVG, PER y RAV entre otros.
Cortafuegos: también se les conoce como Firewalls. Su principal
función es detectar, controlar, permitir o bloquear todas las
conexiones que realize la máquina al exterior o que intenten acceder
desde afuera. Como ya mencioné antes, existen troyanos y keyloggers que
facilitan el robo de contraseñas, pero la mayoría de estos tienen que
establecer una conexión con el agresor (de hecho, los troyanos
forzosamente necesitan una conexión para funcionar, los keyloggers
también pueden necesitarla si se les configura para enviar los datos
guardados, a menos que el agresor tenga acceso físico a esa máquina,
entonces ya no se necesitaría de dicha conexión), por lo que un
cortafuegos puede ser muy útil para detectar y bloquear sus intentos de
conexión (y ubicar el ejecutable del troyano/keylogger) y por ende
prevenir y evitar el intento de robo de contraseñas. Los cortafuegos
más conocidos son: Outpost, Kerio, ZoneAlarm, Tiny, Norton, McAfee,
Kaspersky, Panda y BlackIce entre otros.
Antitroyanos: como su nombre lo indica, se dedican a detectar y
limpiar troyanos, entre sus capacidades también están las de detectar
keyloggers. Detectan más troyanos y keyloggers que un antivirus normal.
Los más conocidos son: TDS3, The Cleaner, Anti-Trojan, Trojan Remover,
TrojanHunter, CWShredder entre otros.
Antispywares: son programas espías, que se introducen en tu sistema
y recolectan información. Pueden llevar a ralentizar tu sistema o a
meterte publicidad. Generalmente no le hacen nada a las contraseñas
(algunos pocos si las buscan), pero pueden recoger datos como
direcciones de correo, para después enviarles spam (correo no
solicitado), las páginas por donde navegas, etc. Los mejores son:
Ad-aware SE, SpyBot Search & Destroy, Spy Sweeper, PestPatrol,
SpywareBlaster y CWShredder. Con mención honorífica el programa
HijackThis.
Bueno, esas son las medidas generales de seguridad, seguro te
ayudarán a algo más (mucho más) que sólo proteger tu cuenta de correo
de robos de malwares (todo aquél código malicioso y/o dañino).
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
La "Ingeniería Social"
En el robo de contraseñas, no todo es malware. También existen
fraudes, engaños y timos, en los que usuarios desinformados o muy
inocentes caen y ya sabemos qué consecuencias puede traer ésto. Se le
conoce generalmente como "ingeniería social", que no es otra cosa más
que engañar a la víctima.
El ejemplo más común es el de los Xploits (favor de no confundirlos
con los Exploits, nótese la diferencia) y páginas clonadas. Los Xploits
son correos electrónicos (hechos en lenguaje HTML, así que seguramente
los verás bonitos y con alguna imagen) que llegan a tu buzón de correo
simulando ser un correo legítimo proveniente, principalmente, de
Hotmail, bancos (phishing), sitios de postales electrónicas, etc. Los
Xploits pueden llegar de cualquier dirección de correo electrónico.
Incluso desde una inexistente, el e-mail de tu madre, del Staff de
Hotmail, de Bill Gates o incluso de Dios. Así que no te confíes, ya que
falsificar un remitente de correo es relativamente fácil (aunque no por
eso es fácil el anonimato, un persona con los suficientes conocimientos
avazados puede rastrear el correo y dar con la fuente y el culpable).
Si quieren un ejemplo real y que además ha aparecido en las
noticias mientras escribía estas líneas (aunque se trata de cuentas de
correo Yahoo!, pero la esencia es la misma):
"Se ha detectado una estafa que afecta directamente a usuarios de
las cuentas de correo electrónico gratuito de Yahoo! Un mensaje que
parece venir del administrador del sistema de correo advierte de que se
deben introducir de nuevo los datos personales de la cuenta, a la vez
que intenta ejecutar un programa malicioso.
Lunes, 27 septiembre 2008
VÍCTOR DOMINGO, ASOCIACIÓN DE INTERNAUTAS
En los últimos días los usuarios de correo de Yahoo! han recibido gran cantidad de intentos de estafa a través de emails.
En ellos se advierte de que la cuenta de la víctima ha sido
utilizada con fines aviesos, por lo que será cancelada en los próximos
tres días a menos que se introduzcan de nuevo los datos personales (la
contraseña de la cuenta). El correo además contiene un archivo adjunto
con extensión PIF que ejecuta código malicioso en la máquina del
usuario.
El texto del mensaje, en inglés es:
"Your e-mail account will be disabled because of improper using in
next three days, if you are still wishing to use it, please, resign
your account information. For details see the attached file."
El correo parece venir de la cuenta
[email protected] , e
intenta hacerse más creíble incluyendo imágenes de la compañía. Estos
son datos falsos que no hacen más que confundir a los usuarios
confiados.
Las compañías legítimas nunca envían correos con archivos adjuntos.
Si necesitan que el usuario descargue algún archivo, envían un enlace a
un servidor que permite su descarga."
Fuente:
http://iblnews.com/noticias/09/116328.html
Este es tan sólo uno de los muchos ejemplos que hay. Aunque éste mete la novedad de querer infectarte con un virus.
Si quieres ver más ejemplos puedes ver los siguientes:
Ejemplo 1 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail1.jpg
Ejemplo 2 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail2.jpg
Ejemplo 3 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail3.jpg
Ejemplo 4 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail4.jpg
Ejemplo 5 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail5.jpg
Ejemplo 6 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail6.jpg
Ejemplo 7 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail7.jpg
Ejemplo 8 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail8.jpg
Ejemplo 9 <<
http://www.arwinianos.net/biblioteca/image...ad_hotmail9.jpg
Ejemplo 10 <<
http://www.arwinianos.net/biblioteca/image...d_hotmail10.jpg
Como puedes ver, la mayoría te salen con alguna excusa para que
caígas y des tu email y tu contraseña, haciéndote creer que quieren
verificar tu cuenta, tus datos, comprobar si todavía la usas,
diciendote que has cometido violaciones de contratos, etc. Todo un
despliege de artimañas para que caigas en la trampa.
Una característica interesante en algunas técnicas es que el correo
que llega puede no tener ninguna de las características anteriores, sin
embargo, puede ser falso y te fue envíado para que vayas a la trampa
(antes la trampa venía a ti, ahora tu vas a la trampa). Por ejemplo, te
llega un email en donde se menciona que te han envíado una postal
electrónica y que para verla necesitas ir al siguiente enlace. Das
click y se abre la nueva ventana del navegador (si usas Internet
Explorer, existe una vulnerabilidad que permite/permitía falsificar la
dirección URL) y de pronto te "aparece" la página de Hotmail diciendo
que tu sesión ha expirado y que tienes que introducir tu email y tu
contraseña... si no has configurado tu cuenta de correo para que la
sesión termine después de ciertas horas o no has cerrado tu sesión en
alguna otra ventana entonces ésto es otra trampa. Para comprobarlo
simplemente regresa a la ventana del navegador donde estaba tu correo y
trata de regresar a tu bandeja de entrada, así lo comprobarás. También
puedes fijarte en el código fuente de la página.
Existe otra modalidad de este tipo de engaños, y es conocido con el
nombre de "Phishing". En esencia, es básicamente lo mismo que los
Xploits, pero el Phishing tiene como objetivo todo tipo de datos
confidenciales, principalmente datos de cuentas bancarias.
En el caso del Phishing, hay ciertas medidas para evitarlo, expongo
aquí un artículo de Oxygen3 24h-365d que habla acerca del tema del
Phishing y medidas básicas, con información suficiente para que te
enteres de las cosas. Considero importante que también lo lean, ya que
son las mismas técnicas que se usan en los Xploits, pero con resultados
más funestos para la víctima (personalmente prefiero que me roben una
cuenta de correo a una bancaria):
"Hoy, en Oxygen3 24h-365d vamos a referirnos al "phishing", un tipo
de fraude que afecta a un gran número de usuarios(*), y a ofrecer unos
consejos para no ser víctimas de ellos.
Las técnicas de "phishing" tienen como objetivo engañar a los
usuarios para conseguir datos confidenciales -como, por ejemplo, las
claves de acceso a sus cuentas bancarias-, y suelen basarse también en
enlaces fraudulentos. Normalmente se presentan en forma de mensajes de
correo electrónico supuestamente enviados por las propias entidades, en
los que se solicita al usuario que acceda a una dirección web que, en
realidad, redirige a un servidor que tiene el mismo aspecto que el del
servicio bancario legítimo, pero que enviará todos los datos
suministrados a los atacantes.
Para obtener los datos que necesitan para llevar a cabo los
fraudes, los atacantes envían a la víctima un e-mail que reúne todos
los elementos necesarios para que parezca que procede de una entidad
legítima. En la práctica, es relativamente fácil falsificar el
remitente de un e-mail (tal y como ocurre con los mensajes generados
por gusanos, que suelen utilizar la misma técnica de forma automática).
También es sencillo falsificar su contenido, ya que los elementos
gráficos de las empresas suelen estar disponibles -de forma pública- en
los sitios web.
Entre las acciones que pueden llevarse a cabo para no ser víctima del "phishing" destacan las siguientes:
- Desconfiar de cualquier mensaje que solicite datos confidenciales
como nombres de usuario, contraseñas, números de tarjeta de crédito,
etc.
- Para asegurarnos de que conectamos con un servidor web seguro
comprobar, en la barra de direcciones del navegador, que la URL
comienza por "https://"
- Prestar atención al icono -como, por ejemplo, un candado cerrado
en el caso de Internet Explorer-, que debe aparecer en la barra de
estado inferior del navegador, informando de que conectamos con un
servidor web seguro. Además, haciendo doble click sobre el icono podrá
visualizarse el certificado de seguridad y comprobar su validez.
- No utilizar enlaces para acceder a sitios web con información
confidencial, y menos aún si proceden de mensajes de correo
electrónicos o páginas no fiables. En su lugar, se recomienda escribir
en el navegador la dirección correspondiente.
- Mantener el sistema puntualmente actualizado, tanto el sistema
operativo, como el resto de aplicaciones, especialmente el navegador
que se utilice para las transacciones electrónicas.
- Contar con una solución antivirus actualizada, ya que también
proliferan los gusanos, troyanos y keyloggers (o programas que capturan
las pulsaciones de teclado) destinados a robar los datos de los
usuarios para poder acceder a la banca electrónica y a otros sitios con
información confidencial."
=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Contraseñas Seguras: Creando la llave mágica.
De nada sirve que hayas leído todo lo expuesto allá arriba si al
final entran a tu cuenta de correo porque tu contraseña era tu nombre o
tu apodo. Crear una contraseña segura implica que sea una contraseña de
más de 8 caracteres, que incluya letras minúsculas, mayúsculas, números
y símbolos (los que te permita el proveedor del correo); y sobretodo
que no sea fácil de adivinar para las demás personas que te conocen
pero que tú la puedas recordar fácilmente (o al menos te acuerdes).
Es importante recalcar que NO ES buena idea que uses contraseñas
fáciles, como una sucesión de números, por ejemplo: "12345678",
"543210", o la serie de Fibonacci ("123581321"

o pi ("31415926536"

u otro de esos; ni letras consecutivas o adyacentes, por ejemplo:
"mnñopq" o "qwertyu"; mucho menos usar datos personales (cumpleaños,
edad, teléfono, domicilio, apodo, nick, etc.) o datos que se puedan
adivinar fácilmente por personas que te conozcan (
[email protected], mascota, tu
tatuaje de la nalga derecha, cantante favorito, serie de TV favorito,
etc.), aún cuando sustituyas algunas letras por números, como "4rwin6".
Eso sigue siendo fácil de adivinar.
Y también es recomendable que no uses palabras que aparezcan en el
diccionario, aunque las escribas al revés. Ésto debido a que existen
los ataques con diccionarios, los cuáles tienen una gran base de datos
con miles de palabras y prueban cada palabra hasta dar con la que usas
como contraseña, pero la debilidad de esto es que es muy tardado y
existe un límite en las palabras a probar, por lo que es posible que el
atacante se rinda antes. Aunque debo decir que los proveedores tipo
Hotmail tienen protecciones especiales para que no se puedan realizar
ataques con diccionarios. Pero es bueno decírtelo de todos modos.
Les remito a un fragmento de un artículo con una estrategia que me pareció muy buena:
"Crear una buena frase como contraseña
La forma más sencilla de crear una buena contraseña que usted no
tenga que escribir para poderla recordar es inventar una frase o
“passphrase”. Una “passphrase” es una oración que usted puede recordar
fácilmente, como "Mi hijo Aiden es tres años mayor que mi hija Anna."
Usted podría crear una contraseña bastante buena utilizando la primera
letra de cada palabra de esa oración. Por ejemplo: mhaetamqmha. Sin
embargo, puede hacer que su contraseña sea aún mejor si utiliza una
combianción de letras minúsculas y mayúsculas, números y caracteres
especiales que parezcan letras. Por ejemplo, utilizando la misma frase
que usted pueda recordar fácilmente y unos cuantos trucos, su
contraseña podría se M#/\e3amQM#@.
Si de todas formas piensa que algo así sería muy difícil de
recordar, puede intentar con una frase más común, como "Más sabe el
diablo por viejo que por diablo". Si utiliza una frase común o algún
refrán popular, asegúrese de incluir al menos un símbolo o número en la
contraseña, como MseDxVqxd."
Jamás permitas que se guarde la contraseña para permitir inicios
automáticamente, ya sea en el MSN Messenger o en Hotmail. Al hacer esto
haces que la contraseña se almacene en la computadora, y todo dato
almacenado puede ser robado (¿recuerdas lo que hablé de virus y
troyanos? Por no decir que también pueden robarse "a mano"

.
Aunque te de flojera estar metiendo el usuario y la contraseña cada
vez, es mejor, a menos que quieras correr el riesgo claro. El lugar más
seguro para eso es tu mente (y eso si no te hipnotizan o te dan drogas
de la verdad pero en verdad no creo que se molesten tanto ).
Recuerda nunca dar tus contraseñas si te las piden en un correo
electrónico, y si aparece un enlace a una página para hacer esto, mejor
abre una nueva ventana del navegador y escribe ahí la dirección. Antes
de dar una contraseña a un sitio web asegúrate que sea el sitio real y
no un fake o falsificación.
Y aquí otro extracto con otra magnífica estrategia:
"La técnica más segura es crear una contraseña nueva para cada
sitio Web o nombre de usuario que requiera una. Esto es casi tan poco
práctico como recordar una larga cadena de caracteres al azar. Una
solución fácil es crear un grupo de buenas contraseñas y utilizarlas en
los sitios en que desee tener más seguridad, como su banco, su corredor
de bolsa o su compañía de servicios. Entonces cree otro grupo de
contraseñas más sencillas que pueda utilizar para todo lo demás.
Recuerde que una buena contraseña debe cambiarse cada dos o tres
meses. Así como asigna fechas para actualizaciones y limpiezas en su
computadora, debería también asignar fechas periódicas para cambiar sus
contraseñas."
Existe otro punto del cual quisiera hablar, que es acerca de las
preguntas secretas. Aunque no lo parezcan, son el último recurso para
recuperar una cuenta robada o si se te ha olvidado la contraseña. Por
ejemplo, a mí en una ocasión me ayudó bastante, cuando olvidé mi
contraseña.
En Hotmail no te permiten escribir una pregunta secreta
directamente, sino que tienes que elegir entre unas que ya están
preestablecidas, las cuales no considero muy seguras, aunque si no
necesitas de la pregunta para acordarte de la respuesta secreta
entonces no es necesaria cambiarla. Para los que si la necesitan
entonces es necesario ir a Opciones (dentro de tu cuenta Hotmail) e ir
a las opciones correspondientes, donde se te permite escribir de verdad
tu propia pregunta secreta, también se te permite cambiar tu respuesta
secreta.
Al igual que en las contraseñas, se requieren de unas pautas
básicas de seguridad. Básicamente tienes que tratar de crear una
pregunta secreta capaz de confundir a cualquier otro excepto a ti, que
conozcas su significado y conozcas su respuesta. Ten cuidado a la hora
de elegir tu respuesta secreta, ya que a la hora de tener que usarla,
es necesario escribirla exactamente igual, así que ten cuidado con los
signos de puntación, la sintaxis y las mayúsculas.
Un ejemplo de pregunta y respuesta secreta bien estructuradas sería:
Pregunta: "Son 7"
Respuesta: "Siete Samurais pueden mover al mundo".
Está bastante claro que una pregunta como esa desconcertaría a
cualquiera, ya que en primer lugar ni siquiera es una pregunta, sino
una afirmación.
Existe la posibilidad de que si te han robado la cuenta la logres
recuperar por medio de la pregunta secreta. Pero si en dado caso el
ladrón ha tenido suficiente cerebro te la habrá cambiado, tanto la
pregunta como la respuesta. Es más problemático si sólo te cambian la
respuesta puesto que te confunden.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Extras:
Evitar más SPAM:
Cuando te llegue publicidad no deseada o SPAM, algunas veces te
indicará que si deseas dejar de recibir esos correos puedes dar de baja
tu correo de sus listas. Pero en realidad al hacer eso, les estás
indicando que tu cuenta de correo existe y de que lees sus correos, y
quizá te den de baja de esa lista de SPAM, pero te incluirán en muchas
otras. Por lo que es recomendable no hacerlo.
Burlando a los Keyloggers:
Muchas personas aún no tienen Internet en su casa, por lo que
recurren a los Cibercafés ya sea para acceder a sus cuentas de correo
Hotmail (y otras webmail) o para utilizar el MSN Messenger (o cualquier
otro mensajero instantáneo). El hacer ésto conlleva un peligro obvio:
no estás en tu propia máquina, y no sabes mucho acerca de la seguridad
de la computadora que vas a usar en el Cibercafé. Tampoco sabes quién
la usó antes y quién la va a usar después. Por lo tanto el peligro es
latente.
Si vas a algún Cibercafé, te puedes topar con que la máquina tenga
un keylogger o un troyano que dejó instalado algún usuario anterior,
con el ya explicado riesgo de seguridad que representan los keyloggers
y troyanos a tu cuenta de correo.
He ideado un modo de burlar a los keyloggers, poder iniciar tu
sesión MSN Messenger y vivir (con tu contraseña actual) para contarlo.
Puede que la forma sea un poco rebuscada, pero he comprobado que
funciona y he burlado exitosamente al PerfectKeylogger y al Windows
Keylogger. Si alguien puede hacer pruebas del método con otros
Keyloggers pues estaré agradecido que me lo indique.
En primer lugar, la situación es entrar a tu correo Hotmail desde
MSN Messenger, ya que el MSN Messenger permite una mayor cantidad de
caracteres para el campo contraseña que los que se permiten en la
página de Hotmail (que son alrededor de 16 caracteres).
Vayamos a un ejemplo del método. Siguiendo los consejos dados
arriba para la creación de una contraseña más segura tenemos como
resultado la contraseña "EkmDlaArw04". Ahora, dependiendo de la
posición de cada caracter en la contraseña, le antecedemos la cantidad
de caracteres igual a su posición, es decir, si la letra "E" está en la
primera posición, colocamos antes de élla otro caracter; la letra "k"
está en la segunda posición, entonces colocamos dos caracteres antes de
ella; la letra "m" está en la tercera posición, por lo que colocamos
tres caracteres antes de élla; y así sucesivamente. El resultado nos
quedaría así:
& quot;aEd2klp0m893kDkcjeilw2d8soaDksO0ewAqOdnx8aar89qwgerdswdKsLcP26sQ05as6foevJD
e4"
Realmente muy largo, pero tranquilo, no es necesario que te lo
aprendas, eso sería muy difícil, (incluso hasta preferiría que me
robaran la cuenta con tal de no aprenderme todo eso

).
No lo había mencionado, pero se necesitará un Diskette (te lo puedes
llevar cada vez que vayas al Cibercafé

, donde simplemente guardarás la
contraseña modificada:
aEd2klp0m893kDkcjeilw2d8soaDksO0ewAqOdnx8aar89qwgerdswdKsLcP26sQ05as6foevJDe4
en un archivo de texto. Hacer ésto con el Bloc de Notas y guardarlo con extensión .txt, con eso es suficiente.
Una vez en la computadora del Cibercafé, abre el MSN Messenger e
introduce tu correo, a continuación abre el Bloc de Notas y abre el
archivo que creaste desde la unidad de Diskettes, selecciona la
cotraseña modificada con el puntero del mouse y cópiala (Ctrl + C),
después, en el MSN Messenger, pégala (Ctrl + V) donde debe ir la
contraseña. Ahora recordando la contraseña original y nuestro
algoritmo, recodamos que nuestra contraseña original es de 11
caracteres (tenlo presente), al menos en este ejemplo, en la tuya puede
cambiar; como el campo de la contraseña en el MSN Messenger te aparecen
sólo asteriscos tendrás que hacerlo "sin ver", pues no podrás ver lo
que borras, sino que lo harás mentalmente, gracias a esto, si el
Keylogger tiene activada la opción de tomar capturas de pantalla no
podrá ver jamás la contraseña original una vez que hayamos borrado los
caracteres sobrantes. Sitúate en el último caracter de la contraseña
modificada, con las flechas de dirección, muévete un lugar a la
izquierda, así no borrarás el último caracter de la contraseña original
(que vendría siendo "4"

;
como tu contraseña original tiene 11 caracteres, presionarás la tecla
de borrado 11 veces, después con las flechas de dirección muévete un
espacio a la izquierda, ahora borrarás 10 caracteres, una vez hecho
eso, de nuevo te mueves otro espacio a la izquierda y ahora borras 9
caracteres y así sucesivamente hasta que quede la contraseña original
en el campo de la contraseña, es entonces cuando puedes dar click en
Aceptar y comenar tu sesión sin que te roben tu contraseña.
Cabe mencionar que en las pruebas he activado la captura de
pantalla y también la opción de loguear el contenido del portapapeles.
Y al hacer este procedimiento no ha aparecido la contraseña original,
sólo la contraseña modificada (y ésto sólo porque estaba activada la
opción de copiar el contenido del portapapeles), así que ésto no le
será de ayuda al gracioso que dejó su Keylogger en el Cibercafé.
El algoritmo que uso aquí no es el único que puedes usar, tu puedes
crear uno según tu conveniencia, por ejemplo, entre cada caracter de la
contraseña original puedes agregar dos o tres caracteres. U otro
algoritmo: antes de los caracteres de posiciones impares de la
contraseña original agregas dos caracteres y antes de los caracteres
con posiciones pares de la contraseña original agregas un caracter,
etc. Depende de tu imaginación; lo imporanta es recordar tu algoritmo a
la hora de borrar los caracteres sobrantes.
Evitar Clones y Fakes de MSN Messenger en un Cibercafé:
Es probable que al igual que el ejemplo anterior, alguna persona
malintencionada haya querido robar tu contraseña utilizando un
Clon/Fake del MSN Messenger. Con un Clon o Fake me refiero a seos
programas que ejecutas y parece que es el inocente MSN Messenger,
cuando en realidad es un lobo disfrazado de oveja, parece el MSN
Messenger original, y a la hora de intentar abrir la sesión, tu correo
y tu contraseña quedarán guardadas. El método para burlar los
Keyloggers no funcionaría en este caso. Lo que tienes que hacer es
verificar que el MSN Messenger es el verdadero. Una forma de hacerlo es
accesar a la carpeta de Archivos de Programa, dirigirte a la carpeta
MSN Messenger que es donde debe estar el programa verdadero y ejecuta
el archivo msnmsgr.exe para abrir el MSN Messenger verdadero.
Configurando la caducidad de la sesión en Hotmail:
También es común que en un Cibercafé a las personas se les olvide
cerrar su sesión, si te llega a ocurrir a ti, al menos no te
preocuparás de que roben tu cuenta, ya que de ese modo no pueden
hacerlo, necesitarían saber tu contraseña para cambiarla. Como ves,
dejar tu sesión abierta no representa peligro de que roben tu cuenta,
sin embargo, el resultado puede ser muy molesto, ya que pueden hacer
otras cosas sin necesidad de conocer tu contraseña: agregar, mover,
eliminar contactos (en caso de dejar abierta la sesión en MSN
Messenger), molestar a tus contactos, ver tu correo, enviar correo con
tu dirección como remitente y borrar correos, entre muchas otras cosas.
En Hotmail, puedes configurar tu cuenta para que la sesión expire
después de determinado tiempo, el tiempo mínimo es de 2 horas, pero
esperemos que sea suficiente, para hacerlo ve a Opciones (está en la
esquina superior derecha) >> Personal >> Caducidad de
sesión.
Respaldando tu lista de contactos del MSN Messenger:
Conviene, de vez en cuando, respaldar la lista de tus contactos de
MSN Messenger, así si te llegan a robar tu cuenta de correo, podrás al
menos reestablecer todos los contactos que tenías antes. Para hacerlo
ve al menú Contactos >> Guardar lista de contactos... y guarda el
archivo en un lugar seguro. Para reestablecer tus contactos a partir de
este archivo, ve al menú Contactos >> Importar contactos de un
archivo..., y ahora sólo busca el archivo donde has respaldado tu lista
de contactos.
Evitando que lean tu correo de los archivos temporales:
Es posible que puedan ver los correos que has recibido o mejor
dicho los que hayas visto durante tu sesión, pues es posible que se
queden guardados en los Archivos Temporales de Internet, para evitar
esto simplemente hay que borrarlos. Desde Internet Explorer dirígete al
menú Herramientas >> Opciones de Internet >> presiona el
botón Eliminar Archivos..., selecciona la casilla y da click en
Aceptar.
Evitar que entren en tu correo Hotmail si dejas tu sesión de MSN Messenger abierta:
También puedes impedir que entren a tu cuenta de correo Hotmail,
útil si se te ha olvidado cerrar tu sesión en el MSN Messenger,
simplemente, antes de abrir tu sesión en el MSN Messenger, ve al menú
Herramientas >> Opciones >> Privacidad >> selecciona
la casilla "Preguntarme siempre mi contraseña al comprobar Hotmail...".
Nota: En un Cibercafé, es recomendable que éste procedimiento sólo lo
realices si tienes un poco de experiencia y estás seguro que en esa
máquina no existe ningún Keylogger, puesto que se abrirá la página de
Hotmail preguntando por tu contraseña y el método para Burlar
Keyloggers puede que no funcione aquí, ya que en el campo de las
contraseñas sólo permite 16 caracteres (funcionaría a menos que
realizaras otro algoritmo para ocultar tu contraseña y que abarcara
menos de 16 caracteres, y recuerda que cualquier contraseña modificada
para burlar Keyloggers debe hacerse en una computadora libre de
Keyloggers, valga la redundancia).
Descubrir la IP de quien se mete a tu cuenta de correo:
Si sospechas que alguien se está metiendo a tu cuenta de correo
(aún después de cambiar tu contraseña y de seguir los consejos
básicos), puedes intentar descubrir su IP y su localización, a
continuación explico el método para hacerlo. Debo mencionar que existen
técnicas para el ocultamiento de la IP, por lo que el resultado podría
no revelar la verdadera IP del intruso, pero existen buenas
probabilidades de que sea la verdadera; también debo mencionar que no
me meteré a explicar lo que puedes hacer teniendo su IP, pero te
adelanto que lo podrías identificar (algo un tanto complicado),
denunciar (aunque es algo improbable que de ésta forma se llegue lejos,
pues no se le toma atención a estos temas y a veces los ISP no
facilitan información a menos que lo pida alguna entidad como la
policía, pero ya se han dado casos de juicios por meterse en un correo
ajeno, si quieres un ejemplo aquí tienes uno:
http://iblnews.com/noticias/03/102365.html, intentarlo queda a tu criterio), contraatacar, etc.
Utilizaremos el servicio gratuito que proporciona la página
DidTheyReadIt (http://www.didtheyreadit.com). Visita la página y
regístrate para probarlo gratuitamente (el servicio gratuito tiene su
caducidad a los 10 mensajes o al mes de registrarte, lo que suceda
primero). En seguida de la página de registro, te mostrará un poco de
información acerca de cómo utilizar el servicio, fíjate en el panel de
la derecha, aparecerán las opciones "Tracked mail", "Send mail", "My
account", Additional Services", "Notification Options" y "Logout".
Dirígete a la opción "Notification Options", y selecciona la opción
"Never", esto es porque cuando el supuesto ladrón vea el correo se te
enviará una notificación, pero como vamos a trabajar sobre tu misma
cuenta es mejor no levantar sospechas (aunque de todos modos llegará un
correo justo después de registrarte). Presiona "Save Settings".
Ahora entra a tu cuenta de correo y abre la página para redactar un
correo nuevo. En el campo "Para:" escribe tu misma cuenta, desde la que
estás enviando este nuevo correo, pero al final coloca
.didtheyreadit.com. Ejemplo:
[email protected] .
En el asunto y el cuerpo del mensaje puedes poner cualquier cosa, de
preferencia algo que despierte la curiosidad y envíalo. A modo de
precaución, asegúrate que los mensajes provenientes de tu propio correo
llegan bien a tu Bandeja de Entrada. Para asegurarte ve a Opciones
>> Correo >> Filtros Personalizados >> Nuevo filtro y
agrega tu dirección de correo en el campo "procedan de la dirección de
correo electrónico" y selecciona "Bandeja de entrada".
Después de unos minutos te debe llegar un correo, proveniente de tu
misma dirección, no lo abras, pues es la trampa para el intruso, déjalo
como está. Ahora es cuestión de tiempo para que el intruso caiga en la
trampa, cuando lo desees puedes revisar si alguien ya ha abierto ese
correo-trampa en la página de DidTheyReadIt, accediendo con tu correo y
la contraseña que hayas puesto para tu cuenta en DidTheyReadIt. Una vez
que entres has click en "Tracked mail", donde aparecerán los datos que
nos interesan.
Si alguien ya ha leído el correo-trampa, nos lo indicará con el
icono de una hoja con una letra "i" en la columna "Last read". Has
click en el icono y a continuación podrás ver los datos que te
interesan: la fecha, la localización (hasta con mapa), el ISP, la IP,
etc.
En caso de que no puedas acceder a tu cuenta de correo debido a que
han cambiado la contraseña, dirígete a la opción "Send email" del panel
de la derecha. Desde ahí envía el email (sin agregar el
.didtheyreadit.com) a tu correo, y básicamente lo demás es lo mismo.
Existen otras compañías que ofrecen un servicio similar al de
DidTheyReadIt.com, como lo son ReadNotify.com y ReturnReceipt.com,
puedes probar con alguna de éstas en caso de que DidTheyReadIt no te
funcione o no te guste.
Eso es todo.
Configurando una dirección de correo electrónico alternativo:
Seguramente te preguntarás: ¿qué es eso? ¿para qué me sirve? Pues
bien, tener una dirección de correo alternativa puede ayudarte a
recuperar tu cuenta de Hotmail. Así de simple. Sin tu contraseña y/o la
respuesta secreta, la dirección de correo electrónico alternativa te
servirá para recibir instrucciones para reestablecer la contraseña de
la cuenta perdida.
Ten cuidado desde dónde entras a tu dirección de correo
alternativo, pues si es desde tu propia máquina y la cuenta robada la
perdiste a causa de un troyano o keylogger y sigues infectado con él,
hay posibilidades de que pierdas esa otra cuenta también. Extrema
precauciones en ese sentido.
Para establecer la dirección de correo electrónico alternativo dirígete a este enlace:
http://memberservices.passport.net/memberservice.srf
y en el menú de la izquierda da click en "Agregar o cambiar la
dirección de correo electrónico alternativo" y sigue las intrucciones.
De preferencia no marques la casilla "No enviar las instrucciones para
reestablecer la contraseña" o cuando lo necesites no se te enviarán las
instrucciones.
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-
Formas de recuperar tu cuenta Hotmail robada.
Este apartado no va a ser muy extenso, no hay muchas formas de
recuperar tu cuenta, pero si hay una muy efectiva: ponerse en contacto
con el staff de Hotmail.
1) Intenta recuperar tu cuenta de correo por medio de la
Pregunta Secreta. En la página principal de Hotmail en el apartado
"¿Olvidó la Contraseña?", da los datos necesarios y ponte a rezarle al
dios de tu preferencia para acordarte de la Respuesta Secreta. Recuerda
que tienes que dar la respuesta exacta tal y como la pusiste cuando la
configuraste. Durante este procedimiento, y si configuraste un correo
electrónico alternativo, verás un enlace que reza "Restablezca su
contraseña por correo electrónico", da click sobre él y sigue los pasos
para que te manden las instrucciones, para reestablecer tu contraseña,
a tu correo alternativo. Si no creaste Pregunta Secreta o te la han
cambiado o sino tienes una dirección de correo alternativo entonces
intenta algún otro punto.
2) Puedes intentar robarle al ladrón (si conoces o crees
saber quién fue). Emplear las mismas técnicas o troyanizarlo, aunque es
probable que no caiga en la trampa, todavía existen por ahí muchos
bobos. No te emociones que no voy a explicar cómo hacer esto, en
Internet hay demasiado material para que lo busques tu mismo.
3) Ponerte en contacto con el staff de Hotmail, para hacerlo
te recomiendo que visites estos dos enlaces (se supone que en
cualquiera de los dos recibirás ayuda para lo mismo):
http://register.passport.net/contactus.srf?lc=3082
http://es.support.msn.com/contactus_emails...ER&ct=eformfree
En el primer enlace, en el campo "Necesito" selecciona "obtener
ayuda para reestablecer mi contraseña" y rellena todos los demás campos
según lo pidan. En el segundo enlace, en el campo "Tipo de Problema"
selecciona "Necesito arreglar algo", luego "Abuso" y luego "Cuenta
pirateada", y rellena todos los demás campos del formulario.
En cualquiera de los dos formularios, ya sea el del primer enlace o
el del segundo, explica bien tu problema y espera a que te contesten.
Tienenque enviarte un formulario (puede tardar unos días) que deberás
rellenar y enviárselos para comprobar que eres el dueño legítimo. Ahora
sólo falta que te vuelvan a responder, si has comprobado bien la
legitimidad de tu cuenta, con una contraseña nueva.
Nota: Si llegas a ver algún servicio para recuperar cuentas
de correo perdidas a cambio de dinero, no les creas, es un fraude,
hasta la fecha ninguno de los que dicen hacer eso ha querido darme una
demostración gratis (vamos, que si fuera verdad les promocionaría el
servicio).