lunes, mayo 27, 2013

¡Recoja ya sus cuentas de servicio y váyase de la empresa!

Cuando un empleado entra en una empresa a trabajar recibe una cuenta de correo electrónico. Esa cuenta dejará de ser suya cuando termine su relación contractual con la compañía que le aprovisionó de esa dirección de correo electrónico, y por tanto todas las cuentas de servicios de Internet que se hayan asociado a ellas. Esto es especialmente importante si esa dirección de correo electrónico es una cuenta de correo de tipo "piedra clave", es decir, sobre la que recae la recuperación de todas las contraseñas de otras cuentas de servicio.

Figura 1: Un e-mail como piedra de clave

Para cualquier empresa es sencillo saber si una dirección de correo electrónico corporativa de un ex-empleado está asociada a un servicio, ya que en casi todos los sitios de Internet es posible conocer si la dirección está en uso en en él. Para ello, se puede utilizar:
- El servicio de Login: Al introducir la cuenta de correo electrónico en el proceso de login es posible conocer si la cuenta existe o no en el servicio. El caso más claro de esto es FaceBook, donde te saca hasta la foto de la persona. 
- El servicio de recuperación de contraseñas: En la mayoría de los sitios web se puede pedir que te envíen un correo electrónico para recuperar la contraseña. Muchos dicen si existe o no existe esa cuenta. Un ejemplo de ellos es Menéame, que al intentar recuperar la clave dice si existe o no. 
Figura 2: Recuperación de contraseña en Meneame 
- El proceso de alta de nuevas cuentas: En este caso, cuando se desea crear una nueva cuenta, si se usa una dirección de correo electrónico que ya tiene asociado esa dirección de correo electrónico sale un mensaje de error. Un ejemplo de esto es Twitter, donde se avisa de este hecho.
Al final, si te han despedido, en cualquier momento una empresa podría recuperar la cuenta de correo electrónico - o asignarla a otra persona - y con ella podrían secuestrarte o borrarte todas las cuentas en redes sociales - como ya vimos en el caso de Instagram donde no se valida que seas el dueño de la cuenta -, así que más vale que lleves apuntado dónde la has utilizado.

Saludos Malignos!

7 comentarios:

Rafael Ontivero dijo...

Por eso muchos seguimos el paradigma de "donde tengas la olla no metas la po*", y el correo de la empresa es para la empreaa, y para las cuentas de la empreaa, y si la empresa quiere que salgas a feisbuc, que te lo diga o te abres el caralibro con esa cuenta, pero el tuyo propio con tu cuenta de correo.

Hace años que todos los clientes de correo son multicuenta, e incluso los web. De hecho, con Chrome hasta puedes tener distintas cuentas en el propio navegador, no solo de correo, sino cuentas completas: lanzas en navegador como usuario de la empresa o como personal, e incluso se pueden tener ambos perfiles abiertos a la vez.

Y lo mejor es lo que tengo yo: una vm con todas mis cosas ahí dentro, con el disco encriptado con bit locker por si cuando te echen no te de tiempo ni a borrarla.

Anda que no hay formas de compaginar cuenta del curro con personales... siempre y cuando la empresa te lo permita.

Jesús A. Cruz García dijo...

La verdad es que tienes toda la razón, como siempre, aunque se te olvida otro 'pequeño problema' y es cuando la 'secuestrada' (por el metodo que sea) es precisamente la cuenta que usamos como 'piedra clave' eso si que puede ser un follón considerable. Salu2

JoseM C.F.S.L dijo...

Chema gracias por estos consejos para nuestra seguridad, gracias.

F4l53-19 dijo...

¿Cómo consigues hacerte invisible después de los consejos? X-D

Anónimo dijo...

Chema, podrías tener un blog algo más técnico, que este está dirigido a personas sin conocimientos. Aunque no tendrías casi tráfico, claro.

Mejor sigue así, al menos ayudas a personas desconocedoras de los peligros de la red, totalmente indefensas.

Maligno dijo...

@Anónimo, ya sabes cómo es mi blog. Un día hablo de IPv6 y el ataque SLAAC, otro aviso de un evento, otro día pongo una recomendación de seguridad como esta... y otro saco un dibujo de Cálico Electrónico...

Como desde hace años.

Saludos!

Miki dijo...

Y no solo con cuentas de correo de una empresa. Muchas veces una persona decide hacerse una cuenta nueva, para "otras cosas", y al final acaba registrándose en una web que utilizará con frecuencia (al contrario que la cuenta de correo) y al final esa cuenta de correo se pierde/olvida y acaba llegando el desastre.

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares