viernes, septiembre 12, 2014

No te preocupes por los 5 Millones de cuentas de Gmail, preocúpate por TODAS tus identidades digitales

Otra vez otra noticia vuelve a alertar a todo el mundo con respecto al robo de identidad. En este caso el incidente ha sido la filtración de un foro ruso de Seguridad en BitCoins de un fichero con un volcado de casi 5 millones de direcciones de correo electrónico de Gmail, algunas sueltas de Yahoo! y unas 123.000 de Yandex.ru que están en un fichero de texto.

El fichero está al alcance de cualquiera en un comprimido sin malware que puedes descargar y analizar para saber si está tu clave o la de algún contacto o familiar. En él solo aparece la dirección de correo electrónico aunque en el foro también circuló la base de datos completa con las claves que más tarde fue eliminado por el administrador, así que se han filtrado las identidades completas.

Figura 1: Post con la filtración del fichero de cuentas de Gmail

Es una pena que salga en un foro de Seguridad en BitCoins, pues une en los titulares la moneda virtual con el mundo de los ciber-criminales en Internet, algo que debido al impacto que está teniendo la noticia y la malinterpretación continua de los hechos llevará a la gente de pie a asociar "BitCoin" con algo que usa la gente mala. Ya hemos visto en el paso también asociado esto en las noticias con las bitCoin Wallets maliciosas que se pusieron tan de moda.

Cómo las han recolectado no ha sido publicado, pero debido a que algunas cuentas parece que tienen más de 4 años, hace pensar en un trabajo de recolección de años usando botnets o malware al uso, como los que utilizan los ladrones de identidad en Internet que usan los que se dedican al fraude online.

¿Te debes preocupar por esta filtración o por tu identidad digital?

Como recomendación de urgencia lo que debes hacer es descargarte el fichero y buscar a ver si estás ahí o no, y ya que te pones si está algún amigo, conocido o contacto para avisarle. Si eres administrador de una organización donde se usa Gmail como correo electrónico deberías comprobar todas. 

El resto de las medidas las tienes que hacer tanto si estás como si no estás, ya que no hay garantía de que no estés en otra base de datos que no se ha publicado. Diariamente se producen filtraciones de cuentas robadas en muchos foros o sitios para hacer pastes y puedes estar en cualquiera de ellos si no has tenido cuidado - o a veces incluso teniéndolo si aparece un 0day donde menos lo esperas - así que no debes preocuparte por estos 5 Millones de identidades sino por todas las que se filtran constantemente.

Hace no demasiado hablábamos del 1.200.000 identidades que habían sido descubiertas en una megabase de datos de especialistas en fraude online o en Have I been Pwned ya hay recolectadas más 160 Millones de identidades que han acabado en Internet. Solo como ejemplo, hace una hora según escribo este post se habían filtrado 100 identidades en Gmail con su usuario y contraseña.

Figura 2: Cuentas filtradas en Pastebin hace 1 hora

Si he conseguido que pienses que esto es importante, entonces como primer paso establécete una cita periódica en tu calendario para cambiar todas las contraseñas, no solo de Gmail sino de todas tus cuentas digitales que comience hoy mismo.

En segundo lugar activa un segundo factor en tus cuentas ya mismo con Google Authenticator en tu cuenta Google para nadie pueda acceder a tu identidad sin que tú le apruebes el acceso con el código, con Verificación en 2 Pasos en tu cuenta de Apple ID y con Latch en todos los sitios en los que puedas. Aquí tienes un artículo en profundidad sobre cómo proteger identidades digitales con Latch.


Figura 3: Vídeo conceptual de Latch

No puedes confiar en las medidas de protección contra el acceso no autorizado de cuentas filtradas que pone Google, porque aunque sí que es verdad que hacen una detección automática para evitar que los que no sean los dueños legítimos accedan a ellas, estas medidas no son siempre efectivas, tal y como se cuenta en "Saltar el bloqueo de cuentas Google es un juego de niños".

En las apps de tu sistema móvil que te pidan la contraseña de correo electrónico, no utilices tu contraseña de Google, sino una contraseña de aplicación que te hayas sacado tras haber activado Google Authenticator, para evitar que software malicioso de tu terminal te robe tu identidad o una app haciendo uso del trabajo de "Peeking into your app without actually seen it"  que permite robar información de las apps filtrando el interfaz de usuario.


Figura 4: Robando datos de app accediendo al interfaz de la app en la memoria


Si has hecho todos estos cambios, lo siguiente que te voy a recomendar es que tengas cuidado con dónde publicas tu dirección de correo electrónico, que ya sabes que las arañas de los spammers funcionan de maravilla. También, evita usar sitios que comprueban si tu dirección está o no filtrada que puedan estar haciendo una base de datos con las direcciones de correo electrónico que se prueban... a ver si no estás y vas a acabar en otra por curioso. 

Como añadido extra, ten cuidado con las opciones de previsualación en los terminales móviles, ya que los códigos de recuperación de contraseñas se pueden ver y podrían robarte la identidad "con un sencillo truco de bar", tal y como explico en este vídeo.


Figura 5: Robar cuentas de Gmail o Hotmail en iPhone con Siri

Los que estén en este fichero filtrado van a pasar, directamente, a formar parte de todas las base de datos de spam del mundo, así que les van a brear con los mejores correos electrónicos de venta de todo y los mejores enlaces para la instalación de los mejores malware, así que lo siento si estás ahí ya. 

Saludos Malignos!

5 comentarios:

Diego Villar dijo...

Chema, las contraseñas no las han sacado de google y mucho menos de cuentas de gmail, como explico en meneame mi cuenta está y tras mirar en isleaked me dice los dos primeros caracteres de esta, y la contraseña que tienen es la que suelo usar en fotos donde necesito registro pero no voy a participar. El problema es que bastante gente usa la misma contraseña para todo y ahí es donde está el problema.

fbueno.net dijo...

Me cabe la duda de si al activar la doble verificación, es preferible usar la aplicación Google Authenticator o dejar que el código llegue por SMS.
El problema del SMS, es que en algunos servicios web es de cobro revertido, por lo que nos costará dinero. Pero la ventaja que tiene es que si alguien introduce la contraseña correcta en el correo, por ejemplo, recibiremos un SMS con el código de verificación y, si no hemos sido nosotros quienes lo solicitamos, nos servirá de alerta y podremos tomar medidas contra el acceso indeseado.
Por contra, cuando se dispone de muchos servicios en los que se ha activado la doble verificación, por descontado que Google Authenticator será siempre más cómodo, pero ¿es más seguro?

Jonathan Novel dijo...

En esta por suerte no estoy, en las de Adobe no tube tanta suerte, muchas gracias por la ibnfo y los consejos Chema!

Saludos!

Ivan de la Jara dijo...

Y telefonica podrá mangar todos tus datos personales y entrar en todas tus cuentes! yu huuuu!! y todo par ano obtener ningun tipo de mejora! WOW! Si estuvieses mas vendido llevarías pegatinas.

Maligno dijo...

@Ivan de la Jara, es muy osado que vengas a comentar un post sin haber leído una sola línea de Latch. Como puedes ver en todas las conferencias y en todos los artículos Latch no tiene ni un solo dato ni sabe absolutamente nada de donde se está usando.

Latch: Cómo proteger identidades digitales

Estudia un poco y luego trolleas, pero no lo hagas sin estudiar que te deja muy mal.

Saludos!

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares