miércoles, julio 08, 2015

Cómo proteger tu cuenta de Facebook para que no te la roben

Muchos son los que me vienen pidiendo el robo de la cuenta de Facebook de parejas, amig@s o enemig@s, así que para ayudar justo a lo contrario voy a hacer este artículo para intentar ponérselo un poco más difícil a los atacantes.

Figura 1: Cómo fortificar tu cuenta de Facebook para que no te la roben

En este artículo vamos a repasar las opciones de fortificación del proceso de login, así como las sesiones y las comunicaciones entre Facebook y tú. Estas son algunas de las recomendaciones que deberías seguir si quieres hacer que tu cuenta de Facebook sea mucho más segura.

La cuenta de correo de usuario de Facebook

Un punto inicial importante es decidir cuál es la cuenta de usuario asociada al perfil de Facebook. Lo recomendable es que sea una cuenta de correo no conocida por nadie - puede ser una cuenta de correo que no se use para nada más -, y que no pueda ser vista o consultada por nadie. Borra todas las demás, incluida la que genera Facebook por defecto que puede ser utilizada para suplantarte en la propia red social.

Figura 2: Varios emails asociados protegidos por 2FA y no publicos

Además, esa cuenta de usuario debería estar protegida con un segundo factor de autenticación basado en SMS o en Google Authenticator u otros, para que siempre pudiéramos tenerla controlada. Por supuesto, no dejes que la cuenta de correo electrónico caduque, porque si caduca, otro la puede registrar y quitarte la cuenta.

La contraseña de Facebook

La elección de la contraseña de Facebook debe ser más o menos como todas. Mi recomendación es que las passwords complejas en la web deben morir y el de muchos otros que dudan de su efectividad, pero tampoco pongas una contraseña que alguna persona de tu entorno pueda conocer porque la utilizas en otros servicios. Además, si al principio utilizas un carácter alfabético, recuerda que Facebook permite utilizar también la password con los valores en mayúsculas y minúsculas, generando tres passwords en total.

Figura 3: Facebook reconoce tres formatos de tu contraseña

Es casi más importante que la cambies periódicamente. Una buena estrategia es ponerse en el calendario una cita cíclica cada mes, por ejemplo, y utilizar un gestor de contraseñas que protejas con una clave maestra segura. Recuerda que si utilizas un gestor de contraseñas en la nube y es hackeado - como sucedió con LastPass -, la password maestra es lo último que va a salvar tu contraseña.

Alertas de Inicio de Sesión en tu cuenta Facebook

Facebook, cada vez que inicias sesión hace un fingerprinting del cliente. Esto es, una recolección de la huella digital de tu conexión para saber desde dónde te estás conectando (dirección IP, zona geográfica, sistema operativo, versión del navegador, y datos varios).

Figura 4: Alertas cuando se conecta la cuenta desde un nuevo dispositivo o navegador

Si te conectas desde un dispositivo nuevo o un nuevo navegador Facebook te puede enviar un SMS o un correo electrónico. Como curiosidad, la imagen del logo de Facebook viene enlazada en el mensaje de correo, lo que le permite a la compañía hacer doxing de dónde y cuándo se abre el correo electrónico de la alerta, incluso si lo haces desde el proxy de Gmail, que permite saber información del User-Agent - aunque no de la dirección IP -.

Figura 5: Correo de alerta con logo de Facebook enlazado

Si eliges que te envíe un correo electrónico, ten en cuenta que para los ataques de phishing este es un buen gancho para ponerte nervioso e intentar robarte la cuenta con un Spear Phishing como explicaba yo en el caso del robo de cuentas de iCloud con un correo electrónico de alerta de la propia Apple.

Figura 6: Revisión de detalles de conexión

Si dejas las activadas las alertas de login por correo electrónico es una buena opción utilizar las claves PGP para las comunicaciones. Así te será muy fácil saber si ese correo que te viene desde Facebook es auténtico o es un ataque de phishing para robarte las cuentas. 

El segundo factor de autenticación con mensajes SMS One-Time Password

Como en la mayoría de los servicios online, Facebook también permite que los procesos de login desde dispositivos nuevos o los nuevos navegadores tengan que ser aprobados por un código One-Time Password para proteger tu identidad. En este caso, vía mensaje SMS a tu número de teléfono.

Figura 7: Activación de OTP vía SMS a número de teléfono

Si activas esta opción, debes fortificar el acceso a la SIM de tu terminal. Para ello protege el código PIN de tu tarjeta, pero también el código PUK y los datos del contrato con tu operadora para evitar un posible ataque de SIM Swapping y no uses SIMs antiguas que puedan ser clonadas.

Los códigos TOTP con un sólo uso usando Latch

Puedes proteger tu cuenta, en lugar de con el número de teléfono, entrando en la zona de Code Generator y configurando un Latch Cloud TOTP. A partir de ese momento cada vez que alguien quiera entar deberá introducir el código que aparece en tu terminal móvil.

Figura 8: Configuración de Latch Cloud TOTP en Facebook

Todo el proceso completo lo puedes ver en este vídeo donde se observa como configurar Facebook para usar los códigos de TOTP y cómo se hace con Latch Cloud TOTP.


Figura 9: Configuración y uso de Latch Cloud TOTP en Facebook

Recuerda que para eso debes tener una cuenta gratuita de Latch. En este artículo se explica cómo comenzar a usar Latch hoy mismo y poder usarlo para proteger tus identidades.

Los códigos de aprobación de un solo uso

Estos códigos de aprobación se pueden generar desde la app de Facebook instalada en un terminal móvil con la sesión iniciada o desde la propia sesión web. Facebook te dará una lista de códigos de un solo uso que podrás utilizar para aprobar el acceso a tu cuenta desde un nuevo dispositivo o un nuevo navegador.

Figura 10: Códigos de aprobación generados en la app de Facebook

Estos códigos tienen la ventaja de que los puedes llevar guardados y no necesitas disponer de teléfono y son especiales para cuando estas fuera de tu país en entornos de roaming o sin teléfono disponible.

Figura 11: Solicitud del código de aprobación al inicio de la sesión desde un nuevo browser

Si se configura el modo Auto, en lugar de acceder a una lista de códigos la app de Facebook te mostrará el código OTP cada vez que se vaya a realizar un proceso de login desde un nuevo dispositivo o un nuevo navegador.

Las contraseñas de aplicación

Cuando tienes un segundo factor de autenticación con OTP o con códigos de aprobación, las aplicaciones que se conecten a tu cuenta, si lo hacen con tus credenciales de Facebook, tendrán que pasar también el proceso de verificación en dos pasos. Para evitar eso, se pueden utilizar las passwords de aplicación.

Figura 12: Generación de passwords de aplicación en las opciones de seguridad de Facebook

Esto tiene además, como ventaja añadida, que si estás utilizando tu cuenta Facebook en una aplicación de móvil de otros que permite autenticarse con Facebook, entonces puedes también evitar que si te la roban te roben toda tu cuenta, ya que las passwords de aplicación no tienen el control total de tu cuenta y no pueden hacer todas las acciones que se pueden hacer con un inicio de sesión con las credenciales principales de la cuenta.

Las apps conectadas a tu cuenta

Además de las passwords de aplicación, en Facebook puedes autorizar a aplicaciones para que tengan ciertos permisos de acceso a tu cuenta. Esto puede ser para tomar solo información, pero también para postear o acceder a tus mensajes. Aplicaciones con Tinder utilizan esta conexión con tu cuenta para acceder a tus fotografías, biografía, etcétera.

Figura 13: Petición de una app para generar un token OAuth de acceso a datos de la cuenta Facebook

Estos tokens OAuth son los que se pueden robar en aplicaciones inseguras, o pueden ser utilizados en esquemas de ataque de phishing, así que es muy importante que periódicamente revises que apps tienen acceso a tu cuenta y elimines toda aquella que no debiera estar.

Los navegadores y dispositivos de confianza

Además de las apps, en esa misma opción se pueden revisar cuáles son los dispositivos y navegadores de confianza que no necesitarán un segundo factor de autenticación vía OTP o vía código aprobación de un sólo uso. 

Figura 14: Lista de dispositivos y navegadores reconocidos

Si alguno es un dispositivo que ya no utilizas o es de un equipo desde el que te conectaste puntualmente, elimínalo. Es conveniente que cuando te conectes desde un dispositivo o navegador nuevo tengas cuidado y no lo guardes en la lista de confianza si es una conexión puntual.

Figura 15: Opción de guardar un browser como navegador de confianza

Desde aquí puedes eliminarlos todos y si necesitas volver a usarlo, con pasar el proceso de verificación en dos pasos, todo listo.

Los contactos de confianza

Muchos son los que han sufrido el robo de una cuenta o grupo de Facebook, para lo que lo mejor que se puede hacer es tener un contacto de confianza que pueda ayudarte a recuperar la cuenta cuando esto pase.

Figura 16: Configurar contactos de confianza. Te permitirán recuperar la cuenta.

Ojo, que tu contacto de confianza sea tu contacto de confianza y no una persona que pueda volverse en tu contra. Elige sabiamente o no elijas a nadie ante la duda.

Control de Sesiones Abiertas manualmente o con Latch

Otra opción interesante es la de vigilar constantemente qué sesiones tienes abiertas. Esto permitirá detectar ataques de hijacking que te hayan robado cookies de sesión vía un ataque de man in the middle - usando por ejemplo un Bridging HTTPs(IPv4)-HTTP(IPv6) como el que usé yo en el programa de Salvados - o porque hayas tenido un descuido y te hayan robado la cookie en unos segundos que te dejaste la sesión abierta.

Figura 17: Gestión de sesiones de Facebook

Para controlar esto de forma constante, el hack para integrar Latch con Facebook es una buena opción, ya que en el momento que se detectan nuevas sesiones se puede forzar su cerrado tal y como se explica en este post "Un hack para integrar Latch con Facebook" y permite controlar las sesiones tal y como se ve en el siguiente vídeo.


Figura 18: Control de sesiones en Facebook con Latch

Este mismo truco con Latch también se puede aplicar a las sesiones de las cuentas de iCloud, Gmail o GitHub, tal y como se explican en los artículos correspondientes.

Elimina las Preguntas de Seguridad de tu cuenta

En Facebook, a los inicios, se permitía recuperar la contraseña de una cuenta respondiendo a una serie de "Preguntas de Seguridad" asociadas a tu cuenta. Si tienes una cuenta antigua, tal vez tengas aún esta característica, así que ten mucho cuidado y revisa si aún la tienes activa. En este artículo lo tienes explicado en detalle: Evita las Preguntas de Seguridad en Facebook.

Figura 19: Pregunta de Seguridad para recuperar la contraseña de una cuenta.

Cuidado con los sistemas de Hackear Facebook

En la web hay un montón de páginas web que engañan a sus víctimas haciéndoles creer que podrán hackear la cuenta de una persona de Facebook en 1 minuto. Todos son estafas que engañan a sus víctimas. En este vídeo tienes una explicación y varios ejemplos.


Figura 20: Estafas de Hackear Facebook en 1 minuto

Palabras finales

Además de todo esto, reforzar las opciones de privacidad para controlar quién puede ver tu información es más que recomendable. Si algún atacante busca una app mágica para hackear Facebook, que estas opciones fortificación hagan que se lleve una buena sorpresa, tal vez en forma de adware o de ser estafado por alguno de esos "hackers for hire" que se alquilan por ahí para robar cuentas de Facebook y acaban engañando a la gente.

Saludos Malignos!

4 comentarios:

Anónimo dijo...

Falta la última recomendación y más efectiva de todas: no usar facebook :). A los que seguimos esta técnica no nos preocupa que nos roben la contraseña del facebook.

Sergio dijo...

Digo yo que querrás decir "fortalecer" y no "fortificar" ;)

Anónimo dijo...

Soy el unico que tiene gran reticencia a "facilitar" el numero de telefono a empresas como Google o Facebook? No me inspiran ninguna confianza...

Trazos_D dijo...

No te preocupes Anonimo... si no les das tú el numero de telefono, ya se lo dara tu operador, o lo compraran a cualquier otro servicio... o simplemente alguno de tus amigos registrados en FB, compartira su lista de amigos y de contactos del telefono.... yo diria que ahora mismo ya lo tienen.

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares