lunes, febrero 15, 2016

Evita que tu cuenta de Facebook sea robada fácilmente por culpa de las "Preguntas de Seguridad"

A lo largo de los últimos años las empresas han buscado formas de reducir el costoso tiempo que consume el servicio de "Me he olvidado de la contraseña". Y es que en el industria de la tecnología el uso de las passwords ha sido lamentable. No solo hemos creado una cultura de crear muchas contraseñas, sino además las hemos hecho complejas, como si realmente sirvieran para algo las contraseñas complejas en los servicios online. Cada nueva restricción puesta en la generación de la contraseña incrementa sustancialmente le número de casos de "He olvidado mi contraseña".

Figura 1: Evita que te roben tu cuenta de Facebook con las "Preguntas de Seguridad"

Por ese motivo, las empresas han tenido que construir sistemas para recuperar la cuenta de todo tipo a lo largo de la historia. Desde llamar al Call-Center y dar un código de una tarjeta de coordenadas, hasta enviar un mensaje OTP a un número de teléfono asociado, pasando por el correo electrónico con el enlace de recuperación de contraseña, reconocer amigos de tu cuenta de Facebook, que amigos de tu cuenta de Facebook te reconozcan o las peligrosísimas Preguntas de Seguridad o Preguntas Secretas.

Facebook activó hace mucho tiempo las Preguntas de Seguridad, pero tiempo después decidió que era una muy mala idea, y que mucha gente estaba sufriendo robo de cuentas por culpa de ellas. Lo más gracioso es que la empresa que es la pieza angular del fin de la privacidad en el mundo actual, asociada a conceptos como la "Aldea Global" o el "Nuevo Paradigma de la Privacidad", utilizara en algún momento Preguntas de Seguridad cuyo única protección es que se responda a preguntas cuya respuesta conoce solo el dueño de la cuenta. Y las retiró.

Cuentas de Facebook protegidas por Preguntas de Seguridad

Pero no las retiró definitivamente. En las nuevas cuentas no se puede activar este mecanismo de "protección" de la cuenta, pero si tienes una cuenta antigua. De esas que se crearon hace ya unos añitos, puede que en el pasado las configuraste y no lo supieras. De hecho, podría darse el caso de que tuvieras una pregunta cuya respuesta está publicada en Facebook, en tu Linkedin, en tu Instagram o en alguna de las "enecientas" redes sociales con las que contamos hoy en día, que van desde las de amar a las de odiar, pasando por las de compartir aficiones o currículos.

Figura 2: Buscar la cuenta de una "víctima" por número de teléfono

Si tu cuenta de Facebook tiene unos años, te recomiendo que intentes robarte la cuenta con este método, y que tomes buena nota de estos riesgos para, inmediatamente ponerte a Fortificar tu cuenta de Facebook con las recomendaciones que doy en ese artículo. 

Figura 3: Recuperación por medio de correo electrónico y mensaje SMS

En este ejemplo, como veis, he buscado la cuenta de un compañero usando su número de teléfono y me da dos opciones para recuperarla, usando el correo electrónico o el mensaje SMS, pero también tengo la opción de decir que no tengo acceso a nada de eso así que....

Figura 4: Creación de un nuevo correo electrónico para asociar a la cuenta

...llegamos a una pantalla en la que nos solicita la dirección de correo electrónico de otra cuenta para que me puedan enviar cosas. Por supuesto, cualquier dirección de correo vale, así que al lío con una inventada.

Figura 5: Llegamos a la Pregunta de Seguridad que protege esta cuenta de Facebook

Luego llega el momento del reto, responder a la "Pregunta Secreta" o "Pregunta de Seguridad". En este caso no parece tan difícil, basta con hacer un poco de trabajo de hacking con buscadores o directamente entablar una bonita conversación con mi amigo sobre los viejos buenos tiempos cuando éramos niños y veíamos dibujos con 8 años: "Como salíamos a jugar al parque, donde jugábamos a cosas tan inocuas como la lima o Burro, y como era el barrio. Oh, el barrio. ¿En qué barrio dices que vivías tú?".

Figura 6: Si se responde correctamente la pregunta, entonces se puede cambiar la password

Y si la respuesta es correcta, ya puedes poner la contraseña nueva para esta cuenta de Facebook. No son pocas las cuentas que tienen aún esta protección, y las preguntas no son nada complejas - si las respuestas fueron configuradas de forma correcta - en la mayoría de los casos como para que no puedan ser respondidas por casi cualquiera con un poco de tiempo e imaginación.

Figura 7: Otra cuenta de Facebook protegida por otra "Pregunta de Seguridad"

Así que dedica un ratito a intentar hackearte y si salen las "Preguntas de Seguridad" ve a tu cuenta de Facebook, elimínalas y pon un segundo factor de autenticación tal y como explico en el artículo de Fortificación de cuentas de Facebook.

Saludos Malignos!

7 comentarios:

Gaspar Fernandez dijo...

Yo siempre he considerado este tipo de preguntas una pérdida de tiempo y de seguridad. Es más, hay veces que te obligan a poner preguntas de seguridad cuando te registras, que yo no sé por qué obligan a la gente a hacer esto, me da mucha rabia.
Y encima es que llevas razón, con entablar una conversación con la víctima o buscarla por Internet un poco puedes averiguar mucha información que tal vez sea útil para esto...
En ocasiones, si es totalmente necesario registrarme en esos sitios, además de tener un e-mail "promiscuo", que no es el que uso para cosas serias, suelo tener algunas respuestas predefinidas tipo "3l3fant3 r0j0", "una vaca sin rabo vestida de uniforme" o "aceleracion es fuerza partido masa", no estas, pero del estilo, y da igual que me pregunten el nombre de mi madre, mi primera mascota o mi ciudad natal.

En el caso que comentas de cómo a Facebook utilizó esto alguna vez... Facebook ha ido desde el principio probando y desechando cosas, yo creo que ha sido un constante prueba y error en materia de privacidad, seguridad, apis y mil cosas más, parece que están en un punto más o menos estable, pero nunca se sabe :)

Anónimo dijo...

Yo es algo que me ha mosqueado siempre. Desde que me inicié en internet allá por el 99 pongo respuestas que no tienen que ver con la pregunta, y con el paso del tiempo... Cabezazo en el teclado. De una u otra no me iba acordar.

Hace poco un amigo tuvo que loguearse desde mi PC y como no era la IP habitual de logueo pues tuvo que responder a la pregunta "¿Cuál fue su primer coche?" ¬¬ . Esa fue la cara que se me puso xD

Anónimo dijo...

Un problemilla reciente con la recuperación de contraseñas.
http://www.elgrupoinformatico.com/error-filtra-los-datos-usuarios-twitter-t28156.html

#SegundoFactoDeAutentificación

Anónimo dijo...

No me funcionó, porque hay que esperar 24 horas para entrar, y Facebook manda avisos inmediatos a todos los correos electrónicos que tiene registrados

Guille Cipullo dijo...

Go to Settings and set up your TRUSTED CONTACTS.

Go to Settings
Click "Security" on top left
Click "Trusted Contents"
Add three of your friends who you trust.

Now face book will never ask you answers to your security questions. Next time if you forget your password or someone tries to hack your account , it will ask for three codes which will be sent to your 3 trusted contents and you will need to enter those codes instead of security question and answer. This new future is more secure and easy. I hope it helps

Jonathan Cuña dijo...

Como puedo eliminar la pregunta de seguridad? Porque me la adivinaron y me cambiaron la contraseña

Jonathan Cuña dijo...

Como puedo eliminar la pregunta de seguridad? Porque me la adivinaron y me cambiaron la contraseña

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares