lunes, julio 28, 2014

Saltar el bloqueo de cuentas Google es un juego de niños

El robo de identidad es algo muy común hoy en día, por eso hay que poner un segundo factor de autenticación a todas tus identidades si quieres evitar sustos innecesarios. En mi caso, me gustaría poner Latch como ya he hecho con mi Windows para saber cuándo alguien intenta entrar en mi cuenta con mi contraseña, pero mientas que no exista esa posibilidad en Google, uso Google Authenticator que si bien no me avisa cuando alguien usa mi contraseña en mi cuenta y me obliga a poner un código cada vez que inicio sesión, al menos sé que me tienen que robar el terminal para lograr robarme la identidad.

Figura 1: Respuesta de Google Security sobre esto que os voy a contar

El poner un segundo factor de autenticación es para mí vital, sobre todo viendo las medidas de seguridad que tienen empresas como Google para detectar y bloquear el robo de identidad basándose en patrones de comportamiento. De todo esto que os voy a contar, avisé a Google y decidieron que NO era un fallo de seguridad. Tal vez luego lo arreglen como las URLs de Gmail indexadas en Google y BING, pero por ahora no. Espero que os guste.

Inicio de sesión desde otra ubicación

La cuestión es que ocurriría si alguien intenta acceder desde una ubicación distinta a la que utiliza el dueño de una cuenta de Google. No olvidemos que una de las características que argumentan los grandes sitios de Internet a la hora de generar las huellas digitales de las conexiones de sus clientes es la protección de las cuentas. En el caso concreto de Google, por seguridad, se bloqueara dicha cuenta y comienza todo un proceso de seguridad para verificar que se trata del dueño legitimo, tal y como explicó Chema en sus pruebas con cuentas robadas y publicadas en foros de Internet.

Figura 2: Verificar tu identidad de una cuenta de Gmail introduciendo cuenta de recuperación

Si intentamos realizar el acceso a una cuenta desde una ubicación distinta a la habitual, haciendo una conexión directamente desde el login del correo electrónico de Gmail aparecerá un desafío y si no contestamos correctamente a todas las preguntas que se formulan - cosas que un atacante probablemente no sepa - la cuenta seguirá bloqueada. Hasta ese punto todo parece correcto, pero... ¿y si intentamos hacer login desde cualquier otra propiedad de Google?

El inicio desde otra ubicación en YouTube

No hay que olvidar que la cuenta de Google hoy en día tiene muchas puertas, por ejemplo haciendo login en YouTube. ¿Se lanza el mismo proceso de seguridad? La respuesta es NO. En este caso, al conectar por YouTube avisara de que alguien esta intentando entrar a tu cuenta desde otra ubicación y formula una pregunta: ¿Desde qué ubicación te sueles conectar normalmente? Esto ya no es una barrera costosa, ya que para un atacante es fácil de averiguar con buscar un poco en Internet.

Una vez conseguida dicha información se accede a la cuenta sin ningún problema. Si al mismo tiempo el dueño legítimo de la identidad está conectado, aparecerá un aviso en la parte superior de la pagina de que alguien ha entrado a tu cuenta desde otra ubicación y realiza otra pregunta más: ¿Has sido tu? Con contestar que sí es suficiente, y adiós a más preguntas al mismo tiempo que se consigue acceso total a Todo Google.

Esto pasará únicamente si el atacante está navegando bajo una conexión con una dirección IP de un país diferente al del dueño de la cuenta, pero si es astuto y antes de conectarse se asegura de obtener dicha información recogiendo información por las redes sociales podría elegir el país de conexión y se tendría acceso sin ningún problema.

El bug en el Bloqueo de seguridad por ubicación distinta a habitual

Siguiendo con las pruebas, intenté iniciar sesión en el login principal de Google desde otra ubicación a la habitual a la mía con conexión vía VPN/Proxy con una dirección IP de "Estados Unidos" quedando así la cuenta bloqueada "por seguridad". Para eliminar el bloqueo Google da varias opciones de recuperación:

Acceso mediante cuenta de correo de recuperación

En esta primera opción debes introducir la dirección de correo electrónico que tienes asociado a tu cuenta de Google. Cualquiera que vea esto, asume que se va a enviar cualquier tipo de mensaje de desafío a ese buzón de correo con algún código y/o enlace para confirmar que se está en posesión de esa dirección de correo electrónico. Sorpresa la mía cuando por error introduzco mal el dominio de mi cuenta de correo electrónico y pongo algo como: "j••••@hotmail.crom"

Figura 3: Con el dominio mal puesto se tiene acceso a la cuenta, desbloqueando el control

¿. crom? dije yo llevándome la manos a la cabeza pensando que al haberlo puesto mal tendría que repetir todo el proceso, pero... no, Te permite entrar. Pero...WTF?

¿Y si pongo un dominio totalmente distinto? Pues también cuela. Al final, lo único que se comprueba es que el nombre de la cuenta sea el correcto, por lo que el dominio no importa nada. De hecho, cuando las cuentas de recuperación son de los grandes proveedores de correo electrónico, no tiene mucho sentido preguntarlo y es más una forma de recordar al dueño qué cuenta se está preguntado.

Figura 4: Con un dominio no existente también se produce el desbloqueo

Lo más sorprendente de todo es que Google NO realiza un desafío sobre el correo electrónico, solo que has acertado en el nombre. Es decir, que no importa si el atacante no tiene control sobre la cuenta de recuperación, basta con que sepa qué cuenta... perdón, que alias de correo en esa cuenta tiene. En este vídeo se puede ver todo el proceso de verificación.


Figura 5: Desbloqueo de cuenta de Google desde ubicación no habitual

Por desgracia, los usuarios tienden a poner el mismo nombre de usuario de su cuenta, pero en otro dominio de correo. Algo como lucas11111@gmail.com, lucas1111@hotmail.com, lucas1111@icloud.com, etcétera. Mala idea para un caso de cuenta de recuperación viendo como funciona el sistema.

Acceso mediante conocimiento de la ubicación habitual

Dependiendo de la propiedad de Google, al detectarse el acceso desde una ubicación no habitual, el desafío puede resolverse si se indica la ciudad desde la que suele iniciar sesión esa cuenta, en mi caso "Palma de Mallorca, España". Vamos, algo que está al alcance de casi cualquiera hoy en día con saber dónde vive una persona mirando su vida en Internet y en las redes sociales. ¿Es útil para algo esta protección?

Figura 6: Desbloqueo de cuentas por introducción de ubicación habitual

Lo cierto es que vistas estas opciones de seguridad para el bloqueo de cuenta, el uso de un segundo factor de autenticación es la única medida eficiente para evitar que en un descuido, un 0day, una troyano, un keylogger, o una conexión controlada entre todas las que se producen en la red con mis cuentas, acabe con el robo de mi identidad.

Autor: Jonathan Novel
Twitter: @JonathanNovel

13 comentarios:

zhemn dijo...

Eso eso, tu dame trabajo dame xDDDDDD luego me vendrá la gente diciendo que un supermegaultrahacker le ha quitado la cuenta, les explicaré que cuanta mas seguridad apliquen a sus cuentas y servicios mejor a lo que me responderán un "uffffff es que eso es mucho lío" entonces mi compañero y yo le diremos a dicha persona que esto debería ser como el coche, puede conducir cualquiera... que se saque el carné de conducir y con internet debería de ser lo mismo jajajjajajaj Estoy cansado de explicarle a la gente las consecuencias de no preocuparse de la seguridad de sus cuentas y que siempre me respondan lo dicho anteriormente o lo que es peor "que mas da, si no tengo nada que ocultar" Crom!!!! Baja aniquila con tu acero a estos pobres inconscientes!!!
Bueno en definitiva, que gracias por publicar este tipo de casos, ya tenía conocimiento de ese "fallo" de seguridad debido en parte a la dejadez de google y en parte a la dejadez del usuario, volvemos a lo de siempre... el 90% de los usuarios son Penny.

Saludos titanes! Nos vemos!

Anónimo dijo...

Aunque pongas una cuenta con otro dominio, Google mandará la verificación al correo que el usuario tiene puesto para la recuperación no? Si es así no hay ningún problema.

Chema Alonso dijo...

@Anónimo, no manda ningún correo a nadie nunca. Lo pone en el texto.

Saludos!

Anónimo dijo...

@Maligno Muchas gracias por toda la ayuda y publicar el articulo en tu blog, Saludos!

Anónimo dijo...

o no me he enterado bien, pero para llegar a esa fase has necesitado poner tu contraseña de forma correcta?
... según veo cuando vas a intentar recuperar la contraseña te pide de nuevo la última contraseña que recuerdas y si pasas este paso sólo te deja hacer una verificación por teléfono (sms o llamada)
Si alguien te ha robado la contraseña, siempre podrá recuperarla mientras el usuario legitimo no la cambie.

Un saludo

Anónimo dijo...

Yo me pregunto si youtube tiene los mejores ingenieros informáticos y aun así existen bugs y pequeñas fallas, entonces como esta el panorama señora no hay nada seguro(NADA)

Por otro lado pienso que estas cosas son dejadas adrede piensa mal y acertaras

yashirasu dijo...

Pues te digo en realidad si mal no recuerdo , solo importa lo que va en los astericos , suponte j******1@loquesea.com , lo que comprueba es lo que esta despues de la j y antes del 1 , al menos me paso asi a mi una ves , cuando por usar un proxy no me dejaba loguear ,pero eso viene a otro cuento ....

Anónimo dijo...

@Nikorasu Yashima, Buenas...

Yo creo que es todo el alias/nombre: Juanito1, supongo que llegas a esa conclusión por que es lo que esta "oculto" pero como saberlo con seguridad, tiene su rollo, si esto ocurre en Google que no pasara en las redes sociales, webs, sitios, etc.. de dudosa reputación, si no te proteges corres el riesgo de que pase o no y tengas la suerte y que no te pase nunca, pero que no haya ocurrido no quiere decir que no pueda ocurrir :)

Para que arriesgarse si se pueden hacer las cosas bien y estar tranquilo viendo como esta el panorama, el mensaje es sencillo, protegete con todo lo que tengas, hacer uso de las nuevas tecnologías implementando una capa mas de seguridad a tus cuentas online, como por ejemplo con Authenticator, pero como digo en el texto a mi me gustaría que integrasen Latch, por que te avisa si alguien intenta acceder a X cuenta ante un robo de credenciales/identidad... ya solo toca cambiar la contraseña y mantenerte alerta por que ya se sabe que estar al 100% seguro es mas bien imposible, si un problema tiene solución solucionalo si no, apaga y vámonos ;-)

Salu2!

hbt dijo...

Interesante exposición. La verdad es que las preguntas de verificación de seguridad suelen dar nuevas brechas de seguridad y son siempre una nueva oportunidad para un acceso no autorizado. Este clama el cielo. Y la verdad, google parece ir a la deriva en este y oros aspectos. ¿Será que se dedican a otra cosa mas rentable? ...

Yo me molesté en indicarles un simple y estúpido fallo local en las indicaciones de googlemaps (http://habican.blogspot.com.es/2014/03/seguir-las-indicaciones-de-google-maps.html) al cual respondieron que no, que no hay peligro en hacer un giro totalmente prohibido. Esta claro que no son ellos los que se juegan la vida conduciendo... No estaría mal una denuncia por "incitar a cometer una infracción grave". La verdad es que no comprendo como se puede ser tan chapuza. El bug por mi publicado y la airosa respuesta están en:

https://code.google.com/p/gmaps-api-issues/issues/detail?id=6466&q=apitype%3ADirectionsAPI%20type%3ADefect&sort=-stars&colspec=ID%20Type%20Status%20Introduced%20Fixed%20Summary%20Internal%20Stars

Aprovecho para felicitar a Chema y a todos los autores del blog. Desde que lo descubrí lo sigo asiduamente. Me divierte mucho mas leer estos artículos que la prensa del día. Gracias por todo.

Amorand dijo...

Sin comentarios acerca de la pėsima seguridad que google nos ofrece para nuestros datos.

Felicidades y gracias por esta tan clara exposicion.

Anónimo dijo...

A dia de hoy sigue estando exactamente igual de mal :-(

PD: pero como mola el nuevo captcha¡

Hugo Familia Holistica dijo...

Hola, me bloqueò G.m.a.i.l mi cuenta principal aduciendo que no respeta las condiciones del servicio, Mi unico "pecado" es cada tanto enviar mails de promocion para vender publicidad para mi revista. No tengo otra doble intencion para nada. Pero lo peor es que esa cuenta la tengo desde hace aññños y media vida personal y laboral està ahi. Como la puedo volver a activar? si es que hay un metodo, ya que por lo que veo y el tiempo pasado, esta vez ellos no me la van a desbloquear. Si no fuera importante, no estaria buscando info por estos lares. Gracias!! Hugo: hdecom@yahoo.com.ar

Unknown dijo...

Estimados sabe en que lenguaje de programacion se desarrollan estas aplicaciones:


https://www.youtube.com/watch?v=rpJheJLx88E

https://www.youtube.com/watch?v=uJgfMjd_Z3Q

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares