La contraseña no alcanza: Consejos para evitar fraudes y robos

Las redes sociales son nuevas formas de interacción social que comenzaron a ser explotadas por las empresas, pero plantean desafíos de seguridad.

gestion_400.jpg

Cuando creó su cuenta de Facebook, seguramente tuvo cuidado de utilizar una contraseña segura, ¿verdad?por ejemplo, alternó entre mayúsculas y minúsculas, utilizó números, no comparte la misma contraseña con otros sitios como por ejemplo Gmail o Hotmail, y nadie más que usted la conoce. Con todas esas precauciones, se garantiza que nadie puede acceder a sus datos? ¿o no?

Lamentablemente, la cosa no es tan sencilla: con una variación de una técnica de ataque conocida, es posible acceder a todos los datos de la cuenta de Facebook de cualquier usuario, sin conocer la contraseña.

Como siempre, debe haber un engaño de por medio, que le permita al atacante acceder a su información personal y la de sus contactos, pero lo novedoso de esta técnica es que el tipo de engaño necesario es sorprendentemente fácil de conseguir.

El nombre que recibe esta técnica es "cross-site identification" o CSID, y se trata de generar, en primer lugar, que Usted ingrese a un sitio elegido por el atacante mientras que está logueado en Facebook (o cualquiera de las otras redes sociales que son vulnerables, como por ejemplo Orkut).

De esta manera, el atacante aprovecha que ya había ingresado la contraseña, para engañar a la red social y solicitar el envío de información como si usted mismo lo estuviera haciendo. Por supuesto, en ningún momento durante el ataque es posible detectar esta actividad, y lamentablemente esta operación no deja rastros.

En cuanto al sitio necesario para el engaño, es necesario que genere una motivación para que el usuario acceda a hacer click en algún link o una imagen, por lo que generalmente se utilizan foros de discusión o blogs, aunque lo más peligroso de esta técnica es que el sitio no necesita ser creado por el hacker, sino que se puede utilizar un sitio legítimo para realizar el ataque.

Los consejos

-En las redes sociales, acepte invitaciones solamente de gente conocida.

-Configure siempre las preferencias de seguridad y privacidad de su perfil; puede tomar algo de tiempo, pero realmente vale la pena para protegerse.

-Utilice aplicaciones en las redes sociales solamente cuando conozca el origen, es decir, quién es el autor o la empresa que la distribuye, y qué hace exactamente.

-Al otorgar acceso a sus datos personales, tanto a una aplicación como a la red social en sí, evalúe las consecuencias potenciales de la decisión; la recomendación es probar primero denegar accesos, y habilitarlos si comprueba que son necesarios.

- No habilite las opciones que le permiten mantenerlo logueado durante mucho tiempo en un sitio; es preferible ingresar la contraseña 2varias veces; generalmente, esta opción se presenta como ?no cerrar mi sesión?, "mantenerme logueado", "keep my session alive" o algo por el estilo.

- Cuando deje de utilizar una página que requiere de una contraseña (ya sea una red social, su correo o el home-banking), siempre asegúrese de desconectarse; típicamente, existe una opción llamada "sign out", "log out", "salir" o similares.

Sin etiquetas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *