Tengo una cuenta de Gmail, ¿estoy en riesgo?

Tengo una cuenta de Gmail, ¿estoy en riesgo?

ImgArticulo_T1_90801_201162_101102.jpg


Google informó que cientos de usuarios de su servicio de correo electrónico Gmail fueron víctimas de una "ciberestafa". Se llama spear phishing y es posible protegerse de ella.

Su mejor amigo dice que necesita pasar a buscar unos papeles por su casa y le pide la llave; usted se la da, con confianza.

Cuando llega a casa, la encuentra desvalijada. Angustiado, llama a su amigo. Él nunca le pidió la llave. No sabe de qué habla. ¡Cómo puede ser! Usted le dio la llave en persona. Pero resulta que no era su amigo, era alguien que se hizo pasar por él. Y usted le creyó.

Eso, pero en el mundo virtual -con implicaciones muy reales-, es lo que según Google le ha pasado a cientos de altos funcionarios de Estados Unidos, periodistas chinos y activistas políticos, usuarios de su servicio de correo electrónico Gmail.

A diferencia del ataque que sufrió Gmail en 2010 y que sacaba provecho de una vulnerabilidad en los sistemas de la compañía -como ocurrió con Hotmail de Microsoft el mes pasado- esta vez el ataque se basó en lo que se denomina "ingeniería social".

El procedimiento se conoce como spear phishing. El atacante envía un email -o varios, hasta que consigue "hacer caer" a la víctima- que parece provenir de un contacto conocido. El mensaje está escrito de forma convincente y suele contener un vínculo a un sitio web (a veces disfrazado como un archivo adjunto) que la víctima es incitada a visitar.

El contenido del sitio puede contener un código malicioso, ofrecer descargar algún tipo de documento que instala software espía o dañino (spyware o malware) o, como en el caso de este ataque, una copia casi idéntica de la página de acceso a Gmail, como ha informado el sitio especializado Contagio Dump, uno de los primeros lugares donde apareció reportada esta estafa cibernética.

Cuando los funcionarios, activistas y periodistas atacados intentaban ingresar, efectivamente le estaban "regalando" su contraseña -la llave de casa- a los hackers.

Y con la llave en la mano, pueden acceder a detalles de contactos, revisar los correos en busca de información sensible, contraseñas para acceder a otros sistemas o datos bancarios. Además, pueden generar reglas que hacen que todos los mensajes se reenvíen a una tercera dirección de email, para que el cibercriminal pueda seguir la actividad de la cuenta sin siquiera tener que ingresar en ella.

Cualquier usuario de correo electrónico está expuesto a ser víctima de este tipo de ataque.

Ni nuevo, ni sofisticado

Mila Parkour, investigadora en seguridad informática y responsable de Contagio Dump, dijo que el método de ataque "está lejos de ser nuevo o sofisticado" (hay registros de phishing de hace más de una década).

Parkour le dijo a la BBC que fue alertada de este ataque a usuarios de Gmail en febrero, pero no quiso dar detalles de quién le proveyó la información.

Justamente, los detalles de los usuarios de internet son uno de los elementos clave que permiten a los hackers mejorar sus estrategias de phishing.

Expertos en seguridad informática señalan que la información personal que la gente hace pública en las redes sociales, como Facebook, le facilita a los cibercriminales construir un perfil de los usuarios con los que hacer que los mensajes que les envian se vean más verosímiles.

Y una vez que caen en la trampa, y dan su contraseña a un hacker, han perdido la privacidad de su cuenta de correo.

"Las contraseñas no funcionan"

Dan Kaminsky, experto de la firma de seguridad informática DKH, cree que ese es un problema esencial: "las contraseñas no funcionan como sistema de verificación".

"Son demasiado flexibles, transferibles y fáciles de robar", dijo. "Sin embargo, seguimos usándolas por limitaciones técnicas y porque los usuarios las encuentran fáciles de utilizar".

De hecho, Gmail ha implementado hace unos meses un sistema de verificación de dos pasos, que combina el uso tradicional de nombre de usuario más contraseña con una clave generada por una aplicación instalada en un teléfono inteligente o enviada como mensaje de texto. Con esta función activada, aún si un cibercriminal accede a la contraseña de la cuenta de correo, no podrá ingresar porque le faltará la clave del "segundo paso".

Los sitios web de muchos bancos también utilizan sistemas similares, en los que los usuarios necesitan una combinación de una o más contraseñas, información clave, o -inclusive- dispositivos especiales que leen sus tarjetas bancarias para poder acceder a sus cuentas y realizar operaciones.

Sospeche

Esto no hace que deje de ser válido el tener contraseñas seguras (que no contengan palabras de uso común, combinen letras, números y otro tipos de caracteres, así como mayúsculas y minúsculas), no utilizar la misma clave para varios servicios y, cuando se conocen este tipo de ataques, modificar la contraseña de su cuenta y verificar que no hayan aparecido reglas de reenvío de emails que usted no había programado.

En cualquier caso, desde las primeras estafas que utilizaban el correo electrónico y la confianza y buena voluntad de los usuarios, los expertos en seguridad informática siguen dando el mismo consejo básico: sospeche.

Si un email llega de un contacto conocido, pero le ofrece visitar un sitio del que nunca habían hablado, o la dirección del vínculo es inusual, puede ahorrarse muchos dolores de cabeza con tan solo comunicarse con esa persona y preguntarle si efectivamente le ha enviado ese correo.

Y, mientras tanto, no abra los vínculos o los archivos adjuntos del mensaje. Si era algo urgente, ya lo llamará por teléfono (con suerte no será un hacker que, además, sepa imitar voces).

Fuente
 

VektorY

Lanero Líder
Lanero VIP
Se unió
8 Oct 2006
Mensajes
10,832
Yo por eso siempre he tenido la política de limpiar correos innecesarios que logren decir a alguien que consiga mi contraseña cosas sobre mi.

Correos que me mandan de bancos y demás páginas de información sensible, los elimino apenas deje de necesitarlos.
 

piperon

Lanero Reconocido
Se unió
5 Jun 2006
Mensajes
1,596
Me parece un poco amarillista el titulo de la noticia, puesto que no es un fallo de la plataforma de gmail, en ese orden de ideas seria "tengo por lo menos una cuenta de correo electrónico a la que accedo con una contraseña, estoy en riesgo?"

También hay que tener en cuenta que el uso mas comun del pishing es para estafas bancarias. Aquí es Colombia es bastante común, por lo menos a mí me llegan semanalmente 1 o 2 correos de pishing bancario. Otra modalidad es el pishing por SMS muy difundido en nuestro país.

En resumen no es culpa de los proveedores de correo electrónico, es culpa de los usuarios
 

yuskekiss

Lanero Reconocido
Se unió
31 Mar 2007
Mensajes
304
El phising no solo se presenta en gmail a mi hotmail me llega un correo de bancolombia y nunca tuve cuenta con ellos y ya no vivo en Colombia xD. Juego world of warcraft en el oficial , pero tengo mi correo de gmail, y el intento de robar mi cuenta llega a hotmail xD epicfail estafadores

Sent from my HTC EVO 4G using Tapatalk
 

R4

Lanero Reconocido
Se unió
29 Ene 2003
Mensajes
433
El phising no solo se presenta en gmail a mi hotmail me llega un correo de bancolombia y nunca tuve cuenta con ellos y ya no vivo en Colombia xD. Juego world of warcraft en el oficial , pero tengo mi correo de gmail, y el intento de robar mi cuenta llega a hotmail xD epicfail estafadores

Sent from my HTC EVO 4G using Tapatalk

yo hago algo parecido, tengo un correo para registrar en todo lado con nombres fake, uno que es el personal y otro (el de gmail) para cosas importantes que nunca lo publico en ningún lado.


La ingenieria social es la mayor falla del sistema de seguridad en todo lado, ya sea el infiltrado en el banco que avisa los fleteos o el usuario incauto que para ver un video ingresa su cuenta de e-amil, eso aplica en todo lado...
 

Kal-El

LANero Kryptoniano
Se unió
22 Sep 2005
Mensajes
11,696
Título demasiado amariillista... Debería ser cambiado a:

Tengo una cuenta de E-mail, ¿estoy en riesgo?
 

GuMaN

Lanero Reconocido
Se unió
28 Abr 2004
Mensajes
6,512
por ahi tengo un mail con un doc k al pasarle el cursor por encima muestra una direccion web en la barra de informacion del navegador....
 

Tus temas seguidos

Arriba