El reciente episodio del hackeo a Mat Honan, popular periodista tecnológico, es de esos que proporcionan muchos temas para la reflexión y el aprendizaje, así como muy interesantes lecturas para todos los que vivimos apasionadamente entregados a ese concepto de la “vida digital”.
Si no habías oído hablar del tema, te recomiendo que empieces por su anuncio del tema en su Tumblr, “Yes, I was hacked. Hard“, en donde documenta lo ocurrido con toda suerte de detalles y actualizaciones posteriores. Y, sobre todo, la parte que más me interesa: cómo lo vivió. En lo referente a este tipo de temas, es importante entender que la pregunta no es si te va a pasar a ti, sino cuándo, y que, por tanto, si eres capaz de entenderlo y de saber cómo te vas a sentir cuando ocurra, tienes un importante camino ganado. Dado un interés determinado que todos en algún momento de nuestras vidas podemos generar, debes saber que si alguien quiere hackearte, lo hará. Punto. Como bien dice la frase del gran Gene Spafford, ‘Spaf‘,
“el único sistema realmente seguro es aquel que está apagado, confinado en un bloque de hormigón y sellado en una habitación forrada de plomo con guardias armados – y aún así tengo mis dudas.”
Es sencillamente inevitable. Lo que no quiere decir, lógicamente, que no debamos intentar impedirlo o tener la preparación más adecuada para cuando tenga lugar.
Después, te recomiendo también su artículo en Wired, “How Apple and Amazon security flaws led to my epic hacking“, para terminar de entender qué pasó y cómo pudo haberse evitado. Para tu tranquilidad – pero no demasiada – tanto Apple como Amazon han anunciado que ya los agujeros en los procedimientos que permitieron la entrada en sus cuentas han sido corregidos. La próxima vez, será a través de otro agujero diferente. Pero ocurrirá.
¿Qué ocurrió? Básicamente, ingeniería social. Una llamada telefónica a Amazon para añadir una tarjeta de crédito, un procedimiento para el que eran necesarios únicamente un nombre, una dirección de correo electrónico y una dirección de facturación, datos a los que resulta relativamente sencillo tener acceso. Tras esto, una nueva llamada a Amazon para, alegando que habían perdido el acceso a esa cuenta y utilizando la información de la recién añadida tarjeta de crédito, añadir una nueva cuenta de correo electrónico. Esa nueva dirección de correo les permitió solicitar y recibir un reset de contraseña. Con el acceso a Amazon, pudieron ver los últimos cuatro dígitos de la tarjeta de crédito real de Mat, información que les permitió, junto con la dirección de correo electrónico y la física, llamar por teléfono a Apple y solicitar una contraseña temporal para acceder a su iCloud, y borrar seguidamente el contenido de varios dispositivos.
¿Tercera lectura recomendada? Business Week y su reflexión al respecto: cómo antes lo que resultaba cool era hackear sistemas Microsoft, y ahora, en cambio, lo cool es conseguir hackear sistemas Apple: “In today’s performance, the role of Microsoft will be played by Apple“. A pesar de que una primera interpretación podría leerse como algo positivo para la empresa de Redmond, no os engañéis y analizad lo que realmente significa: podéis estar completamente seguros de que a nadie en Microsoft le va a gustar leer esta noticia.
Dado un interés suficiente y con la preparación adecuada, nadie es inaccesible, por más sofisticadas que sean sus contraseñas. ¿Qué hay que hacer? Aprovechar situaciones como la ocurrida a Mat, que dada su condición de periodista especializado ha aprovechado para documentar y comentar todo con una gran precisión, para aprender del tema, y hacer una buena revisión de las mejores prácticas para la seguridad en la nube que se publiquen en los análisis posteriores. Sencillamente, piensa cómo te sentirías si te ocurriese a ti, e intenta actuar en consecuencia. Ver cómo, en cuestión de una hora, pierdes acceso a tu correo electrónico, tu cuenta de Twitter empieza a publicar estupideces con las que no tienes nada que ver sin que puedas controlarlo, y se empiezan a borrar tus dispositivos uno por uno suena, sin duda, a la peor de las pesadillas para cualquiera.
Desde el punto de vista estrictamente tecnológico, no hablamos de ningún derroche de medios: fundamentalmente, ingeniería social. Lo dicho: si a alguien le interesa lo suficiente y lo prepara adecuadamente, seguro que podrá hacerlo. Intenta al menos poner los medios oportunos para, si ocurre, no perderlo todo.
(Enlace a la entrada original - Licencia)
0 comentarios:
Publicar un comentario
ATENCIÓN: Google ha metido en Blogger un sistema antispam automático que clasifica como spam casi lo que le da la gana y que no se puede desactivar.
Si después de hacer tu comentario este no aparece, no se trata del espíritu de Dans que anda censurando también aquí, es que se ha quedado en la cola de aceptación. Sacaré tu mensaje de ahí tan pronto como pueda, si bien el supersistema este tampoco me avisa de estas cosas, por lo que tengo que estar entrando cada cierto tiempo a ver si hay alguno esperando. Un inventazo, vaya.