En estos días he estado revisando las opciones de recuperación de password de algunas cuentas de Hotmail, específicamente las preguntas/respuestas de recuperación. Como todos saben Hotmail, al igual que Gmail y cualquier otro servicio de correo, ofrecen opciones para recuperar o resetear el password de la cuenta en caso de que, o la olvidemos, o alguien nos haya hecho el favor de cambiarla por nosotros en caso de encontrar nuestra cuenta abierta en alguna computadora o algún cibercafe. Muchos usuarios eligen una de las preguntas que Hotmail les ofrece, como "Nombre de la primera mascota", o "Cumpleaños de la Madre". Otros escriben sus propias preguntas, como en el caso de un buen amigo mio. Hace un par de noches estábamos chateando y le decía que ya tenia mi cuenta de Twitter para el blog (por cierto aprovecho para avisarlo a ustedes también :P ) y el me contesto que aprovechara y que lo siguiera a él para que aprendiera algo. En ese momento pensé que había encontrado un perfecto conejillo de Indias para probar las preguntas/respuestas que él había elegido.
Mientras el seguía hablándome de las cosas que podía enseñarme sobre seguridad y Hacking, yo entraba a la pagina de recuperación de cuentas de Hotmail e introducía su cuenta para que mostrara las opciones de recuperación que el había elegido, y efectivamente tenia entre las opciones "Security Question" o "Pregunta de Seguridad". La pregunta que tenia no era de las pre-hechas que Hotmail te presenta, había escrito su propia pregunta: "Cual es". Cuando vi esta pregunta se me ocurrieron un par de respuestas tan sencillas como la pregunta misma. Intente un par de respuestas: "la pregunta", "dimela" hasta que entonces probé con una respuesta muy sincera: "no lo se" y como si se hubiese tratado de alguna de esas pruebas de sinceridad u honestidad que le hacen a los caballeros en la películas, se me presento la muy esperada pantalla de reseteo de password que se muestra a continuación:
Cuando vi esta pantalla, inmediatamente hice lo que tenia que hacer: Resetearle el password!!! Una vez lo había cambiado, me dirigí nuevamente a la pantalla del chat donde todavía se encontraba él diciendome que aunque su área no era el hacking o la seguridad, el tenia los recursos para enseñarme un par de cosas, a lo que yo le conteste "Ok, perfecto, primero intenta entrar a tu cuenta de Hotmail, y luego empiezas las lecciones", ya pueden imaginar su reacción cuando no pudo entrar a su cuenta, y mas aun cuando le di su nuevo password. Otro error que mucha gente comete es seleccionar preguntas personales que aunque uno no las sepa, hay formas muy sencillas para conseguirlas que solo requieren de un poco de paciencia y buscar en el sitio correcto. Por ejemplo, algunas personas elijen preguntas como "Fecha de Nacimiento de la Madre". Si no conoces bien a la persona puede que no sepas la respuesta, pero es muy seguro que puedas conseguir esa respuesta en su perfil de Facebook. La mayoría de las personas publican en su muro TODO lo que les pasa o cualquier acontecimiento que consideren importante, como el cumpleaños de algun familiar o amigo, y Facebook se encarga de mantener toda esa información para nosotros. Con un poco de paciencia podemos ver publicaciones de hasta un año atrás, incluso mas, pero hasta un año atrás es el máximo que he buscado.
Otra forma de buscar información puede ser buscando entre los contactos de esa persona. Puede ser que su madre (en el caso de la pregunta que usamos como ejemplo) también tenga Facebook y entre su información facilmente podríamos conseguir datos como su fecha de nacimiento, etc. Otras preguntas muy comunes como "Lugar de Nacimiento", "Escuela donde Estudio", "Personaje Histórico Favorito" pueden también encontrar respuestas en Facebook. Y el hecho de que no tengamos a esa persona agregada como amigo tampoco es problema, ya que la gran mayoría de personas aceptan todas las solicitudes de amistad de cualquier desconocido, aparentemente se sienten elogiados de que alguien quiera saber de ellos. Incluso, una forma mas sencilla de conseguir esas respuestas es hacerle la misma pregunta directamente como parte de una conversión (utilizando un poco de ingeniería social) y por seguro lo mas lejos que tendrán es que esa misma pregunta la eligieron para resetear su password en Hotmail.
- Asegurando nuestra cuenta de Hotmail
Hotmail ofrece varias opciones para recuperar el password:
- Utilizar una cuenta secundaria
- Enviando en un SMS un codigo o token a un numero movil registrado
- A traves de una PC de confianza
- Pregunta de Seguridad
Como se imaginan, la primera opción nos permite indicar una dirección de correo a la cual se nos enviara un mail con un link para reestablecer nuestro password. Si vamos a utilizar esta opción, tenemos que asegurarnos de que la cuenta que elegimos esta asegurada contra el tipo de cosas que hablamos mas arriba, o de nada nos servirá intentar asegurar esta cuenta. Personalmente tengo una cuenta de Gmail, que , a mi entender, maneja mejor el proceso de recuperación de cuentas. También tenemos que tener en cuenta donde tenemos configurada esta cuenta, por ejemplo, si tenemos esta cuenta configurada en un programa como Thunderbird o Outlook, tenemos que tener cuidado con quien tiene acceso a la computadora donde esta configurada, o alguien podría iniciar el proceso de recuperación de la cuenta, acceder a la computadora y esperar a recibir el mensaje, en ese caso, perdimos nuestra cuenta y nuestro amigo obtuvo su venganza.
El segundo método parece seguro. Introduces tu numero de móvil y en caso de necesitar recuperar tu cuenta, HotmailSMS al celular que registraste (supuestamente, porque intente probarlo y todavía estoy esperando el SMS). Pero entonces pensé, y que tal si se me olvida en el celular en algún sitio, o si mi amigo sediento de venganza me pide el celular un minuto y en ese momento aprovecha para solicitar la recuperación de la cuenta a través del SMS? Desistí inmediatamente de la idea de utilizar este método.
El siguiente método es a través del uso de una "PC de Confianza", para utilizar este método es necesario instalar "Windows Live Essentials". Realmente no llegue a probar este método, pero no me gusto la idea de una computadora de confianza desde la que se pueda realizar este proceso, por el mismo caso que con el celular. En cualquier descuido podría alguien (mi amigo sediento de venganza) pedir el reseteo de mi cuenta, así que también ignore esta opción. Claro, esto es en mi caso, puede ser que resulte efectivo para una persona que tenga una computadora a la que solo el pueda tener acceso.
El ultimo método, y el que da origen a este post, es el de la Pregunta de Seguridad. Particularmente llegue a la conclusión de que esta opción puede utilizarse de una forma que resulte difícil responderla simplemente adivinando o buscando la posible respuesta en Facebook. La recomendación seria elegir incluso una de las preguntas predeterminadas, pero que la respuesta sea algo totalmente divorciado de la pregunta. Por ejemplo, si elegimos la pregunta "Fecha de Nacimiento de la Madre" podríamos responderla con algo como "h0y llegue tarde al w0rk", incluso sustituyendo caracteres, como tipo "Pass Phrase". De esta forma nuestro amigo se gastara los dedos intentando (en el caso del ejemplo) escribir la fecha de nacimiento en varios formatos intentando contestar nuestra pregunta. Claro, tenemos que tener cuidado de escribir una respuesta que se nos vaya a olvidar y que luego no estemos nosotros intentando contestar la pregunta con una respuesta que corresponda a la pregunta. En caso de que necesitemos guardar esto, recomendaría utilizar TruCrypt , crear un volumen encriptado y guardar en este el archivo con la pregunta/respuesta de recuperacion. Otras opciones importantes para asegurar nuestra cuenta son habilitar SSL para la conexion a Hotmail.com, de modo que cada vez que nos conectemos a Hotmail se haga a través de una conexion segura, y habilitar la opción de que nuestro password caduque cada 72 dias. Esta ultima le da un tiempo de vida de 72 días a nuestro password.
En fin, desde que pude resetear el password mi amigo, siempre estoy pensando en que él debe estar buscando la manera de hacerme lo mismo, seguro ha revisado mis opciones de recuperación, y desde entonces he tratado de tomar todas las medias posibles para evitarlo. Pero creo que hoy en día así es como debemos estar, alertas, un poco paranoicos, pensando en que alguien esta tratando ya sea de robar nuestra identidad en linea, nuestra cuenta, o ya en el ámbito empresarial, de entrar a nuestros sistemas, robar información o causar algún daño en nuestra red, y como buenos Tipos de Informática debemos asegurarnos de tomar todas las medidas que estén en nuestro alcance para minimizar este riesgo.
Bueno, en resumen, mis recomendaciones para tratar de minimizar el riesgo de que nos roben nuestra cuenta son:
- Elegir un password fuerte: por lo menos 8 caracteres que incluya Mayúsculas, minúsculas, números y algún carácter especial.
- Habilitar SSL en Hotmail
- Activar que nuestro password caduque cada 72 días
- Si elegimos el método de recuperación por pregunta de seguridad, responder a la pregunta con algo totalmente alejado de la respuesta.
Bueno, no soy un experto en seguridad ni pretendo aparentarlo, y mucho menos un Hacker, pero creo que estas medidas pueden mantener lejos de nuestras cuentas por lo menos a los curiosos que intenten hacerte alguna maldad reseteando tu password. Espero que esto les sea de ayuda, y si mi amigo al que le resetie el password esta leyendo esto, por favor no intentes con la respuesta que puse de ejemplo, porque exactamente esa es la que estoy usando :P
Hasta el Próximo!
