hotmail: mitos & realidades

Siempre quise escibir sobre Hotmail, específicamente los mitos y demás que giran en torno a "se puede hackear una cuenta de Hotmail", "se puede obtener una contraseña de Hotmail" ?
La respuesta es no, no se puede sacar de un sombrero, y la respuesta es si, se puede obtener por otros medios.
Por ahi me apresuro al decir que si, pero primero repasemos los no.
No hay forma de que utilizando un programa,un algoritmo o un bug en el servidor de Hotmail, explotable para conseguir la contraseña de una cuenta, partamos por el pensamiento lógico de que si se pudiese, como es internet, no sería una sola persona la que lo sabría y dicho secreto hubiese sido ya difundido públicamente,en lo que internet respecta. Nadie conservaría su cuenta si estubiese en manos de todos poder conseguir contraseñas ajenas.
De echo si hubiese una forma de obtener la contraseña de alguien, esta seria indescifrable, por que ?. Por que Hotmail no guarda nuestras contraseña en su "base de datos" asi en lo que se llama "texto limpio", me explico, si mi contraseña es "televisor" en la base de datos de Hotmail no figura como "televisor" sino que se encuentra encriptada, a grandes rasgos "codificada".
Pero hay diferentes formas de codificación, hay algunas que estan echas para ser revesibles, en el mejor de los casos "televisor" codificada de manera reversible seria, por ejemplo, "88uuut" y esta ultima decodificada sería "televisor".
No es el caso de Hotmail, este utiliza un algortimo de codificación que no tiene reversión, y entonces como hace Hotmail para saber que la contraseña que ingresamos es correcta ?.
Fácil, el algoritmo utilizado que sino me equivoco es el MD5 al momento de comparar lo que ingresamos, compara los bits de la contraseña encriptada. Para darle más vueltas al asunto no es que "televisor" en MD5 va a ser siempre "88uuut" ( en MD5 las cadenas encriptadas son más largas,utiliza 128 bits ), sino que cambia !, iniciamos una vez es "88uuut", iniciamos por segunda vez es "zzz887sd" y así sucesivamente. Esto da a entender que ni siquiera los de Hotmail saben como es nuetra contraseña, por que piensan que cuando vamos a "recuperarla" por medio de la "pregunta secreta", nos pide que ingresemos una nueva ?.

Ok hasta ahí el por qué no.

Pero que formas hay por las cuales se puedan obtener nuestras contraseñas?
Hay muchas, algunas más ingeniosas que otras o más ocultas, mas producidas, etc.
Vamos a listarlas con su explicación:

1) Troyanos, un troyano es un programa que nos pueden enviar via Msn Messenger y una vez que lo ejecutamos simulando ser un servicio de Windows, por ejemplo, abre una puerta por la cual el "atacante" o la persona que lo envió podría acceder a nuestra pc, y dependiendo las características del troyano podría utilizar y aprovechar nuestra pc a gusto.
Con este programa en nuestra pc, el atacante podría gaurdar las teclas que presionamos
( keyloggers ) y de esta forma esperar que ingresemos en Hotmail y tipeemos nuestra contraseña y capturarla antes de que sea procesada por Hotmail.
Cabe destacar que la encripcion a MD5 se realiza una vez que apretamos "Iniciar Sesión" y Hotmail procesa el password, hasta ese momento se encuentra en "texto limpio".

2) Keylogger, a veces no es necesario que nos envien un troyano, si utilizamos Hotmail en una pc pública de una facultad y un cyber, que no esten correctamente protegidos con Antivirus o Freezadores, alguien podría dejar un Keylogger corriendo en esa pc y capturar contraeñas de más de una persona que incie sesión en esa pc.

3) Fakes, falsamente conocidos como "exploits", los fakes son codigos Html y páginas que simulan ser la tipica página de incio de sesión de Hotmail, nos inducen por medio de tentadoras ofertas o postales a que iniciemos nuestra sesión de correo ahí, con el unico objetivo de capturar nuestra contraseña y mostrarnos alguna postal falsa en el mejor de los casos, para mejorar el discimulo o reenviarnos a la verdadera web de Hotmail.
Está técnica es muy utilizada, más que nada por lo fácil de su empleo, no hay que saber nada de nada, por que en Internet hay muchos "lanzadores", así se conocen sus plataformas, que solo requieren que pongamos el mail de la victima y nuestro mail para que envién la contraseña capturada, en algunos casos se puede conocer desde la misma web.
Como protección es recomendable saber que Hotmail nunca nos pedirá nuestra contraseña, ni via mail ni nada, a no ser que la misma no se encuentre ingresada. Pero nunca van a recibir un mail de Hotmail de "poné tu clave o cerramos tu cuenta", "Hotmail cerrará si no pones tu clave", y diferentes ganchos.
Segunda medida, fijarse en la barra de dirección ( donde tipeamos las url, www.gooole.com, por ejemplo ), fijarnos si no es sospechosa la dirección, por ejemplo: www.h0tmail.com ( notese en vez de "o" hay un "0" ), y diferentes webs con nombres malisciosos o malformados.
Antes cualquier duda, si les pasa eso, abran otra ventana de su navegador y escriban ahí www.hotmail.com e ingresen normalmente, si tienen dudas de el mail recibido.
Estos fakes suelen venir dizfrasados de postales, asi que si reciben una que al ingresar les pide su contraseña de Hotmail, no la pongan!.

4) Ingeniera social, se considera de las formas más efectivas de todas. Esta lisa y llanamente conseguir la contraseña pidiendosela directamente a la persona, por medio de la obtención de datos de la misma.
Por ejemplo, por experiencia se podría decir que las mujeres eligen fechas y documentos. Tener en cuenta que dar datos sin importancia a otra persona puede ser de riesgo, si nuestra pregunta secreta fuese "nombre de mi mascota favorita", cualquier persona que lo sepa podria cambiar nuestra contraseña, y si no la supiese, sería un dato muy fácil de averiguar.
Intenten que sus preguntas secretas sean dificiles o sin sentido, y que la respuesta no sea nada que ver a la pregunta, anotenlá en un papel o cosas así, asi evitan esta forma fácil de robo de contraseñas, que genera situaciones de contraseñas inretornables.
Como dato extra, si sufren este tipo de "ataque" prueben poniendo "123456" de contraseña, en el caso que se las hayan cambiado. Por una cuestión de practicidad el "atacante" podría haberla puesto por la fácilidad de acceso que tiene esa combinación de números en el teclado, en el caso de que el atacante haya probado varias respuestas a nuestra pregunta.
Un caso conocido fue el del celular de Paris Hilton, cuya pregunta secreta era "Nombre de mi mascota", conocido por todos "tinkerbell" se podría haber buscado en google, o mirado televisión. Los atacantes accedieron a la agenda de Paris obteniendo números como los de Madona, Eminem, etc. todos publicados en internet.
Ha habido grandes casos de fraudes y obtención de datos por medio de la ingeniería social.

Por último voy a dar algunos consejos:

Usar contraseñas que combinen dígitos y no utilizar fechas, documentos, nombre de artistas, bandas, etc. O utilizarlos de una manera inteligente, combinando números y letras.
Por ejemplo: nuestra contraseña es "televisor" fácilmente podría ser más segura si utilizamos un sistema memotécnico fácil, reemplazando algunas letras por su parecido en números:
Quedando "televisor" = "t3l3v150r", al momento de ser tipeada es díficil de comprender.



Bueno creo que es todo, espero lo disfruten y les sirva, cualquier duda o pregunta ... comments.