Paranoia Hack Miércoles, 23 abril 2014

Dos maneras fáciles de robar tus contraseñas personales

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.

Hackear a una persona a veces no es complicado, todo dependerá qué usuario está detrás de la máquina. Cuando se realizan investigaciones éticas puede resultar difícil encontrar fallas de seguridad en aplicaciones. Sin embargo, los apasionados por el Mundo Hacking, cuando han sido adolescentes y neófitos en el tema, empezaron sus aventuras con técnicas muy sencillas. Es por ello que toda persona debería tener una ‘cultura digital’ y conocer que peligros acechan sus Redes Sociales, archivos y correos electrónicos.

banner_robo_claves_navegadores

 

EN EL PASADO

Recuerdo que hace más de 10 años, la forma más sencilla de hackear una página web era ver si tenía el servicio llamado “TagBoard”, aplicación que en su momento aceptaba codigos HTML en los mensajes, y lo único que tenias que hacer, era aprovechar el “exceso de confianza” del servicio para redireccionar la página oficial hacia una web con un mensaje de burla. Los tiempos han cambiado y aunque ese método ya no funciona, fue el ingrediente inicial para muchos Hacker Éticos en la actualidad.

tagboard_hack2000

EN EL PRESENTE

La Seguridad Informátiaca ha mejorado en los últimos años para mitigar los ataques, no obstante, el punto débil siguen siendo los usuarios, y lo digo porque he observado a muchos oficinistas, periodistas y amigos del espectáculo que tienen esta mala costumbre, obviando que aún existen métodos tan fáciles como robarle un dulce a un bebe.

Los Navegadores de Internet y las Plataformas Web como Faceboook, Gmail, Hotmail, Twitter y todos los demás, tienen la típica opción: RECORDAR CONTRASEÑA. Lógicamente esta opción la eligen dos tipos de usuarios: 1) Una persona descuidada de su privacidad digital o quien prefiere evitar la fatiga, 2) Usuarios muy confiados del equipo o lugar de trabajo/casa, quizá porque sea su máquina personal, esté en su escritorio, oficina, domicilio o porque siempre tenga su dispositivo consigo. Obviamente, esas claves que han quedado grabadas (recordadas) para loguearse rápidamente están almacenadas en algún lugar de tu Navegador (Chrome, Internet Explorer, FireFox). Presento dos técnicas que deben conocer para no ser asaltados por un cibercriminal, ya que todos (o casi todos) los Navegadores permiten esta opción que pasamos a detallar.

 

VIDEO DE DEMOSTRACIÓN CON lOS DOS MÉTODOS

 

 

 

MÉTODO 1: CLAVES ALMACENADAS EN EL NAVEGADOR CHROME

Simplemente es buscar las claves guardadas por el usuario cuando seleccionó: RECORDAR CONTRASEÑA

1Ir al menú Principal y clic en CONFIGURACIÓN.

 

 

2Dentro de la CONFIGURACIÓN de tu Navegador, primero deberás dar clic a: “MOSTRAR OPCIONES MÁS AVANZADAS”. Paso siguiente, cargarán más opciones y elegir: “ADMINISTRAR CONTRASEÑAS GUARDADAS”.

 

 

3Aparecerá una ventana con la lista de todas las claves, usuarios y páginas que diste RECORDAR CONTRASEÑA. Incluida la opción de MOSTRAR y borrar los puntos que cubren el password.

 

 

MÉTODO 2: DESCUBRIENDO LAS CLAVES DESDE EL NAVEGADOR FIREFOX:

Aqui cambiarémos rápidamente un código para que los puntos (****) que cubren la clave sean legibles.

4-1Un usuario tiene su USER y CLAVE ya por defecto y creerá que nadie ingresará. Este método podría ser empleado por muchos ciberdelincuentes, ya que veo a muchas personas mayores guardar sus claves de forma automática,  ellos suponen que por tener su password almacenado en una máquina de confianza estarán seguros, ya que usan la lógica que nadie entrará a su cuenta, caso contrario se daría cuenta. Sin embargo, la realidad supera todo lo imaginado.

 

 

 

4-2Todo podría estar seguro hasta que un conocedor del lenguaje HTML (solo nivel básico) seleccione: INSPECCIONAR ELEMENTO.

 

 

4-3Luego solo es necesario modificar la etiqueta PASSWORD del código fuente para que nos muestre la clave sin los puntos ocultos.

 

 

4-4Modificada la etiqueta PASSWORD por simplemente TEXT, hará que el código HTML nos revele la contraseña. Luego de ello, volvemos a cambiar la etiqueta y la víctima nunca se dará cuenta. Ya que este método con práctica no toma más de un minuto, el usuario podria distraerse o alguien distraerlo por unos instantess para el robo de la clave y luego acceder desde otra máquina, y si la víctima es muy confiado, de seguro tendrá la misma clave para todas sus cuentas. Es decir, seria hacerle un Hackeo masivo de su información.

 

RECOMENDACIONES:

– Nunca colocar RECORDAR CONTRASEÑA en el check de sus cuentas.
– Borrar el historial de claves almacenadas.
– No tener la misma clave para todas tus cuentas, y si tienes el Doble Logueo o Doble autentificación para tus cuentas.
– Nunca alejarse por largos ratos de su máquina si sabe que terceros pueden tener acceso a ella.
– No ser confiados para evitar robos de cibercriminales.
– No descuidar su dispositivo por mucho tiempo. Porque son dos métodos muy sencillos pero peligrosos.

 

 

 

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Disclaimer:
El autor no se responsabiliza de las opiniones vertidas en los comentarios. Este artículo no pretende ser un manual, ni vulnera la seguridad de ninguna persona, los usuarios asumirán su responsabilidad frente a cualquier daño o perjuicio que cometan.

///////////////////////////////////////////////////////////////////////////////////////////////////////////

Miguel Guerra León

Asesor dedicado a la Seguridad Informática, Hacking, TIC y Marketing Corporativo.