10 mtodos para hackear cuentas de usuario

En el calor que desata la interaccin de tres mil millones de usuario de internet, lo sucedido con Sony Playstation Network nos dej temblando. Las polticas de seguridad de Facebook nos dan escalofros y las posibilidades que hay de que nuestra informacin sensible quede expuesta en el prximo ataque nos hielan la sangre. Pero salvando estas catstrofes informticas no tan usuales, todos los das hay algunos tcnicas y recursos que estn disponibles para robarnos nuestra identidad e informacin en redes sociales, correos y hasta bancas electrnicas. Por eso decidimos darles un repaso y revisar los 10 mtodos para hackear cuentas de usuario ms utilizados y dar algunas pistas sobre cmo evitarlos.

Anuncios Google o LogMeIn Free www.LogMeIn.com - Acceder y controlar PCs Gratis, fcil y seguro o CCTV Camaras de Seguridad www.securitycameradistributor.com - Sistemas de Vigilancia por Internet Mejor Precio 100% Garantizado! A grandes escalas, el hacking de sombrero negro tiene tcnicas de intromisin a sistemas y robo de informacin que debido a la complejidad de sus hazaas dejan en los anales de la historia de la informtica a sus perpetradores, pero a nivel bsico tambin puede hacerse mucho dao, y si hay algo que a cualquier usuario promedio nos puede daar y mucho es la prdida del acceso a nuestros servicios favoritos o necesarios debido al robo, suplantacin o secuestro de nuestras cuentas. Incluyendo contraseas, nombres de usuario, correo electrnico y lo que se nos ocurra que pueda ser valorable para nuestra privacidad y seguridad est en constante riesgo, y por eso te refrescamos el temor sin entrar en la paranoia de cules son los 10 mtodos para hackear cuentas de usuario. A continuacin te dejamos algunos conceptos junto al resumen de su accin y algunos consejos sobre cmo evitarlos o reducir sus consecuencias.

10 mtodos para hackear cuentas de usuario

Keyloggers

El keylogging se basa en un pequeo programa o dispositivo de hardware que graba todo aquello que se tipea en el ordenador y solo requiere de una instalacin simple que puede hacerse incluso remotamente si las circunstancias lo permiten. Este sistema es efectivo aunque bastante trabajoso a la hora de recopilar la informacin rescatada, pero en lo que hace a redes sociales y direcciones de correo electrnico,

sesiones de cuentas bancarias, etc. una simple bsqueda con trminos @ + . podra devolverte los correos introducidos y, en general, la contrasea como la siguiente palabra despus de estos. Cmo evitarlo: Revisa tu bandeja de sistema y el Administrador de tareas en la pestaa Procesos o Servicios. Si ves algo sospechoso, prueba con una bsqueda web sobre el proceso en cuestin para informarte de qu se trata. Otra cosa que puedes hacer es buscar aplicaciones como esta, que generan un teclado virtual que puedes tipear con el ratn sin dejar nada grabado.

Keyloggers: Graban lo que se tipea y pueden venir en forma de teclado, fichas para teclado o como software.

Hackeo mediante telfonos

Con la llegada de las billeteras virtuales a los smartphones millones saltaron de la alegra. Dentro de ellos estn tambin los que roban telfonos, los que desde los servicios tcnicos se quedan con tu informacin y los que utilizan sistemas espas para mviles como Mobile Spy o Spy Phone Gold, entre otros. Este tipo de software de terror para la privacidad (y para el mantenimiento de las tasas de parejas estables) puede, como si fuera un keylogger, grabar toda la informacin que se escribe en un mvil, incluida tu contrasea de Facebook, correo, etc. Cmo evitarlo: En caso de robo o envo a servicio tcnico, cambiar inmediatamente todas las contraseas de tus servicios. Y para evitar aplicaciones espas, fijarse si las tienes instaladas con regularidad y evitar que tu mvil caiga en

manos ajenas mientras no le prestas atencin. Consejo extra: Evita novias/os celosas.

Aplicaciones para espiar telfonos.

Phishing
El phishing es tal vez la tcnica de robo de identidad virtual ms popular que existe en la red dada su efectividad, pero gran parte de este honor viene en base su creacin y procedimiento, que puede que sean de los ms fciles y econmicos de llevar a cabo. Lo que en general sucede es que el perpetrador crea una falsa aplicacin, mensaje, correo o cualquier medio que tenga el objetivo de llevar al usuario a iniciar sesin en su cuenta, por ejemplo, de su banca comercial, para continuar con lo que sea que le interes del mensaje. El truco est en que cuando el usuario introduce su correo electrnico y su contrasea en esa falsa pgina de inicio de su banco, la informacin es enviada a un archivo de texto en el servidor que aloja la pgina falsa o por correo a quien ataca. Cmo evitarlo: A la hora de iniciar sesin, presta atencin a la barra de direcciones y asegrate de que tenga la direccin formal del banco (o del sitio que sea), o que est sin errores de escritura. Lo mejor es utilizar el protocolo HTTPS para ingresar a estos servicios, y algunos los tienen por defecto y a otros hay que obligarles a utilizarlo a travs del navegador.

Qu es el Phishing segn Symantec.

Stealers
Gran cantidad de usuarios deja almacenadas las contraseas que utiliza a diario en los navegadores, pero ms all de que cualquiera puede ingresar a estos e ir por las contraseas manualmente, hay aplicaciones como los stealers que automticamente roban los datos sensibles guardados a travs de comandos muy fciles de realizar o con interfaces grficas an ms accesibles a cualquier malintencionado. Su uso junto a pendrives autoejecutables (ver ms abajo) puede ser realmente una combinacin poderosa. Cmo evitarlos: Utiliza sistemas de contraseas maestras con aplicaciones como Keepass, Loggin Control, JPasswords o memoriza tus contraseas sin dejarlas a mano ante la presencia de un stealer.

Los stealers roban informacin sensibles en un abrir y cerrar de ojos.

Secuestro de sesin (hijacking)

Como saben, las cookies sirven para autentificar la identidad de un usuario y recuperar parte de la informacin entre el sitio y el. El secuestro de sesin o sesin hijacking se realiza normalmente en redes LAN (torneos de juegos, cybercafes, redes laborales o institucionales) a travs de aplicaciones de sniffing (o tcnicas de ARP poofing si la red es conmutada) y se buscan referencias de las cookies de acceso a determinados sitios que no utilizan HTTPS y se accede a la cuenta. Cmo evitarlo: Entre otros recursos, asegrate de usar protocolos de proteccin como el HTTPS cada vez que inicias sesin. Llegado el caso de no poder hacerlo, elimina cookies enseguida hayas terminado la sesin, aunque la efectividad de esto ltimo es ms ambigua.

Secuestro de sesin (hijacking)

Secuestro de sesin paralela (Sidejacking)

Similar en funcin y objetivos que el hijacking, pero con la diferencia de aprovechar esta vez de vctimas que estn conectadas a la misma red WiFi abierta o pblica que el perpetrador. El sidejacking es bsicamente un secuestro de sesin normal, pero a travs de redes WiFi, por lo que el proceso es similar. Aplicaciones que realizan sniffing, se utilizan tanto que hasta Chrome y Firefox tienen a Firesheep, que te muestra las sesiones activas y no protegidas en una red Wifi. Cmo evitarlo: Evitando conectar se servicios sin HTTPS, evitando las redes pblicas WiFi o usando la nmesis de Firesheep: Blacksheep, que te indicar si alguien est usando Firesheep en la red a la que ests conectado.

Sidejacking con FireSheep.

Botnets
Usualmente no estn enfocadas a realizar actividades de secuestro de datos sensibles a particulares y por lo tanto su regularidad entre los 10 mtodos para hackear cuentas de usuario es de las menores. Esto no es por alguna cuestin tica, sino por el costo/beneficio que implica su instalacin. Sin embargo, siempre est la posibilidad de que una persona o una pequea empresa tenga una base de datos prodigiosa, y esto los constituye rpidamente en un objetivo para las botnets,

que se trata de bots que infectan una red o una terminal y que se puede controlar de manera remota por IRC tanto para recopilar informacin para generar spam como para hacer ataques de tipo DDoS. Cmo evitarlo: Para evitar este tipo de ataques hay que tener un sistema de seguridad que sea paralelo al costo de produccin de estas botnets, adems de poner atencin sobre las iP dinmicas que utilizan algunas, buscar el canal IRC y el servidor de tal de la botnet para dar aviso y adems tener un control absoluto sobre los paquetes que se mueven a travs del firewall.

Botnets explicadas con dibujos.

DNS Spoofing
Muy similar al phising, pero a nivel local. Es decir, si compartes con alguien la conexin a una red local y esta persona quiere saber tu contrasea de, digamos, Facebook, puede crear una pgina web rplica y que mediante redireccin se abra cuando introduces la direccin real de Facebook. En este caso, estars dndole directamente los datos a esta persona y probablemente ni te enteres dado que podra hacer que luego de enviar la informacin, te vuelva a redirigir al inicio de Facebook original simulando una mala introduccin de la contrasea o que te redireccione a tu perfil a travs de la creacin de un proceso en paralelo que toma el primer plano una vez terminada la parte del robo de datos. Cmo evitarlo: La deteccin es ms compleja y depende del nivel de la rplica creada, pero a veces es muy til intentar ingresar por navegadores que no sueles utilizar comnmente, aunque para hacer esto tendras que sospechar de que te estn vigilando y en ese caso lo mejor es cambiar la contrasea urgentemente desde otro ordenador y revisar con un administrador de redes las vulnerabilidades de tu sistema.

DNS Spoofing: Esquema

Ataque Man-in-the-middle o Janus

La complejidad de este tipo de ataques se eleva considerablemente al lado de los que venimos presentando, pues necesita de una conexin fuerte que irrumpa entre dos partes interconectadas. La idea es posicionarse virtualmente entre dos partes que se comunican e interceptar la informacin entre ellas sin que estas detecten su presencia. En el caso de MitM, la regularidad de su uso es ms activa que pasiva, ya que trasciende la mera escucha de la informacin e interfiere modificando el mensaje entre las partes o incluyendo textos planos con ataques codificados. Cmo evitarlo: Consiguiendo el acceso y comunicacin por vas seguras que varan segn el tipo de actividad que vayamos a llevar a cabo. Si es comunicacin cliente-servidor, buscar protocolos seguros. Si es cliente-cliente, buscar aplicaciones de mensajera encriptadas similares a Tor.

Manin-the-middle: Esquema

Pendrives autoejecutables
No son los ms usados, pero esos pendrives mgicos que ves en algunas pelculas y series policiales se pueden construir con la codificacin adecuada (algunos .bat, .ini y alguna configuracin de autoejecucin) para lanzar aplicaciones del tipo stealers que estn automatizadas. La automatizacin puede ser en base a trminos de bsqueda o yendo directamente a los directorios de los navegadores, temporales, cookies y otros programas que conserven informacin de este tipo. La informacin robada de esta manera puede ser exprimida de forma ms fuerte por el victimario, con lo que el hallazgo de datos sensibles es casi una seguridad. Cmo evitarlo: Impidiendo el acceso de terceros a tu ordenador, deshabilitando el inicio automtico de dispositivos, solicitando permisos de administracin y otros, adems de eliminar temporales, cookies e historial frecuentemente.

Esta es la versin FAIL de los pendrives autoejecutables. Estos son los que creemos los 10 mtodos para hackear cuentas de usuario ms comunes, pero estamos seguros de que conoces otros alternativos que tienen un nivel de complejidad ms alto o son menos detectables. Lo mismo si se te ocurren otras formas de evitar este tipo de robos de identidad. Esperamos tu colaboracin a travs de los comentarios. Hasta pronto.