| Artículos | 01 ABR 2004

Seguridad en las contraseñas

Tags: Histórico
Gonzalo Alvarez.
Cada día utiliza más contraseñas: para el móvil, para la tarjeta de crédito, para sus cuentas de correo electrónico, para montones de sitios web. No es fácil recordarlas todas y es mucho peor usar una misma para todas las cosas. Este mes se explican algunos trucos para aumentar la seguridad de sus contraseñas y facilitarle el trabajo con ellas.

Favoritos con contraseñas incluidas
Algunos sitios web exigen que usted se autentique antes de dejarle entrar. Le presentarán una pequeña ventana solicitándole su nombre de usuario y contraseña, como la de la figura. ¿Sabía que podía agregar el sitio a sus favoritos, incluyendo el nombre de usuario y contraseña? Simplemente, añada el nombre de usuario por delante de la dirección, seguido de dos puntos ‘:’ y la contraseña, y para finalizar una arroba. Por ejemplo, si para entrar al sitio www.mordor.org le exigen identificarse y su nombre de usuario y contraseña son, respectivamente, sauron y j8Ak?#w.m, deberá teclear lo siguiente en la ventana de dirección: http://sauron:j8Ak?#w.m@www.mordor.org.
Por supuesto, quien dice los favoritos dice también arrastrar ese URL a la barra de vínculos y crear así un botón distinto para cada sitio que le exige autenticarse. O arrastrarlo al escritorio y poder acceder directamente desde él. Use su imaginación.
En cualquier caso, no confunda este tipo de autenticación, llamado autenticación básica, con la que se utiliza en muchos sitios de acceso restringido, como las cuentas de correo web, donde se debe rellenar un formulario con dos campos, uno para el nombre y otro para la contraseña. Este truco se aplica solamente a aquellos sitios web en los que la petición de autenticación hace saltar la ventana de la figura y también a los sitios FTP.
Evidentemente, cualquier persona con acceso a sus favoritos o a su ordenador podría entrar también al sitio, por lo que debe utilizar este truco con mucha cautela.

En mi navegador no funciona
Microsoft ha dejado de dar soporte a esta función por motivos de seguridad, ya que ha sido explotada en numerosas ocasiones en lo que se conoce como ataques semánticos con el fin de engañar a los usuarios para hacerles creer que están leyendo información procedente de una fuente, cuando en realidad están viendo una falsificación. Para entender bien estos ataques, imagínese la siguiente situación. Recibe un correo, a lo mejor de un remitente conocido que se lo ha reenviado, aunque la identidad del remitente resulta irrelevante, y en dicho correo aparece un hiperenlace que se le invita a seguir para obtener información, posiblemente privilegiada, sobre algún tema particular, como por ejemplo, sobre la cotización en bolsa de cierta compañía. Evidentemente, si ese enlace conduce a la página de un desconocido, lo más probable es que ignore esa información. Ahora bien, si el enlace conduce, o al menos a primera vista parece conducir, a un sitio de reconocido prestigio en el campo de interés, entonces ya es otro cantar. Si le invitan a seguir el siguiente enlace:
http://www.cincodias.es/cotizaciones.asp?id=terra&format=@3275557416
y al seguirlo se encuentra con una página del diario Cinco Días en la que se explica que las acciones de Terra van a experimentar una subida sin precedentes, por lo que conviene comprar rápidamente, ¿daría crédito a la información?
Aunque usted no lo hiciera, la mayoría de internautas sí, hasta el punto de poder influir de forma real en la cotización final de las acciones de esa compañía. En el fondo, se trata de una estratagema para inducirle a comprar o a vender o a cualquier otra acción dependiendo de cuál sea el gancho utilizado. La página a la que se le conduce desde el correo electrónico que ha recibido es una hábil falsificación, ya que, por supuesto, no pertenece a ese diario económico. ¿Dónde está el truco?
El timador ha creado un URL en el cual www.cincodias.es/cotizaciones.asp?id=terra&format= se corresponde con el nombre de usuario. El sitio web en este caso no viene expresado con letras, al estilo www.sitio.com. sino por su dirección IP, 3275557416, pero con la particularidad de venir expresada como un solo número en lugar de la forma habitual de cuatro grupos de dos o tres cifras separados por puntos (.). Por lo tanto, 3275557416 equivale a la dirección IP 185.113.31.112. Por último, el timador ha creado en el directorio raíz un archivo llamado default.htm o index.html o similar con una página réplica de una de las páginas del diario. Estas réplicas son facilísimas de crear, ya que basta con guardar la página original con todos sus elementos.
En definitiva, el falsificador sólo necesita un servidor web conectado a Internet con una página que imite el estilo y la semántica del sitio web al que pretende suplantar. Se crea un URL que parezca conducir a un sitio respetable y prestigioso y se envía esta dirección a tantos destinatarios de correo o foros como sea posible, en busca de víctimas potenciales.
Con el fin de evitar estos ataques, Microsoft ha cortado por lo sano y ha eliminado el soporte a esta función, pero no por completo. Si por algún motivo necesita recuperar la funcionalidad tras haber instalado el parche de seguridad que la elimina, sólo tiene que cambiar un valor del Registro.
Abra el Registro de Windows y navegue hasta la clave HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main. A continuación se crea la clave FeatureControl y colgando de ésta, se crea una nueva clave FEATURE_HTTP_USERNAME_PASSWORD_DISABLE. Por último, se crean colgando de ella dos valores DWORD llamados iexplorer.exe y explorer.exe, estableciendo su valor a 0. Si abre una nueva ventana de Internet Explorer, verá cómo ahora sí que puede acceder a los sitios anteponiendo el nombre de usuario y contraseña en el URL.

He olvidado mi contraseña
Ha configurado su cliente de correo Outlook Express para que recuerde la contraseña. Como nunca se la pide a la hora de conectarse al servidor de correo, con el tiempo la ha olvidado. Pero un buen día se encuentra en la necesidad de escribir de nuevo dicha contraseña. ¿Cómo hace para recuperarla? Muy fácil.
Cada vez que se conecta a su servidor de correo para leer los mensajes que le hayan podido llegar, su contraseña viaja en claro desde su ordenador hasta el servidor. Por lo tanto, basta con que se sirva de un sniffer para hacerse con ella. Ponga un sniffer en funcionamiento y analice el tráfico generado cuando su cliente de correo se conecta al servidor POP3. Cuando el cliente envía la contraseña, usted podrá leerla sin problemas.
Si no quiere pasar por las molestias de instalar y utilizar un sniffer, que después de todo requiere cierto conocimiento técnico, puede utilizar un sencillo programa que le revela todas las contraseñas de su equipo: Protected Storage PassView. Se trata de una pequeña utilidad que sirve para revelar todas las contraseñas almacenadas en su equipo por Internet Explorer, Outlook Express y MSN Explorer. Puede descargarla gratuitamente desde nirsoft.mirrorz.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información