Estas son algunas recomendaciones de Access Now para conocer el sistema de hackeo de cuentas y la forma de evitarlo.

# ¿Como accedieron a mi cuenta?

Hay varias maneras con las cuales un atacante puede obtener acceso a nuestra cuenta, aunque estas no son las únicas técnicas son las mas comunes:

  PHISHING  

El phishing es una técnica donde se busca engañar a la víctima, haciéndola pensar que esta realizando una acción normal cuando en realidad es algo malicioso, puede presentarse de varias maneras:

Correo electrónico: Es posible modificar los encabezados de correos electrónicos para cambiar el remitente, de esta manera pueden hacer que un correo parezca venir de un contacto conocido cuando en realidad fue enviado por el atacante. Otra técnica común es hacerse pasar por el equipo de soporte de alguna red social o proveedor de correo para solicitar al usuario que entregue información de la cuenta, por ejemplo correos de direcciones como <soporte.ec@gmail.com>, <noreply@gmail.com>.

Redes sociales: Es común y fácil crear un perfil falso con el nombre y foto de perfil de uno de nuestros contactos, ya que esta información es visible públicamente, para intentar engañarnos por medio de mensajes privados.

¿Que busca el phishing?

El objetivo del phishing, por lo general, es engañar a la víctima para que entregue información personal o infectar su dispositivo con software malicioso (malware), esto puede lograrse de diferentes formas:

Solicitar información personal: aunque no se pregunte directamente la contraseña, a veces solicitan información que puede ser usada para contestar las "preguntas de seguridad" que tienen algunos servicios. Ejemplo: Nombre completo, lugar de nacimiento, dirección, etc.

Llevar al usuario a un sitio malicioso: Es una técnica conocida crear una página falsa que sea visualmente idéntica a la página de acceso de Google, Facebook, Twitter, etc. pero que en realidad por detrás lo que hace es capturar las credenciales y enviarlas al atacante.

Adjuntar archivos maliciosos: En muchos casos un documento de MS Word o un PDF contienen código malicioso que puede infectar nuestra computadora o teléfono inteligente. Con un dispositivo infectado con malware un atacante podría ver todas las teclas que presionamos, activar nuestra cámara y micrófono remotamente y modificar nuestros archivos.

¿Cómo me protejo?

Aunque el impacto del phishing puede ser alto, defendernos no es complicado, es cuestión de prestar atención a nuestras comunicaciones y estar alertas a este tipo de mensajes engañosos, algunas recomendaciones:

1. Nunca enviar información personal por correo, un proveedor de servicio serio nunca solicitará este tipo de datos personales en especial las contraseñas.

2. Tener cuidado con los enlaces en los correos, verificar que la URL de los enlaces sea legítima y utilizar HTTPS siempre que sea posible. Si deseamos actualizar nuestros datos o contraseña, nunca hacerlo por medio de un enlace que nos envíen por correo o redes sociales. Debemos acceder manualmente al sitio y buscar la configuración para cambiar los datos. Así evitaremos caer en la trampa de estos sitios falsos.

3. No descargar ni abrir archivos adjuntos desconocidos. Si el archivo viene de un contacto de confianza debemos consultar con la persona por otro medio y confirmar si el archivo realmente fue enviado por ellos y asegurarnos que no se trata de algo malicioso. Con los documentos, podemos usar servicios como Google Docs para leerlos sin necesidad de descargarlos en nuestra computadora o teléfono.

En este enlace hay una guía rápida sobre Phishing: http://phish-education.apwg.org/r/es/index.htm

 COMPROMISO DE CONTRASEÑAS 

Además del Phishing, existen otras maneras en las que un atacante puede obtener nuestra contraseña. Las mas comunes son:

1. Filtraciones: En el pasado servicios populares como LinkedIn, Dropbox, Xbox Live, entre otros han sufrido ataques donde miles de nombres de usuario y contraseñas han sido filtradas. Bases de datos públicas contienen esta información en Internet. Si repetimos nuestra contraseña en varios sitios web y uno de ellos sufre un ataque de este tipo, nuestra contraseña para los otros sitios podría ser expuesta. En el siguiente enlace podemos revisar si nuestra información ha sido filtrada en algún momento: https://haveibeenpwned.com/

2. Ataques de Fuerza Bruta: Los hackers pueden utilizar herramientas que prueban miles de contraseñas por segundo para acceder a nuestra cuenta. Si nuestra contraseña es una palabra del diccionario, un nombre propio o tiene una longitud corta, con esta técnica un atacante podría adivinarla en un tiempo bastante corto.

¿Como me protejo?

1. Contraseñas seguras: debemos crear contraseñas que sean largas (10-15 caracteres), robustas (que incluyan signos y números) y únicas (no usar la misma contraseña en varios sitios). En el siguiente enlace hay recomendaciones de como crear contraseñas seguras: https://ssd.eff.org/es/module/creando-contrase%C3%B1as-seguras

2. Utilizar un administrador de contraseñas: Este es un programa que nos permite almacenar las contraseñas en un lugar seguro y protegidas con una contraseña maestra. De esta manera solo tendremos que recordar una contraseña y con ella podemos acceder a las demás; lo cual es buena opción si manejamos muchas cuentas y se vuelve difícil recordar una contraseña diferente para cada una de ellas. Además estos programas nos permiten crear contraseñas seguras de forma automática. Nuestra recomendación es Keepassx: https://www.keepassx.org/

3. Autenticación de 2 pasos: Es una tecnología en donde se agrega un paso adicional para acceder a nuestras cuentas (por lo general un código que se envía por SMS o por una aplicación en nuestro teléfono) de manera que si alguien compromete nuestra contraseña aun así no tendrá acceso a la cuenta. Aquí están los pasos para activarla en los servicios más populares:
Google: https://www.google.com/landing/2step/
Facebook: https://www.facebook.com/help/148233965247823
Twitter: https://support.twitter.com/articles/20170439
Apple: https://support.apple.com/es-la/HT204915
Microsoft: https://support.microsoft.com/es-cr/help/12408/microsoft-account-about-t...
Dropbox: https://www.dropbox.com/es/help/363

Mas información aquí: https://www.eff.org/deeplinks/2013/05/howto-two-factor-authentication-tw...

  APLICACIONES MALICIOSAS  

Algunas veces, sin darnos cuenta concedemos acceso a aplicaciones a nuestras cuentas, estas aplicaciones pueden potencialmente tener acceso a nuestros datos, realizar publicaciones y en algunos casos hacer modificaciones a las cuentas, es importante revisar periódicamente cuales aplicaciones tienen acceso a nuestras cuentas y eliminar todas las que sean desconocidas o que ya no necesitemos.
Google: https://support.google.com/accounts/answer/3466521?hl=es
Facebook: https://www.facebook.com/help/204306713029340/
Twitter: https://support.twitter.com/articles/344759

Esperamos que estos consejos les sean de utilidad y los puedan distribuir entre sus contactos, entre más personas estén alerta a este tipo de ataques, más protegidos estaremos todos y todas. Siéntanse en total libertad de modificar y compartir esta información como lo consideren conveniente.

www.accessnow.org