El scam nuestro de cada día, hoy: te encontré haciendo chanchadas

El otro día, como imagino que varios de ustedes, recibí ese famoso mail extorsivo pidiéndome bitcoins a cambio de no divulgar un video íntimo mío. Así como yo varios millones de personas recibieron el mismo mail intimidante y me causó mucha gracia. Me resultó muy loco verlo como primera plana en un diario, no es algo de todos los días.

Obviamente para alguien que viene utilizando hace rato estos medios es fácil darse cuenta del engaño: habiendo tantos sitios con datos comprometidos que guardaban los passwords en texto plano no me extraña ver nada y borro todas las semanas varias intentonas de estas. Son tiros al voleo, alguien cae y si tan sólo el 0.1% cae es mucho dinero.



En este caso hasta me tomé la molestia de responder por humor pero he aquí la pregunta ¿De dónde sacan estos datos? ¿Dónde puedo saber si estoy comprometido? Es fácil todo, las bases de datos estan disponibles, algunas viejas se consiguen fácil, otras más nuevas hay que pagarlas, pero básicamente cada vez que revientan a un sitio importante estos datos se filtran y uno tiene que ir por ahí cambiando contraseñas.

Obviamente una forma de jamás ser afectado es utilizar niveles de contraseñas, que es lo que muchos hacemos, es decir, tenemos un password para sitios irrelevantes y luego uno para cada otro sitio ya más importante. Los sitios irrelevantes son aquellos que te obligan a registrarte cuando uno sabe que no volverá jamás. Son esos donde usualmente mis passwords fueron comprometidos, nada que me preocupe porque son passwords descartables, pero justamente es ahí donde la práctica de tener distintos pass ayuda mucho porque si se compromete no te afecta.

En el blog ya hablamos mil veces de la complejidad de claves y todo lo que conlleva tener que administrar en tu cerebro, o con algún sitio administrador de contraseñas, mil claves y registros por todos lados. Facebook y Google aprovecharon su posición dominante para facilitar un poco eso pero muchas veces no queremos que sepan dónde estamos y preferimos registrarnos al viejo estilo (si, yo muchas veces prefiero), pero aquí el punto va por lo mal que manejan la seguridad algunas empresas realmente importantes.



El clásico para averiguar todo es "Have i been pwned" donde podemos consultar tanto por nuestro email como por nuestro password si fue comprometido y cuantas veces. Allí suben bases completas pero separadas, por un lado email-sitio y por el otro password-sitio, se pueden descargar y son 10GB puros de datos, una barbaridad de filtraciones. Algunas de las filtraciones son de más de 700 millones de usuarios, algunas bien conocidas son de MySpace, Adobe, Linkedin, Badoo, todas por encima de los 100 millones.

La de Adobe es un gran ejemplo porque en las épocas de Flash Player te exigían usuario-contraseña para descargar la última insegura versión y las claves las guardaban... en texto plano. Ideal para hackear cuentas! 152 millones de usuarios cayeron en esa "trampa" inducida por las pésimas políticas de seguridad de la firma, cuando ésta fue comprometida miles de usuarios quedaron expuestos.

Este es uno de esos casos donde uno debía utilizar password de descarte ¿Acaso estaban comprando productos de Adobe? Vamos, era para el pass descartable que funcionaba perfecto, ese creo que ya me lo vulneraron mil veces :D , es más, el de este mail-scam no lo utilizo yo solamente y se encuentra vulnerado unas 3042 veces! :D

La lista de empresas y sitios reventados es enorme y no dejará de crecer porque es normal que los procedimientos de seguridad sean laxos en muchos lados, no es tan raro, por eso utilizar verificación de dos pasos suele ser una muy buena medida de seguridad para los sitios importantes y, si no lo tienen, no utilizar la misma contraseña en todos lados. Otra opción paranoide es borrar los datos de pago una vez efectuado este (algunos sitios te permiten pagar y no guardar los datos en esa ocasión) aunque en este sentido también te pueden estar ocultando que conservan dicha información. No suelo ser tan paranoico por suerte :P

Volviendo al mail que me enviaron me resultó muy gracioso el encare, era obvio que era un envío automatizado por base de datos, pero es muy divertido cómo está redactado y como buscar hacerte caer con algo que mucha gente hace y con un miedo latente que siempre hay, el de la webcam de la notebook :P Estimo que más de uno se preocupará viendo este tipo de correos (por ahí si no sabés inglés lo borrás y ni te enterás) y terminó googleando cómo comprar bitcoins, por mi parte prefiero ser expuesto a pagarle algo a alguien :D

Otros posts que podrían llegar a gustarte...

Comentarios

  • Xavier    

    Por lo que pude ver (estas ultimas 2 semanas la actividad de este tipo de "pesca" aumentó, tal vez por eso es nota en clarin e infobae), estan usando las viejas PW de Linkedin que se filtraron hace un tiempo, o al menos fue mi caso.

    • Responder
    • Citar
    • Comentado:
  • Danbat    

    Una de mis frases de cabecera es "si no querés que aparezca en Internet, no lo hagas". Eso es tener la conciencia tranquila. Igual no me llegó el mail, me hubiese reído un poco porque ni webcam tengo. A veces tener una vida aburrida sirve de algo.

    • Responder
    • Citar
    • Comentado:
  • jorge    

    El extorsionador va pensar que soy negro porque puse cinta aislante sobre la webcam...

    • Responder
    • Citar
    • Comentado:
  • kyo    

    que frustrante.. mis claves y partes de mis claves no aparecen en pwned.. tb me puse a ver que onda con la clasica 123456 y similares ..

    • Responder
    • Citar
    • Comentado:
  • Danbat    

    jorge dijo:

    El extorsionador va pensar que soy negro porque puse cinta aislante sobre la webcam...

    O que sos un topo o un murciélago.

    • Responder
    • Citar
    • Comentado:
  • Hugo    

    Bueno, pero está asumiendo que alguien que entra a una página porno se toca... muy jugado, quien hace eso realmente?

    • Responder
    • Citar
    • Comentado:
  • Hugo dijo:

    Bueno, pero está asumiendo que alguien que entra a una página porno se toca... muy jugado, quien hace eso realmente?


    al parecer los gringos suelen casquearse frente a la PC, en reddit siempre hacen referencia a ello como si fuese universal pero el resto de los nardos a nivel global ponen cara de porque no es una costumbre fuera de EEUU

    • Responder
    • Citar
    • Comentado:
  • Pablo    

    Era verdad!!! Ya sos trending en equisvideos alta garlopa italiana jajajajaja

    • Responder
    • Citar
    • Comentado:
  • Pablo dijo:

    Era verdad!!! Ya sos trending en equisvideos alta garlopa italiana jajajajaja


    mi nueva carrera :D

    • Responder
    • Citar
    • Comentado:

Deje su comentario:

Tranquilo, su email nunca será revelado.
La gente de bien tiene URL, no se olvide del http/https
Para evitar bots, si se tardó mucho en leer la nota seguramente no sirva y tenga que intentar dos veces

Negrita Cursiva Imagen Enlace


comentarios ofensivos o que no hagan al enriquecimiento del post serán borrados/editados por el administrador