jueves, agosto 30, 2007

Ingenieria social del engaño

Aunque mi vena liberal me palpite, yo uso MSN Messenger de Microsoft. ¡Sí, lo admito! Aunque debo reconocer que la cantidad de usuarios que posee, y la cantidad de mis amigos que están suscritos es tal que para bien o para mal es el servicio de IM que más me sirve.

Y, como todo boom, más y más gente está teniendo acceso a computadores, Internet, y al MSN Messenger.

Pero no todo el mundo creo que entiende las implicancias de tener una 'cuenta online', y los riesgos de seguridad que implica.

Ayer, un amigo me escribió un corto y 'impersonal' mensaje que me dejó perplejo:

"Anonymous fried said:
hola mira, en www.detectando.com puedes averiguar quien te tiene No Admitido en el Msn"

¿Alo?

Claramente eso tenía toda la apariencia de un 'spam' en IM, pues no hay saludo personal, ni un hola personalizado... ¿Era un virus? ¿Que rayos fue eso?

No me atreví a hacer click en el link directo que me ofrecía la ventana del messenger, temiendo que fuera algo que aprovechara una vulnerabilidad del messenger e infectara mi PC. Abrí mi navegador Firefox (potencialmente inmune a los hoyos de seguridad de MS), y cargué manualmente la página http://www.detectando.com.

Lo que ví me dejo helado. Les sugiero mirarla. La pagina tiene el siguiente slogan: "Detectando.com: enterate quien no te admite"

En la explicación de como funciona, indican que:

"- Al ingresar tu dirección de email y contraseña, detectando comprobará con los servidores de MSN Messenger si los usuarios de tu lista te tienen no admitido o eliminado."

"- detectando no graba los emails ni contraseñas introducidas en el sistema, por lo tanto es un sistema completamente seguro y gratuito de averiguar aquellas personas que nos tienen en No Admitir."

"- El sistema enviará un mensaje o mail a tus contactos como se indica en el apartado "Terminos es condiciones" de esta forma podemos mantener el servicio gratuito y llegar al máximo número posible de usuarios."

¡Aha! El último punto explica porque recibí ese mensaje en forma automática.

Al mirar los Terminos y Condiciones de uso de detectado.com, ellos indican que:

" WhoAdminsYou Bajo ninguna circunstacia almacenará direcciones de correo o contraseñas de usuario introducidas en el sitema ni compartirá ningún tipo de informacion con terceros."

Ah, que bien, pero también indica que:

"
Detectando.com no asume la responsabilidad por el uso inapropiado o erroneo del sitema, tampoco asume responsabilidad por posibles fallos en el sistema o tiempo de inactividad de la cuenta de Msn Messenger, así como no puede garantizar la precisicion exacta de los datos mostrados por esta.. "

Luego, tenemos una página que te pide que ingreses tu cuenta de MSN messenger Y LA CLAVE para darte un servicio. Dicen no almacenar ninguna de ellas, pero ¿Quién puede asegurarlo realmente? Y si así no fuera por cualquier error involuntario (o no tanto), se lavan las manos.

Finalmente, un consejo a este amigo anónimo y/o a cualquier otro usuario: NO utilizen jamás un sistema que no sea el oficial de la empresa que les pida las claves personales de lo que sea (MSN, cuenta de correo, banco, cajero automático o ATM, etc.), sin importar cuan útil parezca el servicio.

Si las personas que están detrás de esta página no cumplen con lo que dicen, ellos no sólo pueden suplantar o raptar la cuenta del usuario, sino además pueden:

- Tener acceso o leer el correo personal del usuario.
- Tener acceso a la cuenta de correo para bombardear con spam a otros correos, como si viniera del propio usuario.
- Pueden enviar virus, troyanos o lo que sea a las cuentas de correo o al MSN Messenger haciéndose pasar por el usuario.
- Conocer tu cuenta de correo y las cuentas de correo de todos tus contactos, para luego vender las listas a empresas que envian SPAM.

Y un largo etcétera.

¿Que hacer si ya usaron el sistema? Simple:

CAMBIEN INMEDIATAMENTE SU CLAVE DE MSN.

Con esta sola acción, cualquier uso inapropiado será imposible pues la clave antigua (que detectando.com conoce pero que 'no almacenó') ya no servirá.

Y nunca, pero nunca olviden que no existen la 'comida gratis' ni el viejo pascuero.

2 comentarios:

Javier Villalobos Arancibia dijo...

Un viejo dicho dice: "Ojos que no ven, corazón que no siente". Lo interesante, socialmente, de esto es que alguien te dice: "Hey, hay alguien que no te admite". Hasta ese momento, ni tenías idea de que alguien no te admitía. Pero ahora que alguien sembró la duda en tí, por alguna razón, ahora si te interesa saber quién es el maldito o la maldita que se atreve siquiera a no considerarte. Y caes.

En MSN si alguien "no te admite", simplemente no lo ves conectado. Y dado que es una comunicación a distancia, tal vez la persona murió, se cambió de dirección ¿Qué importa?. Acaso le dices a alguien que no admites: "Oye, sabes?, ya no te admitiré en MSN, así que si no me ves, es porque me caes mal, vale?"

Es interesante darse cuenta cómo algunas personas saben explotar algunos aspectos de la naturaleza humana, en este caso, una curiosidad en desmedro del ego.

iori dijo...

ja! ñoños acaso no saben que el mismo msn te puede decir quien no te tiene admitido, en opciones privacidad.

ahi les dejo el dato

good luck!!