Estuvieron allí, al alcance de quien quisiera verlas por cuatro días, dentro de un foro en el que programadores de software comparten códigos (Pastebin.com). Hasta que hoy, el sitio especializado en Tecnología Neowin.net dio la voz de alarma.
La lista contenía los nombres de 10.028 usuarios del popular servicio de correo electrónico Hotmail (de Microsoft) con sus respectivas contraseñas. La inmensa mayoría de esos nombres corresponden a usuarios europeos que empiezan con las letras A y B, lo que sugiere que puede haber más listas escondidas todavía.
Una vez conocida la noticia, el sitio de programadores Pastebin.com borró la lista de la Web. Al poco tiempo, Microsoft ordenó al proveedor que aloja el sitio que de baja esa página. Pero la BBC de Londres asegura que pudo ver la lista.
Según Neowin, la lista fue publicada en el foro en cuestión por un hacker, del que todavía se desconoce su identidad. El hacker habría usado la técnica de "phishing", que consiste en engañar a los usuarios de Internet a través de un sitio simulado (en este caso el de Hotmail), para que el incauto introduzca allí sus datos. El sitio es falso, pero --una vez tipeado usuario y contraseña-- el hacker se hace de la información confidencial.
Microsoft reconoció el problema y aseguró que ya inició una profunda investigación para determinar qué fue lo que ocurrió. Con respecto a si hay argentinos en la lista, Jorge Cella, gerente de seguridad informática de Microsoft aseguró a Clarin.com que "no tenemos información de que haya argentinos, pero aún no podemos descartarlo".
"Esto no fue un hackeo, sino un phishing a gran escala --dijo Cella--. No es que un hacker vulneró nuestro servicio, sino que utilizaron la técnica de phishing para que sean los mismos usuarios los que entreguen sus propias contraseñas".
"El phishing es una técnica que se utiliza mucho para obtener datos de cuentas bancarias, las principales víctimas son los bancos online", dice Cella, que explica cómo actuán los delincuentes en estos casos.
Lo primero que organizan es una "campaña". Mandan cadenas de mails, como de chicos perdidos u otras de bien común, para ir recolectando cuentas de correo. En este caso, de Hotmail. Una vez que tienen la base de datos, les mandan un mail en el que piden que ingresen a Hotmail (o un banco) para actualizar los datos de las cuentas. Allí es donde obtienen todas las claves.
"Por eso es tan importante que no se contesten cadenas de mails y, mucho menos, que no se ingresen datos de claves a partir de un correo electrónico recibido. Nunca un banco ni ninguna empresa de servicios online va a solicitar el cambio de claves a través de un mail", enfatiza Cella.
¿Cuál era el objetivo de los "hackers" en este caso?
No sabemos. Es muy raro este caso, todavía lo estamos investigando. Porque los autores de phishing normalmente buscan dinero, y el dinero se obtiene de conseguir entrar en cuentas bancarias y no en cuentas de correo electrónico. Tampoco creo que sea uno de esos casos en los que hackers quieren demostrar sus habilidades. Lo que hicieron no es más que un phishing a gran escala.
Con casi 300 millones de usuarios, Windows Live Hotmail es uno de los principales proveedores de servicio de correo electrónico gratuito y fue adquirida por Microsoft en 1997, un año después de su creación, por unos 400 millones de dólares. El servicio está muy extendido entre los internautas argentinos, que también lo utilizan para acceder al mensajero instantáneo MSN Messenger.
Los especialistas en seguridad informática recomiendan a los usuarios de Hotmail cambiar la contraseña de su cuenta.
"Nunca está de más cambiar la contraseña cada 90 días.
Es una medida de seguridad básica, que siempre viene bien.
Post[via]
La lista contenía los nombres de 10.028 usuarios del popular servicio de correo electrónico Hotmail (de Microsoft) con sus respectivas contraseñas. La inmensa mayoría de esos nombres corresponden a usuarios europeos que empiezan con las letras A y B, lo que sugiere que puede haber más listas escondidas todavía.
Una vez conocida la noticia, el sitio de programadores Pastebin.com borró la lista de la Web. Al poco tiempo, Microsoft ordenó al proveedor que aloja el sitio que de baja esa página. Pero la BBC de Londres asegura que pudo ver la lista.
Según Neowin, la lista fue publicada en el foro en cuestión por un hacker, del que todavía se desconoce su identidad. El hacker habría usado la técnica de "phishing", que consiste en engañar a los usuarios de Internet a través de un sitio simulado (en este caso el de Hotmail), para que el incauto introduzca allí sus datos. El sitio es falso, pero --una vez tipeado usuario y contraseña-- el hacker se hace de la información confidencial.
Microsoft reconoció el problema y aseguró que ya inició una profunda investigación para determinar qué fue lo que ocurrió. Con respecto a si hay argentinos en la lista, Jorge Cella, gerente de seguridad informática de Microsoft aseguró a Clarin.com que "no tenemos información de que haya argentinos, pero aún no podemos descartarlo".
"Esto no fue un hackeo, sino un phishing a gran escala --dijo Cella--. No es que un hacker vulneró nuestro servicio, sino que utilizaron la técnica de phishing para que sean los mismos usuarios los que entreguen sus propias contraseñas".
"El phishing es una técnica que se utiliza mucho para obtener datos de cuentas bancarias, las principales víctimas son los bancos online", dice Cella, que explica cómo actuán los delincuentes en estos casos.
Lo primero que organizan es una "campaña". Mandan cadenas de mails, como de chicos perdidos u otras de bien común, para ir recolectando cuentas de correo. En este caso, de Hotmail. Una vez que tienen la base de datos, les mandan un mail en el que piden que ingresen a Hotmail (o un banco) para actualizar los datos de las cuentas. Allí es donde obtienen todas las claves.
"Por eso es tan importante que no se contesten cadenas de mails y, mucho menos, que no se ingresen datos de claves a partir de un correo electrónico recibido. Nunca un banco ni ninguna empresa de servicios online va a solicitar el cambio de claves a través de un mail", enfatiza Cella.
¿Cuál era el objetivo de los "hackers" en este caso?
No sabemos. Es muy raro este caso, todavía lo estamos investigando. Porque los autores de phishing normalmente buscan dinero, y el dinero se obtiene de conseguir entrar en cuentas bancarias y no en cuentas de correo electrónico. Tampoco creo que sea uno de esos casos en los que hackers quieren demostrar sus habilidades. Lo que hicieron no es más que un phishing a gran escala.
Con casi 300 millones de usuarios, Windows Live Hotmail es uno de los principales proveedores de servicio de correo electrónico gratuito y fue adquirida por Microsoft en 1997, un año después de su creación, por unos 400 millones de dólares. El servicio está muy extendido entre los internautas argentinos, que también lo utilizan para acceder al mensajero instantáneo MSN Messenger.
Los especialistas en seguridad informática recomiendan a los usuarios de Hotmail cambiar la contraseña de su cuenta.
"Nunca está de más cambiar la contraseña cada 90 días.
Es una medida de seguridad básica, que siempre viene bien.
Post[via]
Ariel, veo que te pusiste las pilas con tu blog!! bien ahi, buena info y aportes, saludos!
ResponderBorrarExcelente Comentario
ResponderBorrar