Hoy ha saltado la noticia, una lista con cerca de 5 millones de cuentas de correo y sendas contraseñas han sido publicadas y los mass media están haciéndose eco, aunque como casi siempre en estos casos, de una forma un tanto sensacionalista.
Antes de seguir he de aclarar que he “encontrado” la supuesta lista y he buscado mi correo, al cual he maltratado durante mucho tiempo, y si, efectivamente, mi correo está en la lista, aunque el pánico no se ha apoderado de mi;
Cómo piqué en un phishing de WoW
Hace ya más de un lustro piqué, piqué con todo el equipo, en un phishing que, aunque no era de Gmail, si tuvo relación directa (soy humano y para conocer de primera mano como funcionan según que cosas lo mejor es vivirlas en primera persona aunque sean potencialmente dañinas). El engaño en el que piqué estaba relacionado con World of Warcraft, mi intención era entrar en la armería y chequear un par de cosas, había una raid en ciernes y tenía que cerciorarme de que mi equipo era el adecuado.
Sencillo y complicado a la vez, se dieron una sucesión de hechos que lograron lo que antes de que ocurriera se me antojaba imposible: picar.
a) No entré escribiendo la URL de la web, busqué en Google “WoW armory” y cliqué en el primer resultado.
b) No realicé el trámite desde un ordenador de confianza.
c) La web clonada estaba posicionada en el primer resultado del buscador.
d) No me fijé en la url una vez entré en la web.
El apartado a fue a causa del apartado b dando como resultado la c, es decir, entré en un sitio que conocía desde un equipo que no era mío, la web me resultó totalmente familiar, con lo que no presté atención a d.
De los cuatro puntos el que me pareció, y sigue pareciendo casi imposible, es el C, que la web falsa se posicionase por encima de la real un auténtico sin sentido, pero así fue, de todas formas si cualquiera de los otros tres puntos no hubiesen sido así el punto C no hubiese sido imperativo para que picase.
¿Qué tiene que ver el phishing de WoW (o cualquier otro) con los correos de Gmail?
En mi caso concreto no debería tener nada que ver, pero lo tiene, tiene que ver que en aquella época loca no tenía perfectamente estructurada la jerarquía de contraseñas (la explicaré más adelante) e incumplía uno de los puntos que no deben incumplirse nunca: la repetición de contraseñas para diferentes webs/aplicaciones.
Por otro lado, aunque en la misma dirección, cuando se pica en un “ataque” de phishing de correo electrónico, como es el caso, el atacante lo primero que va a hacer es tratar de iniciar sesión en el email con la contraseña de la web clonada (de ahí que nunca deban repetirse contraseñas).
Esta trampa en la que caí, y seguro que no fui el único, es solo una de las fuentes de datos de las que se ha nutrido esta filtración de contraseñas y usuarios de Gmail. Con esto quiero decir que NO ha habido una penetración de ningín tipo en los servidores de Google, en este caso los datos se han ido recolectando durante años y, probablemente, usando diversas técnicas de ingeniería social.
Entonces ¿me preocupo o no me preocupo por la filtración de contraseñas de Gmail?
Si y no, el hecho que puedo corroborar es que las contraseñas son reales, es decir, en algún momento alguien tuvo en su poder correos electrónicos con sus correspondientes contraseñas funcionales. Aunque a tenor de lo que he podido corroborar en mi caso, dichas contraseñas son de hace años, bastantes. Eso no le resta importancia al asunto, es un error picar en phishing y es un error más grave repetir contraseñas, pero también es cierto que Gmail tiene un log con las últimas conexiones a tu cuenta de correo, en el que se puede ver fecha, hora, ip y medio de conexión. Además de tener la opción de mandarte un aviso por actividad inusual en tu cuenta, esto es, una conexión desde una IP “rara” o bien por el país de origen o bien por estar en alguna black list.
¿Qué hacer ahora?
Que no cunda el pánico, breve listado de acciones a tomar:
1) Confirmar en isleaked.com si tu cuenta ha estado en demasiadas manos. (Ahora está caída, dale tiempo).
2) Confirmar o configurar el aviso de actividad inusual de tu cuenta.
3) Cambiar tu contraseña (más adelante publicaré algo al respecto).
4) Altamente recomendable usar la verificación en dos pasos de Gmail.
5) No repetir contraseñas.
Conclusión
Hay o ha habido riesgo, si, pero no se trata de un ataque frontal a gmail ni una sutracción de datos de un día para otro, hecho se trata de un trabajo de recolección durante bastante tiempo.
Que exista riesgo no quiere decir directamente que sea fatal, no es bueno que alguien tenga el nombre de usuario y contraseña de algo tuyo, pero que lo tenga no implica directamente que lo pueda usar.
Si Gmail es tu correo principal, usa todas las opciones de seguridad y alerta de que dispone, no hará que sea imposible, pero si mucho mas complicado acceder a tus correos.
Usa contraseñas distintas para cosas distintas.
En general nunca ha de cundir el pánico, si crees que tu cuenta está severamente comprometida sigue los pasos anteriores, respira y repásalos de nuevo.
Una vez más se demuestra que el factor humano es el eslabón más débil en lo que a seguridad se refiere
Actualización 11/09/2014
La constatación de mi teoría sobre cómo mi contraseña de gmail cambió de manos. Esta noche he recibido un correo de Blizzard en el que me anuncian el bloqueo de mi cuenta por actividad inusual. De hecho a día de hoy es del todo inusual que mi cuenta en Blizzard tenga actividad alguna aunque esto reafirma que el leak de contraseñas es antiguo y que, por lo menos en mi caso, tengo completamente gestionado cómo y de dónde viene.
