Hace poco vi un reportaje en un programa local, en donde se mostraba el caso de una chica cuyo password de su cuenta de correo Hotmail había sido robada y, pues, esto no sólo les dio acceso total a la cuenta de correo a los ladrones, sino que además, dicha cuenta tenía el password de su hi5, además de unas fotos algo, er, íntimas.

Ya se pueden imaginar lo que le sucedió a la pobre chica… difamada, amenazada y demás. Lo peor, sin embargo, es que en el reportaje, el supuesto “experto en seguridad informática” no ofreció absolutamente ninguna “pista” de cómo pudo haber sido robado el password, sino que tampoco ofreció tips de cómo protegernos. Es decir, bastante inútil.

 

La manera más fácil de robar los passwords…

Esto, pues, me hizo recordar un artículo (o serie de artículos) que publiqué hace ya bastante tiempo.  Lo que sucede, es que lo más probable, es que su password haya sido robado a través de un keylogger. Un keylogger es un programa que se instala en la PC y que graba no sólo todas las teclas que estemos presionando, sino además, de qué ventana (y página web) proviene. Es decir, el programa nos dirá cuando una persona está en la ventana del Messenger, por ejemplo, y además, nos dirá qué es lo que esta persona está escribiendo en dicha ventana incluído, así es, el password y nombre de usuario.

El gran problema, es que al menos en este país, son muchísimas las cabinas e internet cafés informales, que tienen un programa como este instalado. O es más, cualquier persona que vaya a dicha cabina, debido al paupérrimo nivel de seguridad, puede instalar uno de estos programas, ocultarlo en el sistema, y dejar que el programa, obedientemente, envíe por mail, cada noche, los registros de toooodo lo que ha sido tipeado en dicha PC.

 

Algunos tips básicos:

  • De ser posible, evitar revisar nuestro correo, o escribir passwords y demás información vital, en cabinas o internet cafés
  • Cambiar nuestro password regularmente (1 vez cada mes, o cada dos meses, no está mal)
  • Utilizar un password más seguro. 

 

Ahora, si de todas maneras tenemos que dirigirnos a una cabina o internet café con regularidad a revisar nuestro correo, entonces les presento aquí una posible solución

 

Revisar nuestro correo en cabinas de manera segura

La idea de todo este asunto, es la de llevar nuestro propio navegador, con los passwords ya guardados, en un USB que utilizaremos en la cabina. Es decir, no usaremos el navegador de la cabina, sino uno propio, que ya tenga los passes guardados (y encriptados) para que no tengamos que escribirlos nunca.

Que necesitamos?

Descripción: Básicamente, lo que vamos a tener, es un navegador en nuestro USB (Firefox), además de Pass2Go, que es una versión portátil de AI Roboform, un genial password manager (que uso en mi PC). De esta forma, dejaremos que Pass2Go se encargue de manejar nuestros passwords. El programa, guarda la información de las páginas, así podemos entrar haciendo un sólo click, sin necesidad de escribir nada. Y al tenerlos en nuestro propio USB, Pass2Go elimina, luego de haberlo utilizado, cualquier información que quede en la PC.

Todo esto lo tenemos que hacer desde una PC segura, donde sepamos que no corremos ningún tipo de riesgos.

 

Primer paso, descargar y copiar Portable Firefox en nuestro USB

Bien, empezamos por ir a Portable Firefox, y descargamos el navegador (click en el botón de “download now”). Una vez descargado, descomprimimos el archivo en algún lugar que nos acordemos y, luego, copiamos el folder a nuestro USB.

Fácil, no? Ahora, para dejar el Firefox preparado, abrimos el ejecutable de nuestro usb (Portable Firefox), nos dirigimos aquí, para descargar la extensión de AI Roboform para Firefox. Lo bueno de tener al firefox portátil, es que podemos instalarle todas las extensiones que querramos, y hacemos todas las modificaciones necesarias, y todo quedará grabado en el USB, sin crear ningún tipo de registro en la máquina local.

Segundo paso, descargar e instalar Pass2Go

Una vez descargada la extensión, vamos a Pass2Go, y descargamos el archivo (o hagan click aquí), y lo corremos. Durante la instalación, nos preguntará, inicialmente, el idioma. Elegimos el que querramos. En la siguiente pantalla:

Free Image Hosting at www.ImageShack.us

Elegimos la unidad removible donde instalaremos Pass2Go

Además, sería buena idea quitarle el último check a la última opción. Por que? Porque si la dejan activada, el programa le pondrá un icono de Pass2Go, y le cambiará el nombre de la unidad a, bueno, Pass2go. Claro que no ocasiona ningún problema, pero quizás a muchos no les guste.

Con esto, la instalación de ambos programas en nuestro USB debe estar completada

Tercer paso, meter nuestros datos

En fin, una vez instalado, se abrirá una página con información básica que sería bueno que lean. Es sobre los usos de Roboform, y demás.

Si todo ha salido correctamente, pass2go y Firefox deben estar funcionando simultáneamente. No está de más decir que ambos programas tienen que estar funcionando. Bien, la primera vez que lo corremos, deben visitar todas las páginas que vayan a utilizar en una cabina, y necesiten un password. Digamos, hotmail.com. Así que nos dirigimos a esta página, digitamos nuestro nombre de usuario y contraseña, y roboform debería estar preguntándonos si se desea guardar la info de este pass. Aceptamos, y listo.

La próxima vez que abramos Pass2Go y Portable Firefox, en un cabina (y en ese orden), en vez de digitar hotmail.com en la barra de direcciones, y luego nuestro user name y password, simplemente vamos a la barra de Firefox de Pass2Go (si no está activada, ir a View| Toolbars |Roboform Toolbar), y el el menú de logins, aparece Hotmail. Le damos click ahí, y automáticamente el programa irá a hotmail.com, y llenará los campos de user y pass. Así de simple.

La versión gratuita nos permite salvar hasta 10 passwords, suficiente, creo yo, para la navegación casual en una cabina.

NOTA: Como pueden darse cuenta, la primera vez que ingresamos los passwords, lo hacemos escribiéndolos. Por ello, se recomienda inicialmente hacerlos en una PC segura. Una vez hecho esto, ya podremos hacer uso de nuestras contraseñas y demás en cualquier lado.

NOTA2: Aparte de guardar passwords, Roboform tiene un genial generador de passwords. Denle un vistazo.

 

Otro método

Este segundo método utiliza también Portable Firefox, pero sólo una extensión, que “modifica las teclas tipeadas” para que un keylogger no pueda detectar lo que tipeamos. Me parece un poco menos seguro que el anterior, pero bien podría funcionar

De la página web:

Cuando uno tipea en el teclado, las teclas viajan por un camino dentro del sistema operativo antes de llegar al navegador. Los Keyloggers se plantan en este camino y observan y graban lo que tecleamos. La información es luego enviada a personas que la utilizarán en contra nuestra.

KeyScrambler deshabilita a estos keloggers, al encriptar lo que tecleamos a nivel del driver del keyboard. Cuando el tecleo encriptado llega al navegador, Keyscrambler luego lo desencripta para que veamos exactamente lo que hemos tipeado. Los keyloggers sólo pueden grabar las teclas encriptadas, que son completamente indescifrables.

 

Link

 

 

Conclusiones

Bien, siguiendo cualquiera de estos dos métodos, podremos protegernos de lo que, creo yo, es la manera más común y fácil de robar el password de las personas. Así que si se dirigen con frecuencia a una cabina de internet, o un internet café, y cuentan con un USB, ésta es la mejor manera de protegernos contra posibles robos de identidad.

 

 

 

  • Otro método un poco más improvisado por si se nos olvida llevarnos los aparejos podría ser usar el “teclado en pantalla”.

  • no… lamentablemente, el on screen keyboard que Microsoft usa es bastante inútil, porque haciendo unas pruebas, el programa igual registra el “click” que hacemos en cada letra, como si la estuvíesemos tipeando.

    Así es, lo comprobé con varios keyloggers, y el teclado en pantalla, hace exactamente lo mismo que el teclado normal… así que no resultó algo muy práctico 🙁

  • Drim3r

    Bueno, otra opción sería utilizar un antivirus portable. Para las memorias USB con tecnología U3 está disponible el Avast que me ha detectado muchos keyloggers instalados. El inconveniente es que es versión de prueba y sólo se actualiza durante 100 días.

    Otra opción, pero requiere saber lo que se hace: Utilizar el Kill Process (http://www.autodebug.com/download.php) y verificar que la aplicación que vamos a matar sea un virus o keylogger.

    El inconveniente en muchos casos como este es que hay cabinas donde instalan el Antiexe, con eso no nos permiten ejecutar aplicaciones diferentes a las que hayan configurado los técnicos de dicha cabina.

  • alberto

    Otras soluciones:

    1ª La más fácil es meter la contraseña con el teclado de pantalla. El propio que tiene winxp en ¿accesorios->acesibilidad? o llevarte uno en el USB
    p ej.. OnScreen Keyboard Portablee http://portableapps.com/apps/accessibility/on-screen_keyboard_portable

    Si tienes muchisimas y no te acuerdas, con el complemento ‘Password Exporter’ del Firefox, te permite pasarlas a un Firefox Portable. Así evitas configurar un gestor de claves.

    Si no tienes USB existen gestores web (https://www.passpack.com ó https://www.agatra.com). No olvides utilizar el teclado de pantalla para ‘loguearte’, cuando te encuentres PC promiscuos, sino es “peor el remedio que la enfermedad”.

    gracias por to blog

  • A MI SE ME OCURRE QUE UNA APLICACION PARA ELIMINAR INFORMACION PRIVADA COMO CCLEANER PORTATIL PARA ELIMINAR TUS RASTROS SI VAS A UN CAFE inTERNET NO TE PROTEGE CONTRA EL kEY LOGGER PERO ES UNA HERRAMIENTA MAS CONTRA EU TE ESTEN RASTREANDO

  • hola, si las computadoras del lugar a donde vaya tienen antivirus aun asi permite esos keylogers? saludos