Vamos a actualizar nuestra Política de privacidad próximamente. Te recomendamos consultar el avance.

Ingeniería social para IT

Técnicas de recuperación de contraseñas

¡Prueba gratis durante 10 días

nuestros 1290 cursos !

Prueba gratis Mostrar modalidades de suscripción
Los sistemas de recuperación de contraseñas de muchas herramientas online y redes sociales pueden aportarnos información sobre el propietario de una cuenta, tales como su teléfono o email, o al menos partes de estos.

Transcripción

Todo servicio online y algunos servicios internos de empresas tienen herramientas de recuperación de contraseñas para cuando nos olvidamos de ellas. Cuando nos damos de alta en un servicio de Internet como por ejemplo una red social, solemos indicar como mínimo una dirección de correo electrónico y una contraseña. En algunos casos se solicita un nombre de usuario específico, un número de teléfono, nombre completo, etc. Pero en la mayor parte de los servicios online la dirección de correo electrónico con la que nos registramos será el nombre de usuario que tendremos que indicar cada vez que queramos acceder al servicio. Cuando configuramos la contraseña, si somos precavidos, generaremos una que no pueda ser averiguada por otras personas. Algunos servicios incluso nos obligarán a que tenga una longitud mínima, mayúsculas, minúsculas, números y hasta signos de puntuación. A veces no pensamos bien la contraseña, no estamos acostumbrados a usarlas o directamente hemos olvidado usar un gestor de contraseñas y con el paso del tiempo la olvidamos. Para esos casos está el servicio de recuperación de contraseñas que nos pedirá la dirección de correo electrónico u otro dato con el que nos registramos. A continuación, si la dirección de correo o ese otro dato es correcto, nos enviará un correo con la nueva contraseña o lo que realmente es más apropiado: un enlace para que podamos acceder al sistema para establecer una nueva contraseña. Hay casos extremos en los que algunos usuarios deciden no preocuparse de la contraseña y recuperarla cada vez que quieren acceder al servicio en cuestión. Esto, aparte de ser altamente ineficiente, no tiene por qué ser peligroso si el control de la cuenta de correo electrónico es realmente seguro, pero no es demasiado recomendable. En estos casos, el mayor riesgo es que la cuenta de correo electrónico se vea comprometida. En ese caso, quien asuma el control de nuestra cuenta de correo podrá modificar todas las cuentas de otros servicios que tengamos asociadas a esa dirección de email. Hay servicios en los que nos registramos con nombres de usuario específicos, aunque siempre nos piden una dirección de correo electrónico o incluso un número de teléfono, entre otras cosas, por si más adelante necesitamos recurrir al servicio de recuperación de contraseñas. En estos casos, conociendo el nombre de usuario, cualquier persona puede acceder al servicio e indicar que olvidó su contraseña. Cuando escriba nuestro nombre de usuario el sistema le dirá que enviará un correo a la cuenta que dimos de alta al registrarnos o un mensaje al teléfono móvil que le indicamos también en su momento. La única forma de que esta herramienta no suponga una potencial fuga de información es que el servicio no de pistas sobre la dirección de correo electrónico o sobre el teléfono. Por ejemplo, si en una red social cualquiera indico que mi nombre de usuario es "usuariosergio" y digo que he olvidado la contraseña, lo más probable es que el servicio muestre en pantalla un mensaje parecido a: "Enviaremos un enlace de recuperación de contraseña a tu dirección de correo electrónico s****o@cursoIS.com". No es por tanto difícil deducir que mi dirección es sergio@cursoIS.com, que por cierto, no es esa. Esto es especialmente grave en el caso de empresas, porque las direcciones de correo suelen estar normalizadas, por ejemplo usando solo iniciales, nombre e iniciales de los apellidos, iniciales del nombre y apellidos o nombres y apellidos separados por un punto. Todos ellos son fáciles de averiguar disponiendo de una lista de nombres de empleados, pero gracias a servicios de recuperación de contraseñas, es posible llegar a asociar una cuenta de un servicio ajeno con una dirección de correo electrónico de una persona concreta, con lo que el atacante conseguiría desenmascarar una identidad secreta, que puede no ser secreta por necesidad, pero sí porque una cuenta de una red social concreta sea gestionada por un empleado concreto de la compañía. De esta forma, sabríamos qué empleado es el que la gestiona. Como podemos ver, algo tan inocente como un servicio de recuperación de contraseñas es tan peligroso como vulnerable sea nuestro correo electrónico, y además puede ayudar a revelar la identidad de quienes gestionan una cuenta de usuario en un servicio "online".

Ingeniería social para IT

Conoce los fundamentos básicos de la ingeniería social para así poder reducir las posibilidades de éxito de quien trate de sustraerte información mediente este método.

4:11 horas (48 Videos)
Actualmente no hay comentarios.
 
Temas:
IT
Seguridad IT
Fecha de publicación:12/09/2016

Este curso video2brain está disponible como descarga y para ser visualizado online. ¡Pero no hace falta que decidas entre las dos opciones! Al comprar el curso, disfrutarás de ambas posibilidades.

La descarga te permite ver las lecciones sin estar conectado/a a internet y supone una navegación fácil y ágil entre capítulo y capítulo. Si vas a trabajar en diferentes ordenadores o si no quieres descargarte el curso completo, entra en la web con tus datos de acceso y disfruta directamente de tus vídeos online. Te deseamos que disfrutes de este curso y te resulte de mucha utilidad.

Estamos a tu disposición si tienes cualquier tipo de duda o pregunta.