Una de las noticias más importantes de la última semana, fue el anuncio de Hotmail relacionado a nuevas funcionalidades de seguridad en su servicio de correo electrónico. Desde la semana pasada, existen nuevas características en el webmail que aportan mayores niveles de protección para que los usuarios no sean víctimas de un ataque de hijacking del correo, que robe la cuenta al usuario y utilice su identidad o robe información dentro de la cuenta. Algunas de estas funcionalidades son muy sencillas, pero aportan bastante seguridad al sistema, aunque vale destacar que algunas de ellas, en el año 2011, no tienen mucho de novedoso. Veamos...
En primer lugar, desde el blog de Microsoft anunciaron una nueva funcionalidad para reportar que un "amigo fue hackeado". De ahora en más, cuando recibas un correo electrónico que sospeches es un spam o amenaza informática, pero que provenga de una cuenta de un contacto conocido, será posible alertar a Hotmail sobre la posible intrusión a la cuenta de correo:
De esta forma, cuando se denuncie una cuenta Hotmail analizará la situación y, en caso de determinarse que es probable que la cuenta haya sido controlada por un atacante, se disparan en ese momento dos acciones:
- En primer lugar, la cuenta no puede ser más utilizada por un spammer.
- Cuando el usuario se vuelva a loguear, será sometido a un proceso de recuperación de la cuenta.
En segundo lugar, en breve Hotmail pondrá a disposición de los usuarios la imposibilidad de utilizar contraseñas débiles para las cuentas. En palabras del anuncio de Dick Craddock en el blog:
De ahora en más, evitaremos que nuestros usuarios utilicen contraseñas muy comunes, ya que esto hace más vulnerable la cuenta a ataques de fuerza bruta por diccionario. [...] Claves comunes no son solo "contraseña" o "123456), sino también palabras o frases que son compartidas por millones de personas.
También se aclara que por el momento solo estará disponible para el alta de nuevas cuentas, o aquellos usuarios que realicen el cambio de la clave. No obstante, en un futuro también se forzará a los usuarios que usen claves débiles a cambiarlas por contraseñas fuertes. Aunque, como bien indica el mismo post de Microsoft, "utilizan una contraseñas fuerte no es el único paso para proteger la cuenta", sí es uno importante y bienvenido sea que haya sido protegido por el propio proveedor del servicio.
Finalmente, también ha sido eliminada la posibilidad de recordar la cuenta al momento de acceder a la cuenta. Antes, los usuarios podían además de recordar su contraseña, dejar almacenado en la computadora la cuenta de correo; una funcionalidad poco útil desde el punto de vista del usuario (quién no recordaría su dirección de correo) pero muy útil para alguien que tomara control del equipo, y pudiera probar claves sencillas para ingresar a las cuentas. De ahora en más, esto ya no es posible, y los usuarios de Hotmail deberán tipear la cuenta de correo cada vez que ingresen:
¿Cuán útiles son estas nuevas características de seguridad? Muy útiles ¿Cuán nuevas? Aunque para Hotmail son nuevas, algunas de ellas (como por ejemplo denegar las contraseñas sencillas) son medidas que no parecen ser muy novedosas para los tiempos que corren y, una vez más, da la sensación que los atacantes informáticos están muchos pasos adelantados de los proveedores de servicios. Además, en esta linea, ha sido eliminada la posibilidad de recordar solo la cuenta, pero ¡sigue vigente la posibilidad de recordar cuenta y contraseña! No parece un paso muy coherente en términos de seguridad (imagine una puerta con dos cerraduras, donde no es posible dejar una sola abierta, pero si las dos al mismo tiempo).
Finalmente, recuerden que todas estas funcionalidades son inmunes a los ataques basados en Ingeniería Social, como el phishing, que atacan directamente al usuario, intentando aprovechar sus debilidades sociales. Por lo tanto, la educación y las buenas prácticas en Internet siguen siendo fundamentales para la seguridad del usuario, independientemente de la seguridad de los proveedores como Hotmail.
Sebastián Bortnik
Coordinador de Awareness & Research
