Cómo robar contraseñas y evitar robo de claves en internet

En el primer artículo de esta serie mostramos las opciones que tiene un atacante al intentar hacerse con nuestros datos, bien sea en nuestro PC, interceptándolos en la red, o en el propio servidor donde los enviamos. En el segundo analizamos más detalladamente los opciones de ataque en las redes, sobre todo las inalámbricas.

En este tercer y último artículo veremos qué datos son más susceptibles de ser robados.

Qué pueden robarnos

Las webs que visitamos, las imágenes que vemos en el navegador, las cookies, conversaciones de chat, cuentas de FTP, usuarios y contraseñas...

Ettercap, una vez que está interfiriendo en el tráfico, muestra muchos de estos datos sin hacer nada, pero también pero es posible obtener datos más concretos filtrando el tráfico que capturamos:

Un ataque Mitm no solo permite escuchar todos esos datos, sino también modificarlos. De modo que es posible hacer que en una conversación de chat, cada vez que alguien escriba "hola", el interlocutor lea "adiós"... y ejemplos menos inocentes.

Solamente se salvan los sitios HTTPS.

Qué es HTTPS y por qué es seguro

HTTPS es un protocolo que combina el protocolo de hipertexto (HTTP) con protocolos criptográficos (SSL/TLS) que tratan de asegurar que el mensaje resulte encriptado de extremo a extremo, de manera que alguien que lo interceptase no pudiese entenderlo.

Simplificándolo mucho, se basa en que tanto usuario como servidor tienen una clave pública y privada. Un mensaje del usuario al servidor se codifica usando la clave privada del usuario y la clave pública del servidor, y el servidor lo lee usando su clave privada y la clave pública del usuario. Y lo mismo en el otro sentido. El usuario sabe que la clave publica del servidor es la que dice mediante el uso de certificados digitales, que se integran con el navegador:

Alguien que se colocara en medio, podría enviar un certificado falso para tratar de observar la información. El navegador es el encargado de mostrar una alerta de seguridad cuando esto suceda, a no ser que, aprovechando alguna vulnerabilidad suya, se haga pasar el certificado falso por bueno. Mientras que en Firefox ocupa toda la pantalla, y pide confirmación expresa para seguir, en IE6 es una de esas alertas a las que uno dice OK sin pensar.

Las contraseñas y las funciones hash

Una función hash es una que tiene una sola entrada (los datos a encriptar) y como salida produce datos a partir de los cuales, en teoría no se puede deducir los originales, pero cada entrada produce una salida única. Algunos sitios (que no funcionan con HTTPS) como Tuenti o Facebook encriptan las contraseñas, mediante Javascript, con el algoritmo MD5 antes de que sean enviadas al servidor. De manera que si la contraseña era mono, el servidor recibe algo como 654db8a14a5f633b9ba85ec92dc51f7c. Pensando un momento, se puede deducir que esto no sirve para nada, una vez que se ha capturado el hash.

Basta con generar una petición al servidor, en la que en vez de la contraseña se envíe el hash de la contraseña, y el resto de los datos (nombre de usuario, fecha, zona horaria...) queden igual.

Sin embargo, hay situaciones en las que el uso de los hashes es útil, como para guardar archivos de contraseñas, o las contraseñas en bases de datos. Claro que hay diferentes formas de romper estas funciones. Por ejemplo, si se hace una búsqueda del hash MD5 de "mono" en Google, se obtendrán varias entradas aparte de ésta en las que se relaciona con su palabra original. También se han encontrado vulnerabilidades en muchos de estos algoritmos (también en MD5, a pesar de lo cual sigue siendo empleado), que permiten calcular la solución utilizando tablas precomputadas, (rainbow tables), que reducen el tiempo necesario para resolver el problema, a costa de ocupar memoria. Una contraseña es más resistente a este tipo de ataques cuanto más complicada es. Para maximizar el tiempo y los recursos que hacen falta para descifrarlas, conviene usar una gran cantidad de letras y números, y sobre todo, de caracteres especiales (que hacen que el problema tenga una complejidad mucho mayor).

Por ejemplo, en objectif-securite.ch hay una utilidad gratuita para romper hashes de Windows (que se pueden obtener con Backtrack), siempre que sean solamente alfanuméricos:

¿Suficientemente paranoico?

Lo cierto es que además de los canales directos que hemos descrito, hay multitud de formas indirectas de obtener información de una computadora. Se han obtenido datos (con información significativa) de las ondas que emiten los teclados y los monitores, del ruido de las impresoras, o de un telescopio astronómico que observa un monitor... reflejado en el ojo del usuario.

¿Sabes SQL? ¿No-SQL? Aprende MySQL, PostgreSQL, MongoDB, Redis y más con el Curso Profesional de Bases de Datos que empieza el martes, en vivo.

Por Freddie el 22 de Julio de 2009

Un post realmente bueno Zah. El sniffing y "wiretap" de HTTP y ethernet es old-school, pero en esta época de wireless abiertas aplica más que nunca.

Lo mejor es que la gente creerá que es mentira lo que dices en el parrafo final. Pero a excepción del reflejo en el ojo (exceso de CSI), todo lo demás realmente ha ocurrido. La seguridad absoluta es imposible, pero una serie de buenas prácticas pueden mantenerte por encima del promedio.
Por Zah el 22 de Julio de 2009

Lo del reflejo en el ojo ha ocurrido, al menos en un experimento controlado. Lee el último número de Scientific American (no tengo a mano la referencia)
Por Freddie el 22 de Julio de 2009

Zah-blog :
Lo del reflejo en el ojo ha ocurrido, al menos en un experimento controlado. Lee el último número de Scientific American (no tengo a mano la referencia)
Por definición, un telescopio astronómico tendría que poner en otro orden sus lentes para poder apuntar algo tan cercano como un monitor (sin importar lo lejos que esté, terricolamente hablando).

Así que quizás sea otro tipo de telescopio, uno tan jodido de apuntar como un láser a la luna. Ahora, pensar que ese telescopio tiene que crear una fotografía macro desde una distancia increíble y luego un algoritmo tiene que reconstruir una imagen ovalada... Es decir, no digo que sea imposible con tecnología actual, sólo que, como dices, seguro es un escenario ideal experimental, no muy práctico.
Por Zah el 22 de Julio de 2009

http://www.scientificamerican.com/article.cfm?id=hackers-can-steal-from-reflections
Por Zah el 22 de Julio de 2009

Sí, es justo como tú dices.
Por daz_angie el 22 de Julio de 2009

Wireshark es muy sencillo de usar para monitorear una computadora o una red.
Y sabiendo dónde buscar (que tipo de paquetes y puertos de salida se usan) puedes obtener la información suficiente para juakear jotmail, mesinyer y hasta una cuenta bancaria.
Nunca está de más tener cuidado....
Por irobot_z el 23 de Julio de 2009

hack hack hack pensemos en los problemas que nos atrae lo comeno en este post por la falta de seguridad pero Ojo como evitarlos ... !!!! PLOP !!! publicaran un post donde den un detalle mas largo de como evitar ser victima ,,,,, suena mas interesante leer un post de ese tipo ... Evitar ser hack al mas alto nivel sea usted mismo Bond .... disculpen nomas disculpen.....
Por emerz.net el 26 de Julio de 2009

Es el primer comentario en cristalab, lei tus post sobre seguridad y me parecieron interesantes, solo queria avisarte que hare Ctrl+c en tus post y Ctrl+v en mi blog jaja, claro te pondre como fuente.

saludos!
Por nphacks el 26 de Julio de 2009

es bueno usar https pero si el que tiene el error es la pagina entonces ya no sirvio de nada
por eso lo mejor que puedes hacer es usar contraseñas diferentes en cada pagina, nunca usar una contraseña global, si probablemente las contraseñas se encriptan con md5 en las bases de datos, pero nunca puedes estar seguro de lo que puede pasar
Por es oscar el 09 de Octubre de 2009

hermano necesito conseguir la clave del correo de una amiga el correo es [email protected] que el ex-esposo le robo la contraseña y yo le dije que la iva a ayudar pero no consigo la forma ni la manera y tiene todos sus contactos importantes hay por favor si sabes de algo respondeme a mi correo [email protected] agradezco lo que puedas hacer por ella y por mi gracias
Por sandy el 22 de Octubre de 2009

Tengo un problema es que creo q por accidente deje q le entrara un virus a mi correo entonses lo abro y salia con correos borrados, sin ningún correo y ahora mi contraseña no fusiona y no encuentro como recuperar mi contraseña.
Gracias por leer mi comentario :.
Por sandy el 22 de Octubre de 2009

soy la misma solo quería decir que en todas las paginas en las que e entrado no les entiendo nada me lo podrían explicar en cristiano .
Por Freddie el 22 de Octubre de 2009

sandy-blog :
soy la misma solo quería decir que en todas las paginas en las que e entrado no les entiendo nada me lo podrían explicar en cristiano .
Dios dice que uses una contraseña larga y jodida con muchos caracteres. Está en la biblia. Ve y hazlo hija mia.
Por Elena el 08 de Diciembre de 2009

La verdad es que como que no se puede evitar que te hagan un hacker. Pregunto... si estoy conectada y chateando, me pueden hackear en ese mismo momento? Si tengo la web cam me pueden ver también? y si estoy en el msn chateando y están haciendo hacker a la otra persona, pueden robarse también mis datos, x ej la lista de contactos?
Por mayra el 07 de Enero de 2010

ola nesecito saber la contraseña de un amigo q su correo es [email protected] es urgente plis !no se olviden!x fa
Por estrella el 07 de Enero de 2010

ola quiero saber la contra de mi novio se llama enrique es chavo_1489=)ok zankio
Por diego el 07 de Enero de 2010

ola nescito saber d3 un chico q mucho me molesta para fregarlo se llama enrique su correochavo_1489 tamo claro
Por nicol melgarejo el 07 de Enero de 2010

olitas soy una pynki kelom saber de un chico q me alienta un poco pz se iama enrique su correo es chavo_1489plis EL ES MI aire xq estubo con una chica q no le convenia una tal mayra x eso espero q no la aya agregado pz ok ya entendieron pz ia grasias x todo pz bye cuidense besos
Por guillermo el 07 de Enero de 2010

ola SOI EL MEJOR AMIGO DE ENRIQUE bueno talves quiero saber un poco de mi mejOR amigocomo cual es su contraseña ya eso es todo
Por katheryne el 15 de Enero de 2010

hola ...quisiera recuperar mi cuenta [email protected] me la robaron nose como hacer ayudenme porfavor si pueden escribanme a [email protected]
Por NeoCesar el 15 de Enero de 2010

humm algunos creen que este hilo es para que les hackemos las cuenta a alguien, no pes señores yseñoritas, este es un hilo informativo y este es un foro serio, eso que solicitan es delito informatico nu nu nu eso no se hace, asi que si quieren saber contraseñas o "ROBARLAS" que es el nombre exacto pues busquen EXPLOIT en san google es todo cunto dire
Por jimena el 01 de Febrero de 2010

ola les cuento a mi me hackearon el flog necesitaria sabe como se puede recueperar
Por erika el 15 de Abril de 2010

pz no me gustaria saber como se da el snnifing dentro de una empresa
Por daphne el 20 de Abril de 2010

alquien me dice como hacker porfa
Por tatu el 04 de Mayo de 2010

hola nesito q me ayuden a hakear un correo xfa
Por cesar el 20 de Junio de 2010

sabes necesito la copntraseña de mi flaca [email protected] sabes en verdad creo que me miente todo el tiempo y q me pone los cachos bien puestos ayudame a desenmascararla es para un bien social xfa ayudeneme
Por danita el 20 de Julio de 2010

hola oie ocupo k me ayudes porfitas es urgente recuperar la contraseña contesta aki [email protected]
Por viviana el 23 de Julio de 2010

quisiera saber clave de [email protected], es importante su ayuda POR FAVOR
Por laurita! el 23 de Julio de 2010

alguien puede ayudarme a conseguir la contraseña ya sea de una cuenta de hotmail o del facebook??
Por sermi el 17 de Agosto de 2010

hola haces dias me hackearon mi cuenta , y estan usando mi nombre para derme mal con los contacto eh comprovado que se conecta con mi cuenta quiero recuperarla como ago si me cambio todos,
Por clau el 06 de Octubre de 2010

me robaron una cuenta de hotmail y no he podido recuperar la contraseña sera que me colaborarian en eso el correo es [email protected] si algo me escriben al correo [email protected] gracias.
Por Hack el 07 de Octubre de 2010

man decime como hacer una pagina falsa para q aga q alguien se registre creyende q es la verdadera y poder sacarle la contraseña, http://humopatel.elbruto.es/cellule quiero hacerlo unir a un clan y quitarle la pass, ami Me lo isieron al registrarme para unirme a un clan deje mi contraseña y me robaron expliken
Por kenyi el 07 de Octubre de 2010

me robaron mi correo y mi contraseña como ago para recuperar mi cuenta de sms hotmail
Por pinrol-blog el 12 de Octubre de 2010

como hago para ingresar a mi cuenta de hotmail que es muy importante ademas la uso para tareas laborales y me han cambiado la contraseña
Por darwin el maestro el 01 de Marzo de 2011

hola necesito q me ayuden hace unos dias mi mujer me abrio una cuenta q tengo con una informacion muy personal y creo q puede hacer mal uso de cierta fotos q tengo guadadas, solo necesito recuperar mi cuenta y arrglar este problemisima el correo es [email protected]
Por darwin el maestro el 01 de Marzo de 2011

mi cuenta normal es [email protected] por si alguien m quiere ayudar
Por jhonatan el 22 de Mayo de 2011

mose... ...seria mas dable q pongas mas ejemplo..ps ....
Por pascual el 11 de Febrero de 2012

por favor mandame instrucciones para poder desbloquera mi yoobook esque no recuerdo que contraseña le puse mi correo es [email protected] por favor y mil gracias
Por Trigger el 16 de Febrero de 2012

esta muy bueno pero no veo nada solido, yo pense que iban a enseñar a coger las contraseñas.
Por martha el 29 de Marzo de 2012

hay dios mio nesecito ayuda ya k le robaron la vclave ami y ami hermana k hago para recuperarla auxiliooooooooooooo
Por rojelio el 20 de Junio de 2014

Internet
Por lorena lopez el 07 de Enero de 2015

es q necesito q me den la contrase0Š9a de los 2 personajes uno es de mi novio y la otra de mi amiga por favor ayudemen los necesito urgente /stephani.ramirez.961

/ChaconAlejandro17
Por lorena lopez el 07 de Enero de 2015

ayy perdon me olvide de darles mi dirrecion para q me den el resultado xfa enserio es urgente. [email protected]

o si no coje este es mi correo [email protected]
Por clon el 13 de Febrero de 2015

no sabes nada de hackearo yaalo ahbrias echo

Cómo robar contraseñas y evitar robo de claves en internet

Qué pueden robarnos

Qué es HTTPS y por qué es seguro

Las contraseñas y las funciones hash

¿Suficientemente paranoico?

Publica tu comentario

o puedes...