Cómo evitar que se roben tu cuenta de GMail

Gabolonte Blasfemus

Hasta no hace mucho varios de nosotros creíamos que con ingresar https://mail.google.com en la barra de direcciones bastaba para disponer de una sesión completamente encriptada mediante SSL con GMail, pero parece que esto no es del todo así; Google seguía generando tráfico que no estaba cifrado en medio de la sesión. Es por eso que gracias a herramientas como la reciente Surf Hack de Sandro Gauci permiten automatizar bastante bien el proceso que permite robar la cookie de sesión de un usuario que está accediendo su cuenta de GMail, para luego ingresar en su lugar y hacer lo que quiera. En el siguiente video el creador de este exploit muestra como un atacante, utilizando su herramienta en conjunto con técnicas de ARP o DHCP spoofing y/o el famoso bug del DNS, o simplemente esnifeando una red Wi-Fi, puede capturar dicha cookie, y luego usarla desde su navegador para acceder a la cuenta de la víctima.

En el mismo video también podemos apreciar como lo solucionó, al menos parcialmente, la gente de GMail. Y digo parcialmente porque lo que hicieron fue agregar una opción en la configuración de cuenta para cifrar o no permanentemente toda la sesión, sin estar por defecto seleccionada la opción más segura, con lo que todo usuario de GMail que desconozca este peligro e ingrese desde hotspots y demás redes inseguras está en peligro de perder su cuenta, y muchas cosas más.

image

Google recomienda activar esta opción sólo si sabemos que vamos a acceder al servicio desde redes no confiables, alertando de algunas contras como una menor velocidad o la imposibilidad de acceder desde navegadores que no soporten SSL, pero sinceramente me parece un precio muy bajo por pagar a cambio de evitar que cualquier hijo de vecino con una notebook y un poco de ganas de joder pueda quedarse con tu cuenta. Cualquier navegador decente soporta SSL, incluso los móviles, y la demora extra no es una eternidad tampoco, no tiene sentido seguir expuesto si no sabemos desde donde podemos estar logoneándonos la próxima vez.

Vía The Hacker Webzine. SpamLoco también habló del tema.


One Response to “Cómo evitar que se roben tu cuenta de GMail”

  • SpamLoco despachó:

    Yo pensaba lo mismo, la velocidad no me preocupa tanto con tal de navegar más seguro. Lo que me preocupa es que otros servicios que están bajo la misma cuenta de Google, como Blogger, cambia a http luego de loguearse y cuando me logueo en Blogger puedo entrar a cualquier otro servicio de Google sin introducir nuevamente la contraseña (menos analytic, no sé por qué).

    Así que evito navegar mucho cuando entro y salgo de Blogger.


    Usando Mozilla Firefox Mozilla Firefox 3.0.1 en Windows Windows Vista