Un joven español de 23 años, identificado como Daniel C. E.,
fue detenido este martes en España, acusado de la venta de
contraseñas de cuentas de correo electrónico de Hotmail.
El pirata, utilizaba una página en Internet (aún activa), para
brindar lo que él llamaba, un "Servicio de Contraseñas".
Según todavía se puede leer en su página, el joven ofrecía de
forma directa "un servicio con el cual podrá averiguar el
password de cualquier cuenta de Hotmail."
"Le garantizamos que trataremos su caso con la máxima
discreción posible.", dice el texto de presentación. El costo
era de 30 euros. "No siempre conseguimos averiguar el
password. El 75% de los casos conseguimos la clave pero no
podemos garantizarle que lo lograremos."
Además, el pirata garantizaba "que el dueño de la casilla de
correo nunca se dará cuenta de que le hemos averiguado el
password, y mucho menos relacionarlo con UD."
El clásico "no nos hacemos responsables del uso fraudulento
del password. Cualquier acción ilegal realizada con la
información que nosotros le facilitamos será de su
responsabilidad.", no salvó al joven de la justicia, quien fue
arrestado por agentes del Grupo de Delitos Tecnológicos de
Barcelona del Cuerpo Nacional de Policía en la propia empresa
de informática en la que trabajaba.
Fueron registrados al menos dos domicilios relacionados con el
detenido, en Huesca y Lleida, y se incautó todo el material
informático allí encontrado.
La policía denominó "Hackwebmail" a esta operación, la que
fue iniciada en abril del año pasado. La información brindada,
habla de más de 400 contraseñas ofrecidas exitosamente a
"clientes" de España y de otras partes del mundo.
En el sitio, que aunque tiene un dominio .TK está hospedado en
Lycos Tripod, puede leerse lo siguiente:
Total Clientes: 974
Total pedidos: 136
Pedidos cumplidos: 67
Visitas: 48031
Sin embargo, el joven ha estado haciendo este trabajo desde
por lo menos tres años atrás. El arrestado ofrecía sus
servicios en conocidos foros de Internet, poniendo como
contacto su página web.
La forma de capturar las contraseñas de los usuarios de
Hotmail, siempre fue mediante el engaño, suplantando la
personalidad de un sitio o persona, técnica denominada
"phishing".
Una vez que el cliente le pedía una contraseña, el pirata
enviaba a la víctima un mensaje del tipo "un amigo le envía
una tarjeta". Si la víctima caía en el engaño, era llevada a
una página falsa de MSN Messenger, en donde se le pedía nombre
de usuario y contraseña. Esta era la forma más "fácil" de
conseguir su objetivo.
Si esta técnica fallaba, aún quedaban otras, como las de
enviar otros falsos mensajes que simulaban ser del propio
Hotmail, solicitando "acceder a una dirección de Hotmail para
comprobar usuario y contraseña", con excusas como las de
"proteger a nuestros usuarios del correo electrónico no
solicitado".
Por supuesto, al hacer clic en el enlace mencionado, se
enviaba al usuario a una página falsa, donde usuario y
contraseña eran capturados por el delincuente.
De todos modos, esto no es nada nuevo. Existen muchas técnicas
similares, utilizadas incluso con otros cometidos (obtener
cuentas de otros servicios de correo, o incluso información de
cuentas bancarias o tarjetas de crédito, por ejemplo).
En ningún momento se explotaron fallos del sistema, solo se
empleó una simple y directa "ingeniería social", para engañar
a usuarios incautos. Relacionado también con Hotmail, en 2003
el FBI detuvo en Estados Unidos a otro individuo por un caso
muy similar.
Microsoft, a quien pertenece Hotmail, dijo que ha estado
colaborando con las autoridades desde el comienzo de la
operación, e informó que no se usaron ataques ni existen
fallos de seguridad en Hotmail, solo se emplearon las técnicas
de engaño mencionadas, y se abusó de la inocencia de usuarios
incautos.
La empresa recomienda "no facilitar nunca las contraseñas en
sitios no oficiales". Existen más de 187 millones de usuarios
con cuentas de correo en Hotmail, al menos 7 de ellos en
España. En
http://www.msn.es/informatica/antis...evencion/,
se dan algunos consejos para el manejo de las cuentas de
Hotmail, y para no caer en algunas de estas trampas.
Aunque en las últimas horas el joven fue dejado "en libertad
con cargos", y deberá presentarse a la justicia cada 15 días,
las investigaciones continúan, y no se descarta que se tomen
acciones contra quienes pagaron por obtener las contraseñas de
terceros, acusados de participar en un presunto delito de
descubrimiento y revelación de secretos. Entre ellos, se
encuentran varios detectives privados, según informan las
fuentes.
En todos los casos, las penas estipuladas, van de cuatro a
siete años de prisión para todos los inculpados.
Si usted recibió en algún momento una tarjeta electrónica, o
un mensaje no solicitado, donde para comprobar su identidad se
le pedía ingresar a un sitio web similar al de Hotmail o MSN,
es conveniente que cambie a la brevedad posible su contraseña.
Y por supuesto, jamás debería seguir enlaces a sitios en donde
se le pida ingresar datos personales de este tipo, y mucho
menos cuando se le "invita" a hacerlo desde un correo
electrónico no solicitado.
Fuente: www.vsantivirus.com
saludos
Verónica B.
Leer las respuestas