Filtración de contraseñas en 000webhost

Me acaba de saltar una alerta de have i been pwned? sobre una nueva filtración de contraseñas.

Estamos hablando de la friolera de 13 millones de contraseñas en claro filtradas de la base de datos de usuarios de 000webhost, uno de los proveedores de hosting gratuito más habituales.

La base de datos de contraseñas se filtró en marzo de 2015, y desde entonces se ha estado vendiendo en foros por un precio de unos $2.000. Que se venda significa que aquellos que la hayan comprado esperan obtener un retorno económico de ello. Dicho de otra manera, esperan que las víctimas hayan reutilizado sus contraseñas de 000webhost en otros sitios de Internet y puedan robarte dinero de alguna manera.

Lo peor de todo este asunto es la estrategia seguida por 000webhost cuando el investigador de seguridad Troy Hunt les informó de ello: le ignoraron completamente y no avisaron a sus clientes. 000webhost ha reseteado silenciosamente las contraseñas de todos sus clientes, pero no les ha advertido de que, si han reutilizado su contraseña en otros sitios, pueden estar gravemente expuestos. En ese sentido, la actuación de 000webhost ha sido lamentable.

Si tienes cuenta en 000webhost y has reutilizado la contraseña en otros sitios de Internet, ve y cambia tus credenciales en todos esos sitios ahora mismo.

Si quieres leer más sobre la nefasta gestión de 000webhost ante el incidente, aquí tienes la investigación completa de Troy Hunt:

Breaches, traders, plain text passwords, ethical disclosure and 000webhost

Sobre los 5 millones de contraseñas de Gmail

El pasado 10 de septiembre se desataba la noticia de que se habían filtrado nada menos que 5 millones de contraseñas de Gmail en claro. Rápidamente todos los medios de comunicación especializados se hicieron eco de la noticia y la alarma corrió por foros y redes sociales. Más tarde Google emitió un comunicado indicando que sus sistemas no habían sido vulnerados, y desde entonces nada más se ha vuelto a saber.

La sospecha es que las contraseñas no habían salido de Google, sino de algún otro sitio en Internet menos protegido. Digamos del “Blog Pepe”. La noticia también apuntaba a que, probada una pequeña muestra de la filtración, se podía inferir que el 60% de las contraseñas publicadas eran válidas en Gmail. Esto significa que al menos el 60% de las personas de esa lista utiliza la misma contraseña en Gmail que en “Blog Pepe”.

El listado de cuentas comprometidas se puede encontrar fácilmente en Internet. El listado completo con contraseñas no es mucho más difícil de conseguir. Yo he dado con él, y me he permitido cargarlo en un SQLite para sacar el Top 20 de contraseñas más utilizadas. Ahí va:

TOP 20 de Contraseñas

Posición

Contraseña Apariciones

1

123456 23116
2 password 5569
3 123456789 5379
4 12345 3974
5 qwerty 2922
6 12345678 2491
7 111111 1682
8 abc123 1499
9 123123 1476
10 1234567 1352
11 1234567890 1343
12 iloveyou 925
13 1234 923
14 password1 895
15 27653 889
16 000000 808
17 zaq12wsx 738
18 monkey 722
19 qwerty123 717
20 tinkle 716

De este listado se pueden extraer varias conclusiones:

  • La contraseña más utilizada es “123456”, seguida de “password”.
  • La mayor parte de las contraseñas son exclusivamente numéricas, las más fáciles de reventar por fuerza bruta.
  • Prácticamente todas representan secuencias sobre el teclado, y no sólo “123456” y derivados, sino también “qwerty” y “zaq12wsx”.
  • En general, las contraseñas son muy cortas, entre 6 y 8 caracteres.
  • Las que no son números ni secuencias son palabras del diccionario.

Las filtraciones de contraseñas están a la orden del día. En este caso la filtración no parece proceder de los sistemas de Google, pero en ocasiones pasadas se han visto comprometidos muchos sistemas de grandes compañías como Adobe (152 millones), mail.ru (casi 5 millones), Forbes (1 millón), Yahoo (medio millón), Vodafone (56.021), Sony (37.103) y muchos más. Puedes comprobar si tu cuenta está afectada visitando have I been pwned?

Siento decirte que si tu cuenta aparece en la filtración de Gmail, o en cualquier otra, tu email va a pasar a estar en las listas de los spammers de todo el mundo. Prepárate para recibir SPAM como un bellaco.

Y a continuación algunos consejos para minizar daños en el futuro:

  • Utiliza contraseñas únicas. No puedes evitar que un sitio web se vea comprometido, pero al menos puedes evitar que la información que extraigan sirva para acceder a otros servicios donde estés registrado. Utiliza una contraseña diferente en cada sitio web en el que te registres, o como mínimo hazlo en los sitios importantes.
  • Utiliza contraseñas complejas. Sobre todo en los servicios importantes. Asegúrate de que tengan más de 12 caracteres y que incluyan números, letras mayúsculas y minúsculas, y algún símbolo.
  • Tu cuenta de correo es la llave de muchas puertas. Protégela adecuadamente con una clave robusta y accede sólo desde ordenadores confiables, preferentemente el tuyo propio.
  • Activa la autenticación en dos pasos en todas tus cuentas. Esta opción está disponible en Google, Apple, Microsoft, Facebook, y muchos más. Te permite pasar de un escenario donde la llave es “algo que sabes” a un escenario mucho más seguro del tipo “algo que sabes + algo que tienes”.
  • Plantéate el uso de un llavero offline de contraseñas. Esto te permitirá manejar contraseñas complejas sin volverte loco, y de paso te olvidarás del típico problema de “¿qué usuario/email utilicé para registrarme en esta web?”. Tienes muchas opciones, aunque me centraré en algunas de Software Libre: KeePass para Windows, KeePassX como opción multiplataforma, y KeePassDroid para Android. Ya no tienes excusa.
  • Cambia periódicamente las contraseñas de tus cuentas principales. Tus cuentas importantes merecen un cambio de contraseña cada cierto tiempo. Si estás utilizando un llavero offline puedes incluso especificar la caducidad de la contraseña, y él mismo te avisará llegado el momento.
  • Utiliza una segunda cuenta de correo destinada exclusivamente como método de recuperación de tus cuentas principales. Prácticamente cualquier servicio importante permite introducir una segunda cuenta de correo para recuperación de clave en caso de olvido o robo. Utiliza una contraseña única y almacénala en lugar seguro fuera incluso de tu llavero offline. Un trozo de papel guardado en casa servirá. En general no necesitarás acceder a ella, pero debes ser capaz de recordar dónde pusiste la clave.

Con estos consejos espero que en la próxima filtración os veáis menos expuestos.

Crónica de una migración a Pepephone ADSL desde Jazztel

Llevo año y medio contento con mi conexión VDSL2 de Jazztel, con 30 Mbps de bajada y 3,5 Mbps de subida. La conexión es fabulosa, y más con la distancia que tengo hasta la central (unos 100 metros), que me proporciona velocidades reales rozando lo teórico. Pero el precio, si bien está en la media, no me convencía del todo.

Cuando Pepephone lanzó su ADSL Naked sin línea fija de teléfono, llamó mucho mi atención. Que alguien se atreviera a lanzar al mercado un ADSL sin teléfono con unas características decentes me pareció fabuloso, a la par que alineado con mi reciente interés por la VoIP como sustituta definitiva de la telefonía fija tradicional. Cada vez que lo pensaba, el binomio Pepephone + Netelip me parecía más atractivo. Cuando Pepephone bajó el precio de su ADSL de los 23€ / mes iniciales a los 19,50€ / mes actuales, me terminó de convencer.

Tras hacer unas pruebas de viabilidad de la VoIP en escenario real, me decidí a cambiar al ADSL de Pepephone:

  • Protocolo ADSL2+
  • 20 Mbps de bajada
  • 1 Mbps de subida
  • Sin línea de teléfono
  • Soporte y atención telefónica nacional
  • 19,50€ / mes + IVA, precio final

Lo único que echo de menos en Pepephone es tener un poco más de velocidad de subida. En lugar de 20/1 Mbps, no me importaría que fuera 10/2 Mbps, especialmente para tener más margen con la VoIP cuando estoy descargando torrents. No obstante, no es nada que no pueda arreglar con un poco de QoS en el router.

La migración a Pepephone ha sido bastante rápida. Ha tardado exactamente 7 días,  lo que no está mal teniendo en cuenta que la inicié un martes por la tarde, y que el viernes era festivo. Si la hubiese iniciado el lunes a primera hora, probablemente el jueves me hubiesen hecho el cambio en la central. Aquí está la crónica:

  • Martes, 22 de octubre, 16:30h: Inicio la portabilidad desde la página web de Pepephone.
  • Miércoles, 23 de octubre, 18:00h: Me llaman desde Jazztel para tratar de retenerme. A pesar de que me hacen una oferta tentadora, estoy decidido a continuar con la portabilidad y así se lo hago saber.
  • Jueves, 24 de octubre, 8:30h: Recibo confirmación por parte de Pepephone de que la portabilidad sigue su curso, y me proporcionan los datos de configuración del router.
  • Viernes, 25 de octubre: Festivo en mi comunidad. No habrá nadie en mi central local de telefonía para cambiar cables.
  • Martes, 29 de octubre, 13:00h: Se corta mi conexión con Jazztel, y al de 5 minutos la luz de ADSL del router se vuelve a encender. Compruebo que ha sincronizado en modo ADSL2+ a 20/1 Mbps, por lo que ya estoy conectado al DSLAM de Pepephone (en realidad de Vodafone). Reconfiguro mis routers y ya tengo conexión con Pepephone.

De momento no he tenido ningún problema, aunque aun es pronto para poder afirmar esto. En cuanto a la velocidad, tras hacer algunas pruebas estoy más que satisfecho. La velocidad efectiva de bajada se aleja bastante de la teórica, pero la velocidad de subida se ajusta muy bien a lo esperado:

pepephone_adsl2plus_velocidad

Por comparar, aquí está una prueba realizada con la conexión de Jazztel 30 / 3,5 Mbps. Como se puede ver, con VDSL2 y poca distancia a la central, las velocidades reales se acercan más a las teóricas que con ADSL2+. Sin embargo, la latencia es mayor:

jazztel_vdsl2_velocidad

Conclusiones: El tiempo dirá si la conexión de Pepephone es suficiente para mis usos, pero si no es así, siempre hay tiempo de cambiar a otro operador. De momento estoy satisfecho con los resultados obtenidos, y el ahorro económico es considerable: con Jazztel pagaba 42€/mes con impuestos a pesar de tener un par de promociones aplicadas, y con Pepephone + Netelip + FreeVoIPDeal vengo a pagar unos 28€/mes incluyendo bastantes llamadas al extranjero. Ahora tengo 168€ extras al año para irme de cañas 😉

[HOWTO] Tethering automático por Bluetooth mediante Tasker

Hola a todos,

Aquí os presento un tutorial para tener tethering automático entre una tablet WiFi y nuestro móvil, de tal forma que cuando la tablet no tenga conectividad WiFi se conecte automáticamente al móvil, y cuando vuelva a tener WiFi se desconecte del móvil y deje de gastar 3G. Útil para tener conectividad en todo momento y sin hacer absolutamente nada.

¿Por qué por Bluetooth? Porque consume muchísima menos batería, porque no exponemos una WiFi a todo el mundo, y porque nuestro móvil no puede tener el tethering WiFi activado y a la vez ser cliente de otras WiFis.

¿Por qué con Tasker? Porque nos va a permitir que la tablet conmute a tethering automáticamente cuando no tengamos una WiFi a mano, sin que tengamos que hacer una sola acción ni en el teléfono ni en la tablet.

Ingredientes:

Tasker es una aplicación realmente potente que permite definir acciones a partir de todo tipo de condiciones. Por ejemplo podemos definir que ponga el móvil en modo vibración al llegar al trabajo, que pase a 2G cuando estemos conectados a una WiFi, que geoposicione cuando nos desconectemos del manos libres del coche, etc. En este caso lo vamos a usar junto con Bluetooth Auto Connect para conectar a un dispositivo bajo demanda, concretamente a nuestro móvil, cuando se cumplan ciertas condiciones sobre la WiFi.

La pantalla de Tasker es un poco árida por la cantidad de operaciones que se pueden hacer, pero el proceso es sencillo. Veamos la idea intuitiva.

Hay que hacer dos cosas:

  1. Crear un perfil “Autotethering On” que se conecte al móvil cuando no haya conexión WiFi
  2. Crear una condición de salida que desconecte del móvil cuando haya conexión WiFi

Aunque yo, para ahorrar batería, lo he definido así:

  1. Crear un perfil “Autotethering On” que active el Bluetooth y se conecte al móvil cuando no haya conexión WiFi
  2. Crear una condición de salida que desactive el Bluetooth cuando haya conexión WiFi

Veamos los pasos que debemos dar en Tasker, aunque antes de nada debemos emparejar la tablet con nuestro móvil por Bluetooth.

Autotethering

  1. Ejecutamos Tasker
  2. Pulsamos el botón “+” de la parte inferior
  3. Asignamos un nombre del tipo “Autotethering On”
  4. En “Contexto” elegimos “Estado”
  5. En “Categoría” elegimos “Red”
  6. En “Acciones de red” elegimos “Conectado a Wifi”
  7. En “Conectado a Wifi” seleccionamos “Invertir” y aceptamos
  8. En “Seleccionar tarea” elegimos “Nueva tarea”
  9. Le ponemos un nombre del tipo “Conectar al móvil”
  10. En “Editar tarea” pulsamos “+”
  11. En “Categoría de la acción” elegimos “Red”
  12. En “Acciones de Red” elegimos “Bluetooth”
  13. En “Bluetooth” elegimos “Establecer Encendido”
  14. Aceptamos hasta volver al paso de “Editar tarea”
  15. En “Editar tarea” pulsamos “+”
  16. En “Categoría de la acción” elegimos “Plugin”
  17. En “Acciones de Plugin” elegimos “Bluetooth Auto Connect”
  18. En “Bluetooth Auto Connect” pulsamos en “Editar”
  19. En la ventana de configuración que aparece elegimos nuestro móvil (¡debe estar previamente emparejado!)
  20. Aceptamos todo hasta volver a la pantalla principal de Tasker
  21. Hacemos pulsación larga sobre la tarea “Conectar al móvil” y elegimos “Añadir tarea de salida”
  22. En “Seleccionar tarea” elegimos “Nueva tarea”
  23. Le ponemos un nombre del tipo “Desconectar Bluetooth”
  24. En “Editar tarea” pulsamos “+”
  25. En “Categoría de la acción” elegimos “Red”
  26. En “Acciones de Red” elegimos “Bluetooth”
  27. En “Bluetooth” elegimos “Establecer Apagado”
  28. Aceptamos todo hasta volver a la pantalla principal de Tasker
  29. Pulsamos en el tick verde para activar el perfil (se cerrará Tasker)


Os tiene que quedar algo así:

Teléfono previamente emparejado:

Configuración de Tasker:

Cuando salgáis de casa y dejéis de tener WiFi, veréis lo siguiente en vuestro teléfono y estaréis compartiendo la conexión con la tablet sin tocar un botón:

¡Feliz navegación! 😉

Tunelizando un proxy a través de SSH

Imagínate que estás con tu portátil en el aeropuerto, en un bar, en la calle, o en cualquier otro lugar remoto. Imagínate que estás conectado a Internet a través de una WiFi sin encriptación o de la que no te fías un pelo, y quieres consultar tu correo o entrar en una web que no utiliza cifrado. ¿Qué haces?

Conectarte a una WiFi libre y/o pública tiene su encanto, pero también tiene sus riesgos. Cualquiera de los otros usuarios de la red puede monitorizar todas tus comunicaciones, y partiendo de la base que hay mucho cabrón suelto, mejor curarse en salud. Si la página web que queremos visitar no utiliza cifrado (HTTPS) se lo vamos a poner nosotros. Al menos durante parte del camino. Vamos a montar un proxy remoto y lo vamos a “tunelizar” a través de SSH.

Lo primero es presuponer de nuevo que disponemos de una máquina Linux accesible desde el exterior por SSH, por ejemplo instalada en casa y con permisos de paso a través del router para el puerto 22/TCP. Un router del tipo Linksys WRT54GL de nuevo nos vale para estos menesteres. Solo tendremos que flashearlo con algún custom firmware, como DD-WRT. Así no necesitaremos tener un ordenador en casa siempre encendido.

Vamos con el portátil. Estamos conectados a través de una WiFi pública y queremos meter nuestro nombre de usuario y clave en una web sin cifrado. Lo primero sería conectarnos por SSH a nuestra máquina remota:

Vamos a ver cómo se haría con Putty para Windows.

1. Lo primero es irnos a la sección “Connection / SSH / Tunnels” y configurar allí el tunel SSH. Debemos marcar la opción “Dynamic”, escribir un puerto local libre en “Source port” y pulsar “Add”. En mi caso he elegido el puerto “8000”. La configuración debería quedarnos como en la segunda captura (pincha para ampliar):

2. Ahora, en “Session” introducimos la IP o el nombre del servidor SSH en “Host Name”, marcando “Connection type” como “SSH”. Como probablemente usemos bastante esta configuración, nos interesará guardarla añadiendo un nombre en “Saved Sessions” y pulsando a continuación “Save” (pincha para ampliar):

3. La configuración de Putty ya está. Solo nos queda configurar el navegador para que utilice nuestro tunel SSH. Para ello deberemos ir a la configuración del proxy de nuestro navegador preferido, marcar “Socks 5”, y como proxy “localhost” con el puerto que hayamos configurado en Putty. En nuestro ejemplo sería el 8000. Aquí tenéis algunos ejemplos de configuración, tanto para Internet Explorer como para Firefox (pincha para ampliar):

Ahora, cada vez que queramos hacer un canal seguro entre la red desde la que nos conectamos y una red “confiable”, solo tendremos que iniciar sesión SSH con Putty usando el perfil que hemos creado en los pasos anteriores, y establecer la configuración del proxy en el navegador.

Los usuarios habituales de Firefox deberían probar las extensiones QuickProxy (cambio rápido de proxy con un click) y FoxyProxy (soporta múltiples perfiles, permite añadir reglas y filtros, mantiene listados de páginas que deben ir por una u otra configuración… muy potente).

¡Feliz navegación!

Encendido y apagado remoto de una máquina Windows desde Linux

Vamos con una entrada rápida. ¿Quién no tiene en su casa una máquina montada con Linux y encendida 24h al día, 365 días al año?. ¿Que no la tienes?. ¡Venga ya!

(Espérate a mi super artículo sobre cómo preparar un servidor casero basado en Linux, si es que algún día lo acabo…)

Muchos de nosotros tenemos un servidor de descargas en casa montado en una máquina Linux, o incluso un router basado en Linux (como el Linksys WRT54GL), que podemos utilizar como pasarela para encender y apagar nuestro PC habitual. Supongamos que disponemos de acceso por SSH desde el exterior a nuestra máquina Linux, y que queremos encender de forma remota nuestro PC habitual para recuperar algunos documentos de su disco duro.

Necesitaremos: samba y alguna utilidad WOL:

# sudo aptitude install wakeonlan samba-client

Con esto tenemos todo el software que necesitamos. Para hacer el encendido y apagado remotos además necesitaremos conocer la IP y MAC de la máquina remota que queremos manejar.

Para despertar la máquina usaremos Wake On Lan (debe estar activado en la BIOS de la máquina a despertar):

# wakeonlan 00:11:22:33:44:55

Y para apagar de forma remota usaremos Samba:

# net rpc shutdown -t 10 -f -C “Apagando el sistema de forma remota…” -I 192.168.0.2 -U usuario%password

El parámetro “-t” expresa el tiempo de espera antes de realizar el apagado, “-f” indica forzar la terminación de todos los programas (garantiza que no se quede a la espera de algún programa y no se apague), “-I” permite establecer la IP de la máquina remota, y por último “-U” establece un usuario con permisos para realizar el apagado. Si no queremos indicar el password en el prompt podemos eliminar la última parte “%password”, y la utilidad net nos preguntará la clave al estilo sudo.

En otro capítulo veremos cómo se puede acceder a esa máquina por Terminal Server (en Windows XP: Escritorio Remoto) sin necesidad de abrir puertos en el router, y con una conexión 100% cifrada. La pista de nuevo es SSH, una herramienta con mucho poder. Pero primero veremos cómo tunelizar y activar un proxy dinámico para lo que pudieramos necesitar.

A Fondo: Hoax, Spam y Virus por email

HOAX, SPAM Y VIRUS POR EMAIL
(o cómo proteger nuestro correo de basura electrónica)

 

“Atención!!!!!!!!! No leas este artículo. Si lo haces serás maldecido por una rana africana que invocará un totem tantra de la mala suerte, destruirá tu disco duro y el Internet Explorer empezará a funcionar mal. Además serás desgraciado/a en el amor para siempre y perderás todo tu dinero. No es una broma. Esto es REAL. Pasa esta información lo más rápidamente que puedas a todos tus contactos. Es necesario que la comunidad de internautas sepan esto. Iberia y la empresa de los bolis Bic han confirmado esta información. Para salvarte envía este mensaje por lo menos a 10 personas además de a aquella que te lo envió a ti.”

 

Qué es un Hoax

Un Hoax es un mensaje de correo electrónico engañoso que se distribuye en cadena. Muchos de ellos son similares a las viejas cartas en cadena que se enviaban por correo tradicional, donde se transmitía una información y se pedía copiar y enviar de nuevo el texto a todos los conocidos del receptor.

Aunque en general los hoaxes son cadenas que contienen información falsa o engañosa, también hay otro tipo de correos que, por su comportamiento o características, son similares a éstos. Es el caso de los chistes y fotos, o de los poemas de amor y esperanza, ya sea en formato texto como en archivos de PowerPoint, de gran tamaño y que implican mover mucha información entre servidores. Puesto que también son mensajes que circulan por Internet, y que se reenvían constantemente a numerosos destinatarios, se pueden llegar a considerar hoaxes.

 

Cómo identificarlos

Los hoaxes se reconocen fácilmente, pues tan solo hace falta razonar un poco el mensaje que nos transmiten. Aunque a un internauta con pocos conocimientos le puedan parecer ciertos, basta con aplicar un poco de lógica para identificarlos.

Podemos aplicar una serie de pautas generales para detectar aquellos correos que puedan ser un hoax, y por lo tanto no deban ser reenviados como se nos sugiere en el texto. Estas pautas se basan en que la mayoría de mensajes intentan presentarse como comunicados oficiales o formales.

Ningún mensaje oficial contiene faltas de ortografía o mala redacción. Además, no se abusa de las mayúsculas o de los signos de puntuación, que son dos aspectos muy utilizados en los hoaxes para llamar la atención. Ver frases enteras en mayúsculas o varios signos de admiración para resaltar algo son señales muy claras.

Algunos mensajes hacen referencia a fechas relativas, como por ejemplo el ya clásico“Se descubrió ayer un nuevo virus…”. Puede que en una publicación tenga sentido escribir esa frase, pero desde luego en Internet, y sobre todo en un correo electrónico, la palabra ayer carece de sentido. En un texto oficial aparecerían fechas concretas, claras y sin ambigüedades.

Además, con el fin de hacerse creíbles, se incluyen nombres de fuentes importantes, y nunca se concreta exactamente cual es la información que publican esas fuentes, ni se incluyen enlaces a las mismas. Puede que incluso la empresa no tenga nada que ver con lo que se está anunciando, como por ejemplo que una empresa de montaje de ordenadores confirme un nuevo virus.

Y para acabar, puesto que cada usuario reenvía la información, ¿qué nos hace pensar que nadie ha modificado el texto que supuestamente está avalado por esas fuentes oficiales? Ya que no tenemos garantías de que la persona que nos envía el correo no lo haya modificado, no podemos fiarnos de esas fuentes que tanto aseguran que el contenido es verídico. En caso de que se trate de un comunicado oficial, nunca se nos pedirá reenviar la información a nadie.

 

Tipos de Hoaxes

Hay numerosos tipos de hoaxes, desde notificaciones de virus falsos hasta cadenas de la suerte o promociones inexistentes de productos. Casi todos se pueden clasificar bajo las siguientes categorías:

  • Alertas de Virus: Suelen anunciar nuevos virus con efectos sumamente destructivos, y fuentes conocidas confirman la información. Sin embargo, si nos dirigimos a la página web de esas fuentes, no encontraremos referencia alguna al suceso. Por lo general, las notificaciones de virus que circulan por email son falsas, por lo que no deberemos reenviarlas. Si estamos especialmente interesados en el tema, lo mejor es suscribirse a un boletín de noticias que nos enviará información periódica sobre las últimas noticias relacionadas con el mundo de los virus.
  • Cadenas de solidaridad: Se intenta convencer al lector para que reenvíe el mensaje bajo el pretexto de que realiza una labor social importante. Hay algunas cadenas de este tipo que son ciertas, pero su número es muy reducido. Realmente, reenviando este tipo de email no se ayuda a nadie, por lo que lo mejor es borrarlos directamente.
  • Cadenas de la suerte: Son el equivalente a las clásicas cadenas enviadas por correo postal. Suelen contener frases de tipo “Fulanito no reenvió esta carta y al de dos días murió a consecuencia de un grave accidente a manos de su vehículo, sin embargo Menganito la envió y le tocó la lotería”. Evidentemente son siempre mentira y no deben reenviarse.
  • Leyendas urbanas: Son las clásicas leyendas transmitidas tradicionalmente de boca en boca, que ahora se escriben en un correo electrónico y se reenvían a la lista de contactos. Son tan increíbles como falsas.
  • Regalos y promociones de grandes compañías: Estos son uno de los más increíbles. ¿Cómo es posible que la compañía que supuestamente ofrece la promoción sepa que hemos reenviado el email para que nos envíen el premio o entremos en el sorteo? En algunos se nos pide además enviarlo a una dirección concreta para saber que hemos hecho el reenvío. Esto se hace con el fin de bombardear un buzón de correo de la compañía y así dañarla, o como mínimo molestar.
  • Mensajes contra los Hoaxes: Estos no son en sí hoaxes, pero funcionan como tales. Desde hace un tiempo empezaron a circular unos mensajes donde se tomaba el pelo a la gente que enviaba hoaxes. La idea nació con la intención de dar a conocer las mentiras que se esconden detrás de esos correos, y que al final se han convertido en lo que pretendían evitar.

 

Los peligros de los Hoaxes

Parece que un correo con información falsa no puede hacer demasiado mal. Sin embargo, la realidad es muy diferente. Los hoaxes tienen unos propósitos muy concretos, como conseguir direcciones de correo para practicar el Spam (envío de publicidad no solicitada) o atacar la imagen de personas, compañías u organizaciones.

Una persona que envíe alrededor de 10 mensajes de este tipo al día, a unas 20 personas puede llegar a mover unos 10MB de información inservible a través de Internet, puesto que su envío en la “oficina de correos” de su proveedor se multiplica por 20 para enviarse a cada una de las cuentas de destino. Además, teniendo en cuenta que últimamente predominan los hoaxes con imágenes, o con presentaciones de PowerPoint, los envíos pueden ser muy grandes, con lo que contribuimos a saturar aun más la red de redes.

Hay mensajes que se valen del miedo de la gente hacia algún tema en particular, como los que aparecieron tras el fatídico suceso de las Torres Gemelas el 11-S.

Otros consiguen, mediante una serie de argumentos, que el usuario borre archivos de su sistema haciéndole creer que se trata de un virus. En algunas ocasiones, los archivos que eliminamos pueden ser críticos para que el sistema operativo funcione correctamente.

Una de las tendencias que se observan últimamente es atacar a empresas o personas anunciando sucesos que no son ciertos, normalmente para eliminar competencia, como venganza o por envidia. Las consecuencias que sufren los atacados son varias, desde cartas, emails, llamadas telefónicas o incluso la necesidad de recurrir a abogados para desmentir las afirmaciones. Por ejemplo, por la red circula un hoax que vincula al grupo musical La Oreja de Van Gogh con la banda terrorista ETA. Incluso se puede realizar doble juego atacando a una persona y firmando el texto con el nombre de otra, con el fin de enfrentarles entre sí.

 

Cómo actuar ante algo que parece un hoax

Lo primero que debemos hacer es cambiar esa filosofía de “no se si es cierto, pero por si acaso lo envío” por una más apropiada “no se si es cierto, pero por si acaso NO lo envío”. Si no estamos seguros de la veracidad de la información, lo mejor será no enviar nada.

Podemos comprobar si se trata de un hoax comprobando algunas de las características listadas arriba, que en resumen son:

  • Se nos pide reenviar
  • Se habla de un virus sin cura o con capacidades destructivas fuera de lo normal (no hay ningún virus sin cura)
  • Se nos asegura que con el reenvío contribuimos a una buena causa (no es posible que comprueben si hemos reenviado o no)
  • Promete un regalo que obtendremos al reenviar (es el mismo caso que el punto anterior)
  • Abusa de las mayúsculas o de los signos de puntuación (exclamaciones, interrogantes múltiples)
  • No están firmados o poseen firmas de dudosa veracidad (en ningún caso firma digital, la única fiable)
  • Se nos asegura una catástrofe si no son reenviados (supersticiones irracionales)
  • No poseen enlaces a las fuentes oficiales de donde supuestamente se ha extraído la información que contienen

Y si aun nos quedan dudas, podemos dirigirnos a sitios especializados como Rompecadenas, VS Antivirus, Virus Attack! o Urban Leyends and Folklore para buscar más información.

Tanto si dudamos como si hemos confirmado que sea un hoax, no deberemos reenviarlo. En caso de haber comprobado que es un hoax, deberíamos informar al que lo envió sobre el tema.

Hay gente que al recibir un hoax responde con insultos o con un tono no apropiado. Sin embargo, con esto lo que conseguiremos es que esa persona no nos envíe más por miedo a que le volvamos a insultar, pero seguirá enviando al resto de su libreta.

Lo que debemos hacer es enviar un correo informativo donde se explique que se trata de un hoax que no debe ser reenviado. Se puede poner un link a este artículo, o remitirle a sitios especializados como Rompecadenas donde podrá encontrar más información sobre el tema y aprenderá algo nuevo.

 

Los Hoaxes y su relación con el Spam

Uno de los propósitos de los hoaxes es conseguir direcciones de email para crear bases de datos de direcciones válidas, que luego se venden para enviar correo publicitario no solicitado.

Los spammers compran estas listas para obtener direcciones y realizar su labor de envío de publicidad y basura que llegan a saturar los casilleros de las cuentas de correo. Aquí vemos como los hoaxes y el spam son totalmente dependientes el uno del otro para poder existir.

Una dirección de correo que esté incluida en alguna lista de spammers puede recibir unos 50 correos diarios no solicitados, e incluso más. Además de las molestias que supone recibir este tipo de correos, tendremos que desperdiciar tiempo en seleccionar los mensajes que nos interesan entre toda la basura recibida, y gastamos dinero en concepto de tiempo de conexión al descargar decenas de mensajes que no queremos.

No es de extrañar que una vez recibido un hoax con nuestra dirección visible empecemos a recibir correos spam. La única solución que tenemos es cambiar la dirección de correo por otra nueva para dejar de recibir este tipo de correos.

Se puede encontrar más información sobre el tema del Spam en un artículo de este mismo portal y en la lista de enlaces que se encuentra más abajo.

 

Los Hoaxes y su relación con los Virus

Los virus que al ser ejecutados se reenvían por correo electrónico automáticamente han evolucionado con el impacto que está teniendo los hoaxes en Internet. Empezaron obteniendo las direcciones de correo de la libreta de direcciones, pero gracias a la abundancia de hoaxes, los virus se aprovecharon de la situación y empezaron a obtener las direcciones de correo no solo de la libreta de contactos, sino de las bandejas de correo, donde se pueden encontrar hoaxes, que son una gran fuente de direcciones de correo.

Por ello, guardar este tipo de mensajes ayuda a la propagación de virus, y por lo tanto aumenta las catástrofes que se puedan producir por su acción destructiva. Lo mejor es no conservar los hoaxes recibidos.

 

Cómo reenviar correctamente un correo

Si a pesar de las advertencias queremos reenviar un correo porque nos resulta gracioso o curioso, deberemos tomar una serie de medidas para no comprometer las direcciones de correo.

Normalmente los emails llegan con una lista considerable de direcciones en el cuerpo del mensaje que deberemos eliminar. Para ello haremos click en el botón “reenviar” y eliminaremos a mano todos los encabezados de los reenvíos que son los que contienen las direcciones. Así evitamos que se sigan propagando a más personas.

Una vez que el mail solo contiene el texto que queremos enviar solo nos queda introducir nuestros destinatarios. Tanto los programas de correo como los webmails contienen tres campos diferentes donde introducir las direcciones de correo: Para, CC y CCO. El primero es el habitual, el que utilizamos todos. El segundo envía una copia del email original (Carbon Copy). El tercero, también llamado BCC (Blind Carbon Copy) se utiliza para que ninguno de los destinatarios sea capaz de ver las direcciones de destino, tanto de los demás como de la suya propia. Ésta es la opción que nos interesa. Bastará con introducir todas las direcciones de destino en el campo BCC para que nadie las pueda ver. De esta forma el correo solo revelará nuestra dirección.

Para proteger nuestra propia dirección podemos realizar un pequeño truco que evitará que un programa pueda recogerla. Si nuestra dirección es micorreo@terra.es podemos establecer que realmente es micoESTONOVALErreo@terra.es en la configuración del programa de correo. Así un individuo que nos quiera enviar una contestación verá el mensaje y eliminará las letras en mayúscula, obteniendo la dirección correcta. Sin embargo, un programa automatizado tomará la dirección completa, que realmente no existe, y fallará en el envío de spam.

 

Conclusiones

La frase que debemos tener en la cabeza es “No se si es cierto, así que por si acaso NO lo envío”. Si dudamos de un correo, bastará con echar un vistazo a las características de los hoaxes expuestas más arriba, o consultar alguna de las direcciones web especializadas en el tema para sacarnos de dudas. No debemos hacer caso de cualquier mensaje que nos pida realizar algún tipo de operación en nuestro ordenador, ni de promociones increíbles, ni de videos maravillosos que aparecen como por arte de magia al reenviar el correo. En general, no deberemos enviar ningún mensaje en el que se nos pida que sea reenviado. Por una Internet libre de basura, ¡atrévete a romper las cadenas!

CaspaServer HOWTO (o como montar un servidor en casa)

El siguiente artículo lo escribí para un amigo hará ya unos dos años. En principio lo hice para ilustrar a un buen amigo mío, que quería montar un servidor casero similar al que yo tenía en lo alto de un armario. Así que para ayudarle a él escribí lo siguiente, que quizá ayude ahora a más gente. Dice así:

—————————–

Bienvenidos al curso de administración remota CaspaServer. En él aprenderán las diferentes técnicas para administrar remotamente su servidor CaspaServer v1.0 basado en Windows 2000 Server e instalar servicios. Más adelante explicaremos como hacer esto mismo con sistemas operativos a los que estamos más acostumbrados, como pueda ser un Windows 2000 Pro o un Windows XP Pro, pero en principio vamos con el Server ya que esto nos va a dar posibilidades para hacer otro tipo de cosas en un futuro.

Qué es un caspaserver
Un caspaserver es un pc casposo subido en algún armario encendido con el fin de funcionar a modo de servidor de Internet o de la propia intranet hogareña.

Para qué sirve
El caspaserver nos puede servir para tener nuestro propio servidor web en casa, aprovechando la adsl que pagamos religiosamente mes a mes. También podemos usarlo como servidor ftp, servidor de correo, servidor wins, servidor dhcp, router nat, o simplemente como pc de descargas.

Un buen caspaserver, por definición, no tendrá monitor ni teclado, por lo que podrá dejar tirado en algún recóndito lugar de nuestra casa, allá donde no moleste, y manejarlo remótamente desde nuestro pc habitual, por lo que la administración remota es uno de los platos fuertes de este artículo.

Instalando nuestro caspaserver
Lo primero que deberemos hacer será decidir el método para manejar el CaspaServer de forma remota. Las opciones en el mercado son muchas y variadas: escritorio remoto de Windows XP, Anywhere, VNC. Sin embargo, la que recomendamos en este curso es Terminal Server, incluído de serie en Windows 2000 Server.

Terminal Server es un servidor que nos permite manejar el CaspaServer desde otro ordenador como si estuvieramos trabajando directamente con él. El teclado y ratón se transmiten por red hasta el CaspaServer, que devuelve la imagen también por red al ordenador cliente que estemos manejando, para ser mostrada en su pantalla. Se trata de un telnet en modo gráfico.

Para disponer de Terminal Server deberemos instalar Windows 2000 Server en el CaspaServer. La instalación no difiere apenas respecto a Windows 2000 Pro, pero no debemos olvidarnos de seleccionar el componente “Servicios de Terminal Server” y configurarlo en modo “Administración Remota” cuando se nos pregunte, un poco más adelante en la propia instalación de Windows 2000 Server.

También podemos aprovechar ya instalar otros servicios que puedan resultar de interés, relacionados con IIS (Internet Information Server) como por ejemplo servidor web o servidor ftp, aunque para este último, el curso de administración remota CaspaServer v1.0 recomienda utilizar en su lugar un programa llamado BulletProof FTP Server de pago, o bien la herramienta gratuíta FileZilla Server, clon del anterior. El servidor web de IIS también puede ser sustituido por el conocido servidor web de libre distribución llamado Apache, que será tratado más adelante.

Una vez que la instalación de Windows 2000 Server haya concluído, tendrá que crear los disquetes del programa Cliente de Terminal Server, necesario para manejar remotamente el CaspaServer. Para ello dirígase al Panel de Control/Herramientas administrativas/Creador de cliente de Servicios de Terminal Server, y prepare dos disquetes en blanco. Una vez creados los disquetes utilícelos para instalar el Cliente de Terminal Server en aquellos ordenadores desde lo que desea manejar el CaspaServer.

Aprovechando que aun se encuentra trabajando físicamente con el CaspaServer, compruebe la correcta configuración de la red e instale aquellos programas que considere necesarios. Nótese que cualquier operación que quiera realizar físicamente la podrá hacer también remotamente gracias a Terminal Server, sólo que la respuesta de Terminal Server es ligeramente más retardada que cuando trabaja directamente con una pantalla y teclado conectados al CaspaServer. Aproveche ahora para instalar programas como BulletProof FTP Server si desea disponer de un servidor FTP, eMule o BitTorrent si desea descargar archivos de redes p2p, o Flashget para esas grandes descargas via web que desearía poder hacerlas desde el CaspaServer. También puede instalar complementos para su servidor de páginas web, como por ejemplo motores de bases de datos SQLServer o MySQL, o preprocesadores de scripts de PHP, ASP.NET o JSP/JavaBeans/Servets. Sin embargo, esto merece mención aparte y será tratado en una futura segunda entrega del curso de administración remota CaspaServer.

Las últimas operaciones que deberemos hacer antes de desconectar definitivamente teclado, ratón y pantalla del CaspaServer serán comprobar que efectivamente la red está correctamente configurada y por lo tanto podemos entrar en él mediante Terminal Server desde otro ordenador, y desactivar en la BIOS la parada por errores, para evitar que el CaspaServer espere indefinidamente la pulsación de la tecla F1 al no detectar teclado o pantalla. Esta opción se encuentra dentro de la sección ‘Standard CMOS Setup’, y se llama ‘Error Halt’, en la que deberemos seleccionar ‘No Errors’. Una vez realizados estos últimos puntos ya tendremos el CaspaServer listo para funcionar de forma autónoma. Retiramos teclado, ratón y pantalla, y dejamos a nuestro CaspaServer sólo con alimentación y cable de red (o tarjeta Wireless) colocado en cualquier rincón de nuestra casa, como por ejemplo tumbado encima de un armario.

A partir de ese momento el manejo del CaspaServer se realiza de forma análoga a un ordenador normal, solo que mediante el Cliente de Terminal Server, y suponiendo que nuestros lectores ya conocían el manejo de las utilidades típicas aquí presentadas (Flashget, eMule…), el uso del CaspaServer llegado a este punto no acarrea misterio alguno.

Feliz Administración!!

Configurando nuestro router
Dada la proliferación de conexiones ADSL con router que existen en España, el administrador del caspaserver probablemente se encuentre con que los servicios que con ilusión y esfuerzo ha configurado no son accesibles desde el exterior. Esto se debe a que nuestro router cierra todo el tráfico entrante, rechazando toda petición desconocida.

Para poder hacer visible desde el exterior nuestro servidor web ó ftp deberemos irnos a la configuración de nuestro router y abrir el puerto correspondiente (80 para web, 21 para ftp, 23 para telnet…). Asimismo tendremos que indicar la ip privada de nuestro caspaserver hacia el que tendrá que redirigir la petición.

Cada router es un mundo, y dependiendo de la marca y modelo del que poseamos los nombres varían, la forma de acceder o configurar también, por lo que desde este tutorial le remitimos al manual de su router o a foros especializados para aprender a abrir puertos. Se trata de un paso fundamental, así que procure familiarizarse con estos prodecimientos antes de continuar.

Usando nuestro servidor web IIS
El servidor web incluido en Windows 2000 Server, llamado Internet Information Server, ya habrá sido instalado en los pasos previos si ha seguido correctamente este curso de iniciación. El servidor inicia automáticamente junto con el ordenador, y no requiere configuración o intervención por parte del administrador para su uso normal.

Si es un lector sagaz habrá comprobado como un nuevo y extraño directorio ha crecido en su disco duro. La ubicación es c:inetpub, y dentro de este directorio se encontrará otro con un nombre tan peculiar como ‘wwwroot’. Esa es la raiz de nuestro servidor web, y para publicar una web, colgar un archivo o guardar una foto para mostrar en este u otros foros no tendrá más que copiarla dentro de ese directorio.

Recomendamos sin embargo hacer una clasificación inteligente de los archivos que en él se van almacenando, ya que con el paso del tiempo el caos se adueñará de su caspaserver y ya no sabrá que vale y que no. Cree un directorio ‘imagenes’ para sus imagenes, un directorio ‘files’ para los archivos que quiera poner a disposición del público, y un directorio por cada página web que quiera colgar. Esto hará mucho más fácil la administración y revisión de los contenidos del servidor web.

Extendiendo las posibilidades del servidor web: PHP y MySQL
— Proximamente —