Filtración de contraseñas en 000webhost

Me acaba de saltar una alerta de have i been pwned? sobre una nueva filtración de contraseñas.

Estamos hablando de la friolera de 13 millones de contraseñas en claro filtradas de la base de datos de usuarios de 000webhost, uno de los proveedores de hosting gratuito más habituales.

La base de datos de contraseñas se filtró en marzo de 2015, y desde entonces se ha estado vendiendo en foros por un precio de unos $2.000. Que se venda significa que aquellos que la hayan comprado esperan obtener un retorno económico de ello. Dicho de otra manera, esperan que las víctimas hayan reutilizado sus contraseñas de 000webhost en otros sitios de Internet y puedan robarte dinero de alguna manera.

Lo peor de todo este asunto es la estrategia seguida por 000webhost cuando el investigador de seguridad Troy Hunt les informó de ello: le ignoraron completamente y no avisaron a sus clientes. 000webhost ha reseteado silenciosamente las contraseñas de todos sus clientes, pero no les ha advertido de que, si han reutilizado su contraseña en otros sitios, pueden estar gravemente expuestos. En ese sentido, la actuación de 000webhost ha sido lamentable.

Si tienes cuenta en 000webhost y has reutilizado la contraseña en otros sitios de Internet, ve y cambia tus credenciales en todos esos sitios ahora mismo.

Si quieres leer más sobre la nefasta gestión de 000webhost ante el incidente, aquí tienes la investigación completa de Troy Hunt:

Breaches, traders, plain text passwords, ethical disclosure and 000webhost

Charla “Seguridad en Aplicaciones Web”

Este año voy a dar una charla dentro del programa de cursos de verano que organiza el grupo e-ghost en la Universidad de Deusto. Estos son los datos básicos de la convocatoria:

  • Tema: Seguridad en Aplicaciones Web
  • Fecha: 17 de julio, 12:00
  • Lugar: Bilbao, Facultad de Ingeniería de la Universidad de Deusto, aula 105L
  • Duración: 2 horas

En la charla analizaremos las 10 debilidades de seguridad más comunes que se cometen durante el desarrollo de una aplicación web, con ejemplos de cómo se podrían explotar y qué impacto tendrían en el negocio.

Analizaremos fugas de información, inyección de código en formularios, falsificación de peticiones, debilidades de autenticación, y mucho más. ¿Te lo vas a perder?

Para asistir hay que inscribirse previamente. Puede asistir cualquier persona, pero si se llena tendrán prioridad los alumnos y ex-alumnos de la Universidad de Deusto.

Los cursos de verano del grupo e-ghost se van a impartir del 13 al 24 de julio en la Facultad de Ingeniería de la Universidad de Deusto, en Bilbao. Puedes ver el programa completo aquí:

Hay charlas y talleres muy interesantes. ¡Anímate!

Actualización: Ya puedes consultar las transparencias utilizadas en la charla:

Muchas gracias a todos por asistir.

Sobre los 5 millones de contraseñas de Gmail

El pasado 10 de septiembre se desataba la noticia de que se habían filtrado nada menos que 5 millones de contraseñas de Gmail en claro. Rápidamente todos los medios de comunicación especializados se hicieron eco de la noticia y la alarma corrió por foros y redes sociales. Más tarde Google emitió un comunicado indicando que sus sistemas no habían sido vulnerados, y desde entonces nada más se ha vuelto a saber.

La sospecha es que las contraseñas no habían salido de Google, sino de algún otro sitio en Internet menos protegido. Digamos del “Blog Pepe”. La noticia también apuntaba a que, probada una pequeña muestra de la filtración, se podía inferir que el 60% de las contraseñas publicadas eran válidas en Gmail. Esto significa que al menos el 60% de las personas de esa lista utiliza la misma contraseña en Gmail que en “Blog Pepe”.

El listado de cuentas comprometidas se puede encontrar fácilmente en Internet. El listado completo con contraseñas no es mucho más difícil de conseguir. Yo he dado con él, y me he permitido cargarlo en un SQLite para sacar el Top 20 de contraseñas más utilizadas. Ahí va:

TOP 20 de Contraseñas

Posición

Contraseña Apariciones

1

123456 23116
2 password 5569
3 123456789 5379
4 12345 3974
5 qwerty 2922
6 12345678 2491
7 111111 1682
8 abc123 1499
9 123123 1476
10 1234567 1352
11 1234567890 1343
12 iloveyou 925
13 1234 923
14 password1 895
15 27653 889
16 000000 808
17 zaq12wsx 738
18 monkey 722
19 qwerty123 717
20 tinkle 716

De este listado se pueden extraer varias conclusiones:

  • La contraseña más utilizada es “123456”, seguida de “password”.
  • La mayor parte de las contraseñas son exclusivamente numéricas, las más fáciles de reventar por fuerza bruta.
  • Prácticamente todas representan secuencias sobre el teclado, y no sólo “123456” y derivados, sino también “qwerty” y “zaq12wsx”.
  • En general, las contraseñas son muy cortas, entre 6 y 8 caracteres.
  • Las que no son números ni secuencias son palabras del diccionario.

Las filtraciones de contraseñas están a la orden del día. En este caso la filtración no parece proceder de los sistemas de Google, pero en ocasiones pasadas se han visto comprometidos muchos sistemas de grandes compañías como Adobe (152 millones), mail.ru (casi 5 millones), Forbes (1 millón), Yahoo (medio millón), Vodafone (56.021), Sony (37.103) y muchos más. Puedes comprobar si tu cuenta está afectada visitando have I been pwned?

Siento decirte que si tu cuenta aparece en la filtración de Gmail, o en cualquier otra, tu email va a pasar a estar en las listas de los spammers de todo el mundo. Prepárate para recibir SPAM como un bellaco.

Y a continuación algunos consejos para minizar daños en el futuro:

  • Utiliza contraseñas únicas. No puedes evitar que un sitio web se vea comprometido, pero al menos puedes evitar que la información que extraigan sirva para acceder a otros servicios donde estés registrado. Utiliza una contraseña diferente en cada sitio web en el que te registres, o como mínimo hazlo en los sitios importantes.
  • Utiliza contraseñas complejas. Sobre todo en los servicios importantes. Asegúrate de que tengan más de 12 caracteres y que incluyan números, letras mayúsculas y minúsculas, y algún símbolo.
  • Tu cuenta de correo es la llave de muchas puertas. Protégela adecuadamente con una clave robusta y accede sólo desde ordenadores confiables, preferentemente el tuyo propio.
  • Activa la autenticación en dos pasos en todas tus cuentas. Esta opción está disponible en Google, Apple, Microsoft, Facebook, y muchos más. Te permite pasar de un escenario donde la llave es “algo que sabes” a un escenario mucho más seguro del tipo “algo que sabes + algo que tienes”.
  • Plantéate el uso de un llavero offline de contraseñas. Esto te permitirá manejar contraseñas complejas sin volverte loco, y de paso te olvidarás del típico problema de “¿qué usuario/email utilicé para registrarme en esta web?”. Tienes muchas opciones, aunque me centraré en algunas de Software Libre: KeePass para Windows, KeePassX como opción multiplataforma, y KeePassDroid para Android. Ya no tienes excusa.
  • Cambia periódicamente las contraseñas de tus cuentas principales. Tus cuentas importantes merecen un cambio de contraseña cada cierto tiempo. Si estás utilizando un llavero offline puedes incluso especificar la caducidad de la contraseña, y él mismo te avisará llegado el momento.
  • Utiliza una segunda cuenta de correo destinada exclusivamente como método de recuperación de tus cuentas principales. Prácticamente cualquier servicio importante permite introducir una segunda cuenta de correo para recuperación de clave en caso de olvido o robo. Utiliza una contraseña única y almacénala en lugar seguro fuera incluso de tu llavero offline. Un trozo de papel guardado en casa servirá. En general no necesitarás acceder a ella, pero debes ser capaz de recordar dónde pusiste la clave.

Con estos consejos espero que en la próxima filtración os veáis menos expuestos.

OpenSSL Heartbleed, descripción gráfica

A veces es difícil explicar una vulnerabilidad a alguien que no tiene muchos conocimientos sobre seguridad. Cuando esto ocurre, una imagen suele funcionar mejor que una explicación técnica.

Esta imagen la he encontrado hoy y me ha encantado:

heartbleed_explanationRecordad que las versiones afectadas son:

  • OpenSSL 1.0.1 – 1.0.1f
  • OpenSSL 1.0.2-beta

Y que las siguientes versiones NO están afectadas:

  • OpenSSL 0.9.8 (all branches)
  • OpenSSL 1.0.0 (all branches)
  • OpenSSL 1.0.1g

Para actualizar en Ubuntu/Debian:

Si vuestro servidor utiliza OpenVPN-AS, que sepáis que utiliza sus propias librerías que tendréis que actualizar de forma independiente. Más información aquí:

OpenVPN Docs: Heartbleed vulnerability on Access Server 1.8.4 –> 2.0.5

Otros enlaces de interés:

Página oficial OpenSSL Heartbleed

Heartbleed Test

 

Asterisk Honeypot

Aprovechando la facilidad con la que puedo crear máquinas virtuales en Proxmox, estos días he montado un segundo Asterisk para capturar ataques. Esto es lo que se llama Honeypot, un servicio o máquina montada como si fuera real, pero que tiene como objetivo obtener información de vectores de ataque y atacantes potenciales.

Los requisitos planteados son los siguientes:

  • Asterisk con configuración SIP segura (allowguest=no y alwaysauthreject=yes)
  • Puerto SIP por defecto para maximizar el número de escaneos (5060/UDP)
  • Un usuario/extensión con contraseña
  • Por supuesto sin proveedores configurados ni posibilidad de hacer llamadas reales
  • Fail2ban para monitorizar los ataques y crujir atacantes

De momento lleva 24h funcionando, y en este tiempo sólo he recibido 25 ataques de 2 atacantes diferentes:

 Lo cierto es que esperaba mucho mayor volumen de atacantes, ya que un servidor SIP vulnerable con posibilidad de enrutar llamadas reales es un objetivo muy goloso. Por ejemplo, por SSH, la cantidad de gente realizando escaneos es inmensa.

Estoy incluso planteándome dejar esta máquina activa de forma permanente, ya que al estar en el puerto SIP por defecto distrae la atención frente al verdadero servidor SIP.

Seguiremos informando de los resultados en esta misma entrada.

Descifrar hashes MD5 con John the Ripper y Raw-MD5

John the Ripper es una conocida herramienta de auditorías de seguridad, muy utilizada para (ejem ejem) comprobar si nuestras claves son robustas. Para ello se le proporciona un fichero de entrada con los hashes de las claves que queremos obtener comprobar, y opcionalmente un diccionario o juego de caracteres con los que realizar las pruebas.

John the Ripper no soporta de serie el tratamiento de passwords en formato MD5 simple. Es decir, no soporta un archivo de claves con formato “nombre:clave” como el utilizado en passwd. Un ejemplo:

pepe:7ef0b3c0aa6339c701ff370795873628
juan:5fc6c5c2aecd3a419109cb34ccb7da70
jorge:b662c2e331741ada2770cb885b3f696a

Para que John the Ripper funcione con este formato necesitamos parchear su código fuente con Raw-MD5, y después compilar.

Descargar lo necesario

Vamos a utilizar John the Ripper 1.7.2 y el parche Raw-MD5 para 1.7:

$ wget http://www.openwall.com/john/f/john-1.7.2.tar.gz
$ wget ftp://ftp.openwall.com/pub/projects/john/contrib/john-1.7-rawmd5-ipb2-4.diff.gz

Parchear

Descomprimimos ambos archivos y parcheamos el código fuente:

$ tar zxvf john-1.7.2.tar.gz
$ gunzip
john-1.7-rawmd5-ipb2-4.diff.gz
$ cd john-1.7.2
$ patch -p1 < ../
john-1.7-rawmd5-ipb2-4.diff

Compilar

A continuación compilamos el código fuente ya modificado. Con la primera llamada a “make” visualizaremos un listado de plataformas, donde deberemos elegir la que mejor se ajuste a nuestro sistema para la segunda llamada. En mi caso, la mejor es “linux-x86-sse2”:

$ cd src
$ make
$ make clean linux-x86-sse2

El código fuente no tiene una orden “make install” para copiar los binarios a nuestro sistema. En su lugar, se crea un directorio “run” al mismo nivel que “src” que contiene el resultado de la compilación. Podemos mover este directorio libremente a una ubicación mejor y borrar el código fuente si no lo vamos a necesitar más.

Ejecutar

Vamos a suponer que tenemos un archivo “/home/usuario/claves.txt” con el contenido que aparece en el párrafo introductorio del artículo. Para procesar sus claves haríamos la siguiente llamada:

$ ./john –format=raw-MD5 /home/usuario/claves.txt

Tunelizando un proxy a través de SSH

Imagínate que estás con tu portátil en el aeropuerto, en un bar, en la calle, o en cualquier otro lugar remoto. Imagínate que estás conectado a Internet a través de una WiFi sin encriptación o de la que no te fías un pelo, y quieres consultar tu correo o entrar en una web que no utiliza cifrado. ¿Qué haces?

Conectarte a una WiFi libre y/o pública tiene su encanto, pero también tiene sus riesgos. Cualquiera de los otros usuarios de la red puede monitorizar todas tus comunicaciones, y partiendo de la base que hay mucho cabrón suelto, mejor curarse en salud. Si la página web que queremos visitar no utiliza cifrado (HTTPS) se lo vamos a poner nosotros. Al menos durante parte del camino. Vamos a montar un proxy remoto y lo vamos a “tunelizar” a través de SSH.

Lo primero es presuponer de nuevo que disponemos de una máquina Linux accesible desde el exterior por SSH, por ejemplo instalada en casa y con permisos de paso a través del router para el puerto 22/TCP. Un router del tipo Linksys WRT54GL de nuevo nos vale para estos menesteres. Solo tendremos que flashearlo con algún custom firmware, como DD-WRT. Así no necesitaremos tener un ordenador en casa siempre encendido.

Vamos con el portátil. Estamos conectados a través de una WiFi pública y queremos meter nuestro nombre de usuario y clave en una web sin cifrado. Lo primero sería conectarnos por SSH a nuestra máquina remota:

Vamos a ver cómo se haría con Putty para Windows.

1. Lo primero es irnos a la sección “Connection / SSH / Tunnels” y configurar allí el tunel SSH. Debemos marcar la opción “Dynamic”, escribir un puerto local libre en “Source port” y pulsar “Add”. En mi caso he elegido el puerto “8000”. La configuración debería quedarnos como en la segunda captura (pincha para ampliar):

2. Ahora, en “Session” introducimos la IP o el nombre del servidor SSH en “Host Name”, marcando “Connection type” como “SSH”. Como probablemente usemos bastante esta configuración, nos interesará guardarla añadiendo un nombre en “Saved Sessions” y pulsando a continuación “Save” (pincha para ampliar):

3. La configuración de Putty ya está. Solo nos queda configurar el navegador para que utilice nuestro tunel SSH. Para ello deberemos ir a la configuración del proxy de nuestro navegador preferido, marcar “Socks 5”, y como proxy “localhost” con el puerto que hayamos configurado en Putty. En nuestro ejemplo sería el 8000. Aquí tenéis algunos ejemplos de configuración, tanto para Internet Explorer como para Firefox (pincha para ampliar):

Ahora, cada vez que queramos hacer un canal seguro entre la red desde la que nos conectamos y una red “confiable”, solo tendremos que iniciar sesión SSH con Putty usando el perfil que hemos creado en los pasos anteriores, y establecer la configuración del proxy en el navegador.

Los usuarios habituales de Firefox deberían probar las extensiones QuickProxy (cambio rápido de proxy con un click) y FoxyProxy (soporta múltiples perfiles, permite añadir reglas y filtros, mantiene listados de páginas que deben ir por una u otra configuración… muy potente).

¡Feliz navegación!

A Fondo: Hoax, Spam y Virus por email

HOAX, SPAM Y VIRUS POR EMAIL
(o cómo proteger nuestro correo de basura electrónica)

 

“Atención!!!!!!!!! No leas este artículo. Si lo haces serás maldecido por una rana africana que invocará un totem tantra de la mala suerte, destruirá tu disco duro y el Internet Explorer empezará a funcionar mal. Además serás desgraciado/a en el amor para siempre y perderás todo tu dinero. No es una broma. Esto es REAL. Pasa esta información lo más rápidamente que puedas a todos tus contactos. Es necesario que la comunidad de internautas sepan esto. Iberia y la empresa de los bolis Bic han confirmado esta información. Para salvarte envía este mensaje por lo menos a 10 personas además de a aquella que te lo envió a ti.”

 

Qué es un Hoax

Un Hoax es un mensaje de correo electrónico engañoso que se distribuye en cadena. Muchos de ellos son similares a las viejas cartas en cadena que se enviaban por correo tradicional, donde se transmitía una información y se pedía copiar y enviar de nuevo el texto a todos los conocidos del receptor.

Aunque en general los hoaxes son cadenas que contienen información falsa o engañosa, también hay otro tipo de correos que, por su comportamiento o características, son similares a éstos. Es el caso de los chistes y fotos, o de los poemas de amor y esperanza, ya sea en formato texto como en archivos de PowerPoint, de gran tamaño y que implican mover mucha información entre servidores. Puesto que también son mensajes que circulan por Internet, y que se reenvían constantemente a numerosos destinatarios, se pueden llegar a considerar hoaxes.

 

Cómo identificarlos

Los hoaxes se reconocen fácilmente, pues tan solo hace falta razonar un poco el mensaje que nos transmiten. Aunque a un internauta con pocos conocimientos le puedan parecer ciertos, basta con aplicar un poco de lógica para identificarlos.

Podemos aplicar una serie de pautas generales para detectar aquellos correos que puedan ser un hoax, y por lo tanto no deban ser reenviados como se nos sugiere en el texto. Estas pautas se basan en que la mayoría de mensajes intentan presentarse como comunicados oficiales o formales.

Ningún mensaje oficial contiene faltas de ortografía o mala redacción. Además, no se abusa de las mayúsculas o de los signos de puntuación, que son dos aspectos muy utilizados en los hoaxes para llamar la atención. Ver frases enteras en mayúsculas o varios signos de admiración para resaltar algo son señales muy claras.

Algunos mensajes hacen referencia a fechas relativas, como por ejemplo el ya clásico“Se descubrió ayer un nuevo virus…”. Puede que en una publicación tenga sentido escribir esa frase, pero desde luego en Internet, y sobre todo en un correo electrónico, la palabra ayer carece de sentido. En un texto oficial aparecerían fechas concretas, claras y sin ambigüedades.

Además, con el fin de hacerse creíbles, se incluyen nombres de fuentes importantes, y nunca se concreta exactamente cual es la información que publican esas fuentes, ni se incluyen enlaces a las mismas. Puede que incluso la empresa no tenga nada que ver con lo que se está anunciando, como por ejemplo que una empresa de montaje de ordenadores confirme un nuevo virus.

Y para acabar, puesto que cada usuario reenvía la información, ¿qué nos hace pensar que nadie ha modificado el texto que supuestamente está avalado por esas fuentes oficiales? Ya que no tenemos garantías de que la persona que nos envía el correo no lo haya modificado, no podemos fiarnos de esas fuentes que tanto aseguran que el contenido es verídico. En caso de que se trate de un comunicado oficial, nunca se nos pedirá reenviar la información a nadie.

 

Tipos de Hoaxes

Hay numerosos tipos de hoaxes, desde notificaciones de virus falsos hasta cadenas de la suerte o promociones inexistentes de productos. Casi todos se pueden clasificar bajo las siguientes categorías:

  • Alertas de Virus: Suelen anunciar nuevos virus con efectos sumamente destructivos, y fuentes conocidas confirman la información. Sin embargo, si nos dirigimos a la página web de esas fuentes, no encontraremos referencia alguna al suceso. Por lo general, las notificaciones de virus que circulan por email son falsas, por lo que no deberemos reenviarlas. Si estamos especialmente interesados en el tema, lo mejor es suscribirse a un boletín de noticias que nos enviará información periódica sobre las últimas noticias relacionadas con el mundo de los virus.
  • Cadenas de solidaridad: Se intenta convencer al lector para que reenvíe el mensaje bajo el pretexto de que realiza una labor social importante. Hay algunas cadenas de este tipo que son ciertas, pero su número es muy reducido. Realmente, reenviando este tipo de email no se ayuda a nadie, por lo que lo mejor es borrarlos directamente.
  • Cadenas de la suerte: Son el equivalente a las clásicas cadenas enviadas por correo postal. Suelen contener frases de tipo “Fulanito no reenvió esta carta y al de dos días murió a consecuencia de un grave accidente a manos de su vehículo, sin embargo Menganito la envió y le tocó la lotería”. Evidentemente son siempre mentira y no deben reenviarse.
  • Leyendas urbanas: Son las clásicas leyendas transmitidas tradicionalmente de boca en boca, que ahora se escriben en un correo electrónico y se reenvían a la lista de contactos. Son tan increíbles como falsas.
  • Regalos y promociones de grandes compañías: Estos son uno de los más increíbles. ¿Cómo es posible que la compañía que supuestamente ofrece la promoción sepa que hemos reenviado el email para que nos envíen el premio o entremos en el sorteo? En algunos se nos pide además enviarlo a una dirección concreta para saber que hemos hecho el reenvío. Esto se hace con el fin de bombardear un buzón de correo de la compañía y así dañarla, o como mínimo molestar.
  • Mensajes contra los Hoaxes: Estos no son en sí hoaxes, pero funcionan como tales. Desde hace un tiempo empezaron a circular unos mensajes donde se tomaba el pelo a la gente que enviaba hoaxes. La idea nació con la intención de dar a conocer las mentiras que se esconden detrás de esos correos, y que al final se han convertido en lo que pretendían evitar.

 

Los peligros de los Hoaxes

Parece que un correo con información falsa no puede hacer demasiado mal. Sin embargo, la realidad es muy diferente. Los hoaxes tienen unos propósitos muy concretos, como conseguir direcciones de correo para practicar el Spam (envío de publicidad no solicitada) o atacar la imagen de personas, compañías u organizaciones.

Una persona que envíe alrededor de 10 mensajes de este tipo al día, a unas 20 personas puede llegar a mover unos 10MB de información inservible a través de Internet, puesto que su envío en la “oficina de correos” de su proveedor se multiplica por 20 para enviarse a cada una de las cuentas de destino. Además, teniendo en cuenta que últimamente predominan los hoaxes con imágenes, o con presentaciones de PowerPoint, los envíos pueden ser muy grandes, con lo que contribuimos a saturar aun más la red de redes.

Hay mensajes que se valen del miedo de la gente hacia algún tema en particular, como los que aparecieron tras el fatídico suceso de las Torres Gemelas el 11-S.

Otros consiguen, mediante una serie de argumentos, que el usuario borre archivos de su sistema haciéndole creer que se trata de un virus. En algunas ocasiones, los archivos que eliminamos pueden ser críticos para que el sistema operativo funcione correctamente.

Una de las tendencias que se observan últimamente es atacar a empresas o personas anunciando sucesos que no son ciertos, normalmente para eliminar competencia, como venganza o por envidia. Las consecuencias que sufren los atacados son varias, desde cartas, emails, llamadas telefónicas o incluso la necesidad de recurrir a abogados para desmentir las afirmaciones. Por ejemplo, por la red circula un hoax que vincula al grupo musical La Oreja de Van Gogh con la banda terrorista ETA. Incluso se puede realizar doble juego atacando a una persona y firmando el texto con el nombre de otra, con el fin de enfrentarles entre sí.

 

Cómo actuar ante algo que parece un hoax

Lo primero que debemos hacer es cambiar esa filosofía de “no se si es cierto, pero por si acaso lo envío” por una más apropiada “no se si es cierto, pero por si acaso NO lo envío”. Si no estamos seguros de la veracidad de la información, lo mejor será no enviar nada.

Podemos comprobar si se trata de un hoax comprobando algunas de las características listadas arriba, que en resumen son:

  • Se nos pide reenviar
  • Se habla de un virus sin cura o con capacidades destructivas fuera de lo normal (no hay ningún virus sin cura)
  • Se nos asegura que con el reenvío contribuimos a una buena causa (no es posible que comprueben si hemos reenviado o no)
  • Promete un regalo que obtendremos al reenviar (es el mismo caso que el punto anterior)
  • Abusa de las mayúsculas o de los signos de puntuación (exclamaciones, interrogantes múltiples)
  • No están firmados o poseen firmas de dudosa veracidad (en ningún caso firma digital, la única fiable)
  • Se nos asegura una catástrofe si no son reenviados (supersticiones irracionales)
  • No poseen enlaces a las fuentes oficiales de donde supuestamente se ha extraído la información que contienen

Y si aun nos quedan dudas, podemos dirigirnos a sitios especializados como Rompecadenas, VS Antivirus, Virus Attack! o Urban Leyends and Folklore para buscar más información.

Tanto si dudamos como si hemos confirmado que sea un hoax, no deberemos reenviarlo. En caso de haber comprobado que es un hoax, deberíamos informar al que lo envió sobre el tema.

Hay gente que al recibir un hoax responde con insultos o con un tono no apropiado. Sin embargo, con esto lo que conseguiremos es que esa persona no nos envíe más por miedo a que le volvamos a insultar, pero seguirá enviando al resto de su libreta.

Lo que debemos hacer es enviar un correo informativo donde se explique que se trata de un hoax que no debe ser reenviado. Se puede poner un link a este artículo, o remitirle a sitios especializados como Rompecadenas donde podrá encontrar más información sobre el tema y aprenderá algo nuevo.

 

Los Hoaxes y su relación con el Spam

Uno de los propósitos de los hoaxes es conseguir direcciones de email para crear bases de datos de direcciones válidas, que luego se venden para enviar correo publicitario no solicitado.

Los spammers compran estas listas para obtener direcciones y realizar su labor de envío de publicidad y basura que llegan a saturar los casilleros de las cuentas de correo. Aquí vemos como los hoaxes y el spam son totalmente dependientes el uno del otro para poder existir.

Una dirección de correo que esté incluida en alguna lista de spammers puede recibir unos 50 correos diarios no solicitados, e incluso más. Además de las molestias que supone recibir este tipo de correos, tendremos que desperdiciar tiempo en seleccionar los mensajes que nos interesan entre toda la basura recibida, y gastamos dinero en concepto de tiempo de conexión al descargar decenas de mensajes que no queremos.

No es de extrañar que una vez recibido un hoax con nuestra dirección visible empecemos a recibir correos spam. La única solución que tenemos es cambiar la dirección de correo por otra nueva para dejar de recibir este tipo de correos.

Se puede encontrar más información sobre el tema del Spam en un artículo de este mismo portal y en la lista de enlaces que se encuentra más abajo.

 

Los Hoaxes y su relación con los Virus

Los virus que al ser ejecutados se reenvían por correo electrónico automáticamente han evolucionado con el impacto que está teniendo los hoaxes en Internet. Empezaron obteniendo las direcciones de correo de la libreta de direcciones, pero gracias a la abundancia de hoaxes, los virus se aprovecharon de la situación y empezaron a obtener las direcciones de correo no solo de la libreta de contactos, sino de las bandejas de correo, donde se pueden encontrar hoaxes, que son una gran fuente de direcciones de correo.

Por ello, guardar este tipo de mensajes ayuda a la propagación de virus, y por lo tanto aumenta las catástrofes que se puedan producir por su acción destructiva. Lo mejor es no conservar los hoaxes recibidos.

 

Cómo reenviar correctamente un correo

Si a pesar de las advertencias queremos reenviar un correo porque nos resulta gracioso o curioso, deberemos tomar una serie de medidas para no comprometer las direcciones de correo.

Normalmente los emails llegan con una lista considerable de direcciones en el cuerpo del mensaje que deberemos eliminar. Para ello haremos click en el botón “reenviar” y eliminaremos a mano todos los encabezados de los reenvíos que son los que contienen las direcciones. Así evitamos que se sigan propagando a más personas.

Una vez que el mail solo contiene el texto que queremos enviar solo nos queda introducir nuestros destinatarios. Tanto los programas de correo como los webmails contienen tres campos diferentes donde introducir las direcciones de correo: Para, CC y CCO. El primero es el habitual, el que utilizamos todos. El segundo envía una copia del email original (Carbon Copy). El tercero, también llamado BCC (Blind Carbon Copy) se utiliza para que ninguno de los destinatarios sea capaz de ver las direcciones de destino, tanto de los demás como de la suya propia. Ésta es la opción que nos interesa. Bastará con introducir todas las direcciones de destino en el campo BCC para que nadie las pueda ver. De esta forma el correo solo revelará nuestra dirección.

Para proteger nuestra propia dirección podemos realizar un pequeño truco que evitará que un programa pueda recogerla. Si nuestra dirección es micorreo@terra.es podemos establecer que realmente es micoESTONOVALErreo@terra.es en la configuración del programa de correo. Así un individuo que nos quiera enviar una contestación verá el mensaje y eliminará las letras en mayúscula, obteniendo la dirección correcta. Sin embargo, un programa automatizado tomará la dirección completa, que realmente no existe, y fallará en el envío de spam.

 

Conclusiones

La frase que debemos tener en la cabeza es “No se si es cierto, así que por si acaso NO lo envío”. Si dudamos de un correo, bastará con echar un vistazo a las características de los hoaxes expuestas más arriba, o consultar alguna de las direcciones web especializadas en el tema para sacarnos de dudas. No debemos hacer caso de cualquier mensaje que nos pida realizar algún tipo de operación en nuestro ordenador, ni de promociones increíbles, ni de videos maravillosos que aparecen como por arte de magia al reenviar el correo. En general, no deberemos enviar ningún mensaje en el que se nos pida que sea reenviado. Por una Internet libre de basura, ¡atrévete a romper las cadenas!