La pregunta mas favorita de las personas que me conocen cuando tienen un problema en la red es: Román sabes como entrar a un hotmail, facebook, gmail? o sabes como hackear una cuenta de estas? y siempre trato de explicar lo que mi conocimiento del tema pueda expresar.

Primero que todo quiero aclarar que la información contenida en esta publicación no tiene intención de hacer daño ni enseñar cosas indebidas, al contrario conociendo ciertas técnicas usted podrá saber como evitar caer en trampas que  de mala manera se le llama hacking para robarle su cuenta.

Ahora volviendo a la pregunta mágica de si se puede hackerar estos sitios… mi respuesta es no, pero esto tiene una explicación. La definición de hacker según mi punto de vista es un programador con altos conocimientos de algoritmos e incluso con habilidad de trabajar en código de maquina (ensamblador), quien es capaz de saltar cualquier seguridad que se encuentre, es por ello que un hacker robando una cuenta no es mas que un programador capaz de entrar a uno de estos servidores, y esto sería tratando de adaptar esta definición para este caso en particular, debido a que en realidad los hackers de alto nivel son las personas responsables a quienes debemos muchas de las tecnologías que actualmente disponemos por ser ellos los mas capacitados para desarrollar los mas difíciles algoritmos informáticos.

El problema esta en que no podemos entrar a los servidores así como así, por ello se llaman servidores, un servidor es una computadora de mucha capacidad ( esto para explicarlo de forma general ) capaz de almacenar toda la información de una pagina web e incluso los correos electrónicos, pero que a su vez controla la información que va a salir a través del famoso http://www, entonces es como una inmensa caja fuerte que para entrar no es nada sencillo y partiendo del hecho de que muchos servidores están bajo linux y que los hackers han creado linux, entonces estos programadores han creado un sistema difícil de penetrar por no llamarlo imposible.

Para tener una idea mas clara, para aquellas personas que dominen poco estos términos, les voy a dar el siguiente ejemplo: imaginen una película, todos vemos la obra final, pero podemos ver como se hizo realmente? solo podemos ver esos documentales que siempre están de partes de la película, pero el real trasfondo, lo que comúnmente es  denominado tras las cortinas es totalmente invisible para nosotros ese tras las cortinas es nuestro servidor.

En resumen si piensas que puedes entrar a ver cualquier cuenta la respuesta es simple no podemos, y mucho menos en el caso de que se pudiera vamos a encontrar esa respuesta ubicada en algún portal; ahora porque no vamos a encontrar la forma de escribir un código que permita entrar a un servidor? es fácil, porque si existe alguna vulnerabilidad hallada en algún lado y divulgas como usarla en menos de lo que canta un gallo los encargados de administrar el sitio arreglaran ese bug, entonces no todos los programadores revelan sus secretos encontrados. Sin embargo, existen compañías que pagan por encontrar puntos de seguridad que pueden ser explotados lo que más rápidamente hace que sean enmendados en la mayor brevedad posible.

Ahora que sabemos que no podemos entrar escribiendo código así como cualquier cosa a un servidor, entonces como podemos hackear? bueno en realidad no sería esta definición la más adecuada para estos métodos, mas bien es mayormente conocido como “Ingeniería Social” el cual en sentido común no es más que engañar al usuario, es como ser un timador para conseguir que te adelanten en la cola del banco, o para conseguir pagar menos en un producto mareando al vendedor.

Los métodos siguen siendo los mismos para todos los casos, los voy a enumerar a continuación:

1. Uso de explotis: un exploit es una página similar a la original, el mismo diseño tal cual, pero en realidad la dirección cambia por un pequeño detalle, hace tiempo existía un exploit para uno de los bancos en venezuela banesco de el cual escribí un articulo llamado cuidado con las cuentas del banco. En este caso la dirección de acceso era http://www.banesc0.com/ si se dan cuenta la letra “o” fue reemplazada por el numero “0” con lo cual ya dejaba de ser la misma. En forma general el exploit engaña al usuario haciendo creer que se encuentra en la página de su agrado, y aprovechando esto le pide nuevamente su contraseña por cualquier excusa, luego lo envían a su destino, pero adicionalmente el dueño del exploit se envía así mismo un correo automático con la contraseña capturada.
2. Keylogger: un keylogger es un programa que registra todos los eventos ocurridos en una computadora, todos los programas que se abren y todo lo que se escribe. Si se tiene acceso a la computadora de la víctima fácilmente instalando un keylogger se puede  guardar todo lo que la persona escribe, en incluso programarlo de forma automática para que envié correos cada cierto tiempo. Que se consigue con esto, espiar a la persona y obtener todas las claves que la persona teclee.
3. Reveladores de contraseñas: existen infinidad de programas para revelar contraseñas y no estoy hablando de ver que hay detrás de los asterisco. Es posible por ejemplo, si la persona guarda su contraseña del msn para que este inicie sesión automáticamente obtener su clave, si la persona guardo su clave en el buscador de facebook, twitter o cualquier otra cuenta, es posible sin problemas obtenerla.
4. Hacerse pasar por personal de hotmail, un banco, gmail, facebook u cualquier otra con la historia que se nos ocurra para hacerle creer a la persona que debe enviarnos su contraseña.

Creo que con esto les doy una idea de como pueden ser atacados por personas mal intencionadas, ahora como evitamos esto, solo haciendo lo contrario: no guardar contraseñas, no entrar a páginas de dudosa contraseña, no darle la clave a su novio, perro, amigo, peor es nada, mama, tío ni nadie, tener un buen antivirus así no podrían instalarnos un keylogger porque este lo reconocería.

Saludos,