En un interesante artÃculo en Scientific American, Herbert Thompson, experto en seguridad informática, explica como, en unos sencillos pasos, consiguió las claves para acceder a la cuenta bancaria online de una conocida de su esposa. Con el consentimiento de la amiga, de la que solamente sabÃa su nombre, su edad, donde trabajaba, de qué estado era y el nombre de usuario de su cuenta bancaria (la inicial de su nombre y el apellido), se propuso resetear la cuenta bancaria y apropiársela.
El primer paso fue realizar una busqueda en Google usando su nombre y donde trabajaba, esto le llevo a su blog personal donde tuvo acceso a todas sus aficiones, nombres de mascota, pelÃculas favoritas, etc… De su blog sacó su correo de Gmail y su antiguo correo del instituto. Una vez conseguido esto, accedió a la web de la sucursal bancaria y intentó resetear la contraseña. El banco no tenÃa la opción de responder la pregunta personal, sinó que enviaba la contraseña a un correo electrónico de la usuaria, por lo que el siguiente paso fue intentar acceder a sus cuentas de correo.
Al intentar resetear la cuenta de Gmail, advirtió que la contraseña era enviada a otro correo, en este caso el de su instituto, por lo que era necesario acceder a éste para llevar a cabo el experimento con éxito. Cuando intentó resetear la cuenta de correo del instituto se encontró con cinco preguntas, que pudo contestar gracias a la información obtenida en el blog, una vez hecho esto el resto fue fácil, reseteó la cuenta del instituto para saber la contraseña de gmail, una vez dentro de gmail, encontró el correo con la contraseña del banco y, voilá, la cuenta fue suya.
La conclusión que podemos sacar de este experimento es que hay que tener mucho cuidado con la información que vamos dejando por la red o, en todo caso, intentar que las preguntas personales sean eso, presuntas personales.
Como experimento personal, hace bastante tiempo busqué en Google un foro al azar de algún cantante famoso, de ese foro copié 2 o 3 direcciones de Hotmail. Intenté resetear las contraseñas de las tres y me encontré con que, en dos de ellas, la pregunta personal era : Cual es tu cantante favorito?, EPIC FAIL!! (Por cierto, no toqué nada 🙂 )