Por @Alvy — 24 de noviembre de 2011

Pasifae se tiró al Minotauro; que no acabes como su hijo Pan… ¡cornudo!¿Puede un solo bit causar una catástrofe de pareja? Aparentemente, sí. Este pequeño pero absurdo problema de seguridad es típico de muchos servicios de Internet. Si quieres saber si alguien está registrado o no en un servicio web, basta que compruebes en la típica opción de Olvidé mi contraseña qué información te piden para recuperarla. Si se trata del correo electrónico –que hoy en día es lo más corriente– teclea cualquier cosa y comprueba la respuesta: si te confirma algo sobre si esa dirección está o no registrada en el servicio, he ahí un problema.

Esto viene a cuento de una anotación que vi pasar por FayerWayer sobre SecondLove en México, una «red social de infieles, para él y para ella». Se supone que la gente se registra en SecondLove para ponerle los cuernos a su pareja e imagino que «compartir ideas, trucos y recursos» al respecto con otros aventureros de lo prohibido.

Hasta ahí, todo bien. Eso sí: si sus parejas sospechan algo o simplemente quieren comprobar si están siendo corneadas oficialmente sólo tienen que ir a la página Recupera contraseña, teclear la dirección de correo de la otra persona como si la hubiera olvidado y esperar la respuesta. Si aparece «Todavía no eres un usuario registrado de Second love» se puede respirar tranquilo. Si, en cambio, responde que se acaba de enviar un correo… ¡Ooops! Cuidado al salir por la puerta, no te golpees con los cuernos contra el marco.

El problema de seguridad es que el servicio te está transmitiendo una información que no debería dar a un extraño: el dato sobre si una cuenta determinada existe o no. Es un solo bit, pero crítico. Dado que los correos electrónicos identifican personas únicas, puedes saber si una persona está ahí o no está ahí. De hecho, muchos hackers/crackers que se infiltran en ciertos servicios primero prueban con esta técnica qué cuentas existen para luego atacar con diccionarios y otras fórmulas todas las contraseñas posibles e intentar entrar en ellas.

¿Cómo proteger un servicio de este absurdo pero incómodo problema? La alternativa más simple y segura para quienes los desarrollan es simplemente no confirmar lo que haya sucedido en la operación, respondiendo –como hacen muchos– con un mensaje genérico del tipo: «Gracias. Si la dirección de correo que usted ha tecleado está registrada en este servicio, recibirá un correo en unos minutos…» Asunto resuelto.

Otra forma de enfocarlo es intentar registrarse con la dirección de correo de otra persona: si el servicio contesta «ese correo ya está registrado», ¡bingo! En cambio un servicio bien diseñado aceptará el registro con un simple y neutral «Gracias, hemos enviado un correo a su cuenta para que confirme el registro» (exista ya o no). El mensaje subsiguiente en el correo –que sólo llegará al verdadero propietario de esa dirección– será bien para un registro nuevo, bien para avisar de un intento de registro sobre una dirección no válida (por repetida).

En el caso que nos ocupa, parece razonable pensar que ante la evidente pertenencia a una «red social para infieles» la excusa de «sólo estaba mirando» no cuela.

El problema se alivia un poco suponiendo que la gente no es demasiado burra y usa un correo alternativo en vez de su cuenta personal o de empresa para registrarse en ciertos sitios (especialmente en una «red social para infieles») pero como bien sabemos no suele ser el caso.

Eso sí, como aviso de que ha sido cazado por la parienta recibirá horas antes un bonito correo diciendo «Estimado usuario, usted ha solicitado cambiar la contraseña. Pulse en este enlace para iniciar el proceso…» En ese caso, quien piense Mmmm… ¡pero si yo no he pedido cambiar nada…! puede darse por cazado.

{Foto: The Prop Store of London: Minotaur costume from Voyage of the Dawn Treader (CC) PopCultureGeek.com @ Flickr}

Compartir en Flipboard Publicar / Tuitear Publicar