El post que buscas se encuentra eliminado, pero este también te puede interesar

Protegé al máximo tu cuenta de Facebook y tu virginidad

Anuncios

Protegé al máximo tu cuenta de Facebook y tu virginidad


Cómo fortificar tu cuenta de Facebook para que no te la roben

Facebook

hacking

En este artículo vamos a repasar las opciones de fortificación del proceso de login, así como las sesiones y las comunicaciones entre Facebook y tú. Estas son algunas de las recomendaciones que deberías seguir si quieres hacer que tu cuenta de Facebook sea mucho más segura.

La cuenta de correo de usuario de Facebook

Un punto inicial importante es decidir cuál es la cuenta de usuario asociada al perfil de Facebook. Lo recomendable es que sea una cuenta de correo no conocida por nadie - puede ser una cuenta de correo que no se use para nada más -, y que no pueda ser vista o consultada por nadie.

Configuracion

Además, esa cuenta de usuario debería estar protegida con un segundo factor de autenticación basado en SMS o en Google Authenticator u otros, para que siempre pudiéramos tenerla controlada.

La contraseña de Facebook

La elección de la contraseña de Facebook debe ser más o menos como todas. Mi recomendación es que las passwords complejas en la web deben morir y el de muchos otros que dudan de su efectividad, pero tampoco pongas una contraseña que alguna persona de tu entorno pueda conocer porque la utilizas en otros servicios. Además, si al principio utilizas un carácter alfabético, recuerda que Facebook permite utilizar también la password con los valores en mayúsculas y minúsculas, generando tres passwords en total.

seguridad

Es casi más importante que la cambies periódicamente. Una buena estrategia es ponerse en el calendario una cita cíclica cada mes, por ejemplo, y utilizar un gestor de contraseñas que protejas con una clave maestra segura. Recuerda que si utilizas un gestor de contraseñas en la nube y es hackeado - como sucedió con LastPass -, la password maestra es lo último que va a salvar tu contraseña.

Alertas de Inicio de Sesión en tu cuenta Facebook

Facebook, cada vez que inicias sesión hace un fingerprinting del cliente. Esto es, una recolección de la huella digital de tu conexión para saber desde dónde te estás conectando (dirección IP, zona geográfica, sistema operativo, versión del navegador, y datos varios).

redes sociales

Si te conectas desde un dispositivo nuevo o un nuevo navegador Facebook te puede enviar un SMS o un correo electrónico. Como curiosidad, la imagen del logo de Facebook viene enlazada en el mensaje de correo, lo que le permite a la compañía hacer doxing de dónde y cuándo se abre el correo electrónico de la alerta, incluso si lo haces desde el proxy de Gmail, que permite saber información del User-Agent - aunque no de la dirección IP -.

Protegé al máximo tu cuenta de Facebook y tu virginidad

Si eliges que te envíe un correo electrónico, ten en cuenta que para los ataques de phishing este es un buen gancho para ponerte nervioso e intentar robarte la cuenta con un Spear Phishing como explicaba yo en el caso del robo de cuentas de iCloud con un correo electrónico de alerta de la propia Apple.

Facebook

Si dejas las activadas las alertas de login por correo electrónico es una buena opción utilizar las claves PGP para las comunicaciones. Así te será muy fácil saber si ese correo que te viene desde Facebook es auténtico o es un ataque de phishing para robarte las cuentas.

El segundo factor de autenticación con mensajes SMS One-Time Password

Como en la mayoría de los servicios online, Facebook también permite que los procesos de login desde dispositivos nuevos o los nuevos navegadores tengan que ser aprobados por un código One-Time Password para proteger tu identidad. En este caso, vía mensaje SMS a tu número de teléfono.

hacking

Si activas esta opción, debes fortificar el acceso a la SIM de tu terminal. Para ello protege el código PIN de tu tarjeta, pero también el código PUK y los datos del contrato con tu operadora para evitar un posible ataque de SIM Swapping y no uses SIMs antiguas que puedan ser clonadas.

Los códigos de aprobación de un solo uso

Estos códigos de aprobación se pueden generar desde la app de Facebook instalada en un terminal móvil con la sesión iniciada o desde la propia sesión web. Facebook te dará una lista de códigos de un solo uso que podrás utilizar para aprobar el acceso a tu cuenta desde un nuevo dispositivo o un nuevo navegador.

Configuracion

Estos códigos tienen la ventaja de que los puedes llevar guardados y no necesitas disponer de teléfono y son especiales para cuando estas fuera de tu país en entornos de roaming o sin teléfono disponible.

seguridad

Si se configura el modo Auto, en lugar de acceder a una lista de códigos la app de Facebook te mostrará el código OTP cada vez que se vaya a realizar un proceso de login desde un nuevo dispositivo o un nuevo navegador.

Las contraseñas de aplicación

Cuando tienes un segundo factor de autenticación con OTP o con códigos de aprobación, las aplicaciones que se conecten a tu cuenta, si lo hacen con tus credenciales de Facebook, tendrán que pasar también el proceso de verificación en dos pasos. Para evitar eso, se pueden utilizar las passwords de aplicación.

redes sociales

Esto tiene además, como ventaja añadida, que si estás utilizando tu cuenta Facebook en una aplicación de móvil de otros que permite autenticarse con Facebook, entonces puedes también evitar que si te la roban te roben toda tu cuenta, ya que las passwords de aplicación no tienen el control total de tu cuenta y no pueden hacer todas las acciones que se pueden hacer con un inicio de sesión con las credenciales principales de la cuenta.

Las apps conectadas a tu cuenta

Además de las passwords de aplicación, en Facebook puedes autorizar a aplicaciones para que tengan ciertos permisos de acceso a tu cuenta. Esto puede ser para tomar solo información, pero también para postear o acceder a tus mensajes. Aplicaciones con Tinder utilizan esta conexión con tu cuenta para acceder a tus fotografías, biografía, etcétera.

Protegé al máximo tu cuenta de Facebook y tu virginidad

Estos tokens OAuth son los que se pueden robar en aplicaciones inseguras, o pueden ser utilizados en esquemas de ataque de phishing, así que es muy importante que periódicamente revises que apps tienen acceso a tu cuenta y elimines toda aquella que no debiera estar.

Los navegadores y dispositivos de confianza

Además de las apps, en esa misma opción se pueden revisar cuáles son los dispositivos y navegadores de confianza que no necesitarán un segundo factor de autenticación vía OTP o vía código aprobación de un sólo uso.

Facebook

Si alguno es un dispositivo que ya no utilizas o es de un equipo desde el que te conectaste puntualmente, elimínalo. Es conveniente que cuando te conectes desde un dispositivo o navegador nuevo tengas cuidado y no lo guardes en la lista de confianza si es una conexión puntual.

hacking

Desde aquí puedes eliminarlos todos y si necesitas volver a usarlo, con pasar el proceso de verificación en dos pasos, todo listo.

Los contactos de confianza

Muchos son los que han sufrido el robo de una cuenta o grupo de Facebook, para lo que lo mejor que se puede hacer es tener un contacto de confianza que pueda ayudarte a recuperar la cuenta cuando esto pase.

Configuracion

Ojo, que tu contacto de confianza sea tu contacto de confianza y no una persona que pueda volverse en tu contra. Elige sabiamente o no elijas a nadie ante la duda.

Control de Sesiones Abiertas manualmente o con Latch

Otra opción interesante es la de vigilar constantemente qué sesiones tienes abiertas. Esto permitirá detectar ataques de hijacking que te hayan robado cookies de sesión vía un ataque de man in the middle - usando por ejemplo un Bridging HTTPs(IPv4)-HTTP(IPv6) como el que usé yo en el programa de Salvados - o porque hayas tenido un descuido y te hayan robado la cookie en unos segundos que te dejaste la sesión abierta.

seguridad

Para controlar esto de forma constante, el hack para integrar Latch con Facebook es una buena opción, ya que en el momento que se detectan nuevas sesiones se puede forzar su cerrado tal y como se explica en este post "Un hack para integrar Latch con Facebook" y permite controlar las sesiones tal y como se ve en el siguiente vídeo.


link: https://www.youtube.com/watch?v=Nvt-szuxIYM


Este mismo truco con Latch también se puede aplicar a las sesiones de las cuentas de iCloud, Gmail o GitHub, tal y como se explican en los artículos correspondientes.

Palabras finales

Además de todo esto, reforzar las opciones de privacidad para controlar quién puede ver tu información es más que recomendable. Si algún atacante busca una app mágica para hackear Facebook, que estas opciones fortificación hagan que se lleve una buena sorpresa, tal vez en forma de adware o de ser estafado por alguno de esos "hackers for hire" que se alquilan por ahí para robar cuentas de Facebook y acaban engañando a la gente.




redes sociales

Anuncios

0 comentarios - Protegé al máximo tu cuenta de Facebook y tu virginidad