Seguimos con la serie de artículos sobre el ataque a Gmail que comenzamos con “Ataque a Gmail parte I: no puedo acceder, elucubraciones“.

Matías había perdido el acceso a su cuenta de Gmail en dos ocasiones y pensaba que alguien le estaba robando la contraseña. Por lo que acude a un amigo Ingeniero en Informática para descubrir que pasa.

Matías acude al despacho de su amigo (que llamaremos el Ingeniero) y allí le explica lo que le está sucediendo. En principio siguen las elucubraciones, al Ingeniero también lo primero que se le ocurren son cosas como el phising, el sniffing de datos en una red wifi, etc.

El primer consejo del Ingeniero es que Matías utilice el sistema de verificación en dos pasos (ver en este enlace lo que es y como funciona), que ofrece Gmail. Una vez configurado este sistema, Matías para poder acceder a su cuenta no solo tendrá que meter su contraseña sino que le llegará un código al móvil que deberá introducir. De esta forma debería evitarse que alguien pudiera volver a acceder a su cuenta. Matías sigue el consejo y ya no se producen más incidencias en su cuenta de Gmail.

Pero tienen que investigar a ver que ha sucedido. Matías siguiendo algunos consejos del Ingeniero, lo primero que hace es entrar a la cuenta de Gmail y comprobar la actividad reciente.

Para hacer esto debemos acceder al botón Aplicaciones de Google.

gmail_aplicaciones_de_google

Y pulsar el botón Mi cuenta.

gmail_mi_cuenta

Después pulsamos sobre la opción Notificaciones y actividad en tus dispositivos, dentro del grupo Inicio de Sesión y Seguridad.

gmail_inicio_sesion_seguridad

En este apartado Google nos muestra información sobre los dispositivos que hemos utilizado recientemente, indicándonos datos como el tipo de dispositivo, el sistema operativo usado, etc.

Matías lo hace y ¡Sorpresa! Ve que se ha conectado un dispositivo sospechoso a su cuenta de Google. Sospecha porque se ha usado un navegador y un sistema operativo no habituales para él. Parece que han dado con el atacante.

Cómo Matías en dos ocasiones ha utilizado su cuenta de recuperación para retomar el control sobre la cuenta de Gmail, decide investigar también sobre la actividad en esa otra cuenta. En este caso es una cuenta de correo de Hotmail. Entrando en la configuración ve como desde la misma ip que ha accedido a su cuenta de Gmail han habido varios intentos fallidos de inicio de sesión y que coinciden aproximadamente con las mismas fechas.

¡Vaya!… vamos a examinar un poco más despacio esa ip… con un simple whois vemos que la dirección ip “atacante” pertenece a un proveedor de internet de la misma localidad en la que vive nuestro amigo Matías. En el momento en que sucedieron los hechos Gmail te indicaba la Ip del atacante y no su ubicación, hoy en día te informa de la ubicación directamente.

A ver, a ver… un momento… hagamos un resumen:

  • Hay varios intentos de sesión fallidos en la cuenta de Hotmail.
  • Han existido al menos dos inicios de sesión exitosos en la cuenta de Gmail desde el dispositivo sospechoso.
  • Se han usado navegadores y sistemas operativos no habituales.
  • Los intentos en las distintas cuentas han sido efectuados desde la misma ip.
  • El ISP del atacante pertenece a la misma localidad que la suya.

Todo indica a que el atacante conoce personalmente a Matías y que el ataque se produce desde la misma localidad. Además el atacante conoce que ambas direcciones de correo pertenecen a la víctima, ya que las cuentas son de distintos proveedores y no se llaman igual.

Matías supone que ese conocido que le está atacando debe tener cierto nivel de conocimientos informáticos. Así que se pone a atar cabos y llega a la conclusión de que sólo un conocido suyo encaja en ese perfil.

Conoce a una persona con conocimientos informáticos avanzados, que usa el proveedor de internet del atacante y el sistema operativo usado por el dispositivo que se ha conectado a su cuenta de Gmail. Blanco y en botella, ya conocemos la identidad del supuesto atacante. A partir de ahora le llamaremos Daemon.

Pero lo más preocupante es: ¿Cómo ha conseguido Daemon la contraseña de la cuenta de Gmail de Matías?

En el siguiente artículo de esta serie [Ataque a Gmail III: la recuperación de contraseña es la vulnerabilidad] la investigación nos llevará a descubrirlo.

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada.