Bueno continuamos con la tercera entrega de esta serie de artículos detallando como se produjo un ataque a Gmail. En la anterior entrega “Ataque a Gmail parte II: el enemigo está cerca” vimos como Matías descubre la identidad del atacante (un conocido de Matías que llamaremos Daemon) con la ayuda de un amigo Ingeniero en Informática. Ahora toca analizar como lo había conseguido.

Comenzaron analizando los días en que Matías y el supuesto atacante estuvieron juntos, si se conectaron a alguna red potencialmente insegura, si dejó el móvil al alcance del atacante… pero en esos días no había ocurrido nada fuera de lo común. Nada parecía cuadrar.

Como sabían que Daemon intentó iniciar sesión sin éxito en una cuenta de Hotmail de Matías, decidieron intentar hacer lo mismo en una cuenta de Gmail y comprobar hasta dónde podían llegar (¿Porqué pudo acceder a la de Gmail y no a la Hotmail?). Entraron en Gmail para intentar acceder a la cuenta sin conocer la contraseña, para ello probaron a indicar que necesitaban ayuda.

gmail_rec_01

El sistema de Gmail empezó a mostrarles diferentes formularios con distintas preguntas. Se supone que el sistema intenta descubrir si eres tú realmente.

gmail_rec_02

Los formularios te piden datos como una contraseña anterior, la respuesta a tu pregunta de seguridad, el mes y año en que creaste la cuenta, la fecha de la última vez que iniciaste sesión, … el sistema evoluciona constantemente y las preguntas pueden variar.

gmail_rec_04

Cual fue su sorpresa al descubrir que Gmail te permite superar esos formularios, indicando que no sabes la respuesta. Este sistema de Gmail está en continua evolución, en el momento de escribir este artículo bajo los formularios tienes un enlace “Probar con una pregunta distinta”, que avanza a un nuevo formulario sin exigirte introducir ningún dato.

gmail_rec_05

Tras ir pasando por todos los formularios Gmail suele terminar con uno donde te pide una cuenta de correo electrónico donde enviarte las instrucciones para entrar a la cuenta (un enlace para cambiar la contraseña). Hay que tener en cuenta que Gmail no exige que esa cuenta sea la que pusiste como cuenta de correo de recuperación, puede ser “cualquier cuenta de correo”.

gmail_rec_06

Pues bien tras realizar muchas pruebas, llegaron a la conclusión de que por un lado algunos de los datos que se pedían en esos formularios eran fáciles de conseguir por un atacante.

Por ejemplo la fecha del último inicio de sesión hoy en día es trivial. Como usamos nuestras cuentas de Gmail para acceder a nuestros dispositivos Android (smartphones, tablets, …), iniciamos sesión cada día, por lo que un atacante podría responder a esta pregunta con la fecha de hoy o de ayer, y acertaría.

Por otro lado una persona cercana a nosotros y que lleva muchos años recibiendo correos nuestros, podría conocer aproximadamente la fecha en que creamos nuestra cuenta de correo.

En el caso que nos ocupa era obvio suponer que Daemon conocía la fecha en que Matías creó su cuenta de correo, y también que iniciaba sesión a diario. Por tanto podría haber respondido correctamente en dos de los formularios ofrecidos por Gmail y haber introducido una cuenta de correo donde podría haber recibido el enlace para cambiar la contraseña. Todo esto cuadraba con lo que conocían hasta ese momento.

Realizaron este tipo de pruebas con diferentes cuentas de Gmail creadas para las pruebas, y consiguieron que el sistema les enviara enlaces de recuperación de contraseña respondiendo a muy pocas preguntas, en alguna ocasión respondiendo solo a una de ellas, o incluso a ninguna. No lo consiguieron en todos los casos aunque sí en un alto porcentaje. Al parecer para el sistema el que lo intentes desde ips cercanas geográficamente a la victima es importante. También detectaron que el intentarlo muchas veces puede hacer que el sistema ya no te lo permita al sospechar de tus intenciones.

Por tanto habían dado con el mecanismo empleado por Daemon para acceder sin permiso a la cuenta de Gmail de Matías. Nunca robó o descubrió la contraseña de Matías, simplemente consiguió recibir el enlace de recuperación de contraseña engañando al sistema de ayuda de Gmail. De esta forma cuando Matías cambió la contraseña la primera vez, Daemon volvió a realizar el proceso y volvió a recibir el enlace y a acceder a la cuenta. Sólo la activación del sistema de autenticación en dos pasos evitó que siguiera haciéndolo.

Para terminar debo decir que desconozco el algoritmo que usa Google para tratar este mecanismo de ayuda para la recuperación de la contraseña de una cuenta de Gmail, y que se entiende que dicho sistema debe responder a una casuística muy variada y a millones de usuarios, primando que se pueda tener acceso a las cuentas frente a la seguridad. Por lo que criticar el sistema puede parecer apresurado y ventajista, pero sólo intento compartir la información que he obtenido.

La conclusión es que Gmail entiende que si hay una petición de restauración de contraseña desde una ip cercana geográficamente a la que habitualmente usas para conectarte a tu cuenta, a veces basta con conocer la fecha de creación de la cuenta para que piense que realmente eres tú. Y por tanto envíe un enlace para cambiar la contraseña a la dirección de correo que un atacante le pase.

Por ello el sistema es seguro contra ataques masivos e indiscriminados, realizados desde el otro rincón del planeta, pero resulta ser ineficaz a poco que el atacante te conozca lo suficiente y viva en tu entorno.

Nuestra recomendación: usar siempre, siempre la verificación en dos pasos.

Y recuerda que “El enemigo, a veces, lo tenemos en casa”.

Deja un comentario

Tu dirección de correo electrónico no será publicada.