Esta mujer fue hackeada por llamarse Mercedes

Cómo es que tener un dominio de blog muy apetecido puede traer problemas.

|
23 enero 2015, 11:21pm

​Imagen: The Preiser Project/Flickr

​ Siempre recordarás la primera vez que fuiste hackeado. Me sentí como un idiota el año 2012, cuando  ​un gusano tomó posesión de cientos de cuentas de Tumblr, incluyendo la mía y mis perfiles en Tumblr, Twitter y Pinterest comenzaron a publicar mucha publicidad de un suplemento dietético ("barcina cambogia", dudaré por siempre de tus características quema grasas).

El phishing y los links con spam trabajan para el hacker a nivel masivo, pero el el caso de Mercedes Beach es distinto, ella es una diseñadora gráfica a quien recientemente le hackearon su cuenta de Gmail y quizás todas las redes sociales unidas a ella. Fue un ataque personal dirigido solamente a ella, una especie de historia noir. El hacker estaba detrás de sólo una cosa: la url de su tumblr, mercedes.tumblr.com.

Beach sospechó de algo el día domingo, cuando recibió mails desde Instagram y Amazon reportando que alguien estaba intentando entrar a sus cuentas. Le preocupó, pero tenía resaca y decidió solucionarlo más tarde.

Luego recibió un llamado telefónico de un hombre con acento inglés quien dijo ser un empleado de Google. El número era 650-253-0000 y ella sabía que ese código de área corresponde a Mountain View, California. El hombre dijo que le iba a enviar un código de verificación y le pidió que lo leyera. Ella abrió el mensaje, leyó los números y un segundo después se cortó la llamada.

Lo que era una sospecha se transformó en un pequeño ataque de pánico. Beach recordó la verificación de dos pasos y se dio cuenta que había entregado la suya. Intentó entrar a Gmail y encontró que había sido excluida. Comenzó a cambiar los passwords para proteger su cuenta de Instagram, Facebook, Apple ID y un email secundario, la antigua cuenta de su universidad.

Todavía estaba en su antiguo email cuando recibió un mensaje que luego subió a Instagram:

Beach estaba siendo amenazada desde su propio email.

Chequeó su tumblr pero se dio cuenta que ya había sido tomado. La contraseña fue cambiada y la URL ahora era mercedes-beach.tumblr.com. Al ver esto respondió que le entregaran sus passwords de vuelta. El hacker dijo que si, ella cambió sus passwords nuevamente y no hablaron nunca más.

"La URL era mercedes.tumblr.com, entiendo que pueda ser lucrativo potencialmente" me dijo Beach a través de Gmail. "Inmediatamente después que fue tomado, el sitio tenia un logo de Mercedes Benz como avatar y la foto de un automóvil amarillo frente a una hermosa playa. Se leía '#Mercedes #ComingSoon'. Ahora el sitio está abajo pero aun lo administra alguien".

El tumblr oficial de Mercedes Benz ​ ya existe y al parecer le va bien. Da la impresión que la persona que robo la URL del tumblr de Beach planeaba venderlo en algún lugar u ocuparlo en algún engaño futuro.

Pese a que el tumblr y sus seguidores siguen bajo el nuevo nombre, la antigua dirección espera, durmiendo bajo el control del usurpador. Suena como si Beach hubiese sido el blanco debido a su asociación con el nombre de una marca, una herramienta vital para los hackers que pueden mostrar una "internet de lujo" y esconderse tras la confianza que inspira.

La impresión de exclusividad es fuerte en el mundo online, tanto que  ​el dominio .luxury fue introducido el año pasado y ha sido utilizado por unas 500 compañías. Piensa en los correos de spam que has recibido; ¿Cuantos ofrecen Rolex y productos de diseñadores a bajo precio?  ​Se ha creado software para investigar el uso sin autorización de logos y otro material visual en las páginas web: las marcas falsificadas aparecen en pantalla tanto como aparecen en los bolsos baratos.

Las  ​directrices de tumblr dictan que "los nombres de usuario/urls están para el uso y gozo de todos sus usuarios. No los ocupes ilegalmente, no los retengas, acumules, acrecientes, reserves, no los vendas, comercialices, expendas, no bebas con ellos, no haga algo cyber, no los tientes o celosamente guardes urls y nombres de usuario".

Y aun así las urls de tumblr pueden ser vendidas al idiota de turno para ganar dinero, incluso si el centro de ayuda de tumblr decide cerrar la cuenta una vez que llegan las quejas. Un ejemplo aparece en  ​este foro de hackers: luego de comprar una cuenta por $500 dólares, el usuario que escribió se dio cuenta muy tarde que la persona a la que le había comprado el nombre había contactado a tumblr diciendo que le habían robado, recibiendo el tumblr de vuelta y quedandose con el dinero que le habían pagado.

Las marcas falsificadas aparecen en pantalla tanto como aparecen en los bolsos baratos

Beach ha estado chequeando qué sucede con su antigua cuenta, esperando ver que pasa. Ella está comprensiblemente enojada porque comenzó el blog el año 2008 y reunió unos 970 seguidores.

La pregunta es cómo alguien puede entrar tan rápidamente a través de sus emails, pese a que probablemente había un link en algún antiguo mensaje y la clave 'probablemente, definitivamente' era la misma que en otras cuentas. Ella sigue esperando una respuesta desde tumblr.

Beach me dijo que todo el episodio duró menos de una hora y que su URL fue tomada minutos después de la misteriosa llamada. "Investigué y el número desde el que me llamaron fue 650-253-0000, número que investigué y corresponde al numero de teléfono oficial de Google". (Lo es, e ​stá indexado como el número de contacto de las oficinas de Google en California).

En línea hay muchas formas de  ​falsificar un número de teléfono y ​ha sido llevado a cabo antes. Beach me dijo que se fijó y no hay signos de alguien más intentando entrar a su cuenta de tumblr desde una IP diferente, pero esto puede ser ocultado con Tor y su navegación anónima o a través de un proxy.

Al final Beach le echa la culpa a la naturaleza del sitio web social: "Todas mis cuentas y sitios están interconectados. Facebook, Instagram, Tumblr y mi sitio web personal. Los links de mi tumblr llevaban a mi sitio… me di cuenta que mi presencia en la web me hace vulnerable".

Es fácil ser ignorante con lo que sucede en tu vida online, dando información en fragmentos en el intento de crear una "marca personal". Como los estados de cuenta bancarios que rompemos en pedazos antes de tirar a la basura, damos información en los estatus, las respuestas y tuits, fragmentos que pueden ser fácilmente rearmados si caen en las manos equivocadas.

Frente a la amenaza de ataques personalizados y altamente coordinados, lo único que podemos hacer es tomar la mayor precaución posible:  ​respalda tu blog​usa un administrador de passwords, usa contraseñas aleatorias que no puedas recordar para cada sitio que uses. Se escéptico.

Y si tu nombre suena como una marca ya sabes que debes cuidar tu espalda.