Sobre Seguridad en cuentas de correo de HOTMAIL

El 31 de Agosto del 2004 fui entrevistado en el programa EN LA BOCA DEL LOBO del Canal 2 de la televisión peruana, por el periodista César Hildebrandt para explicar a los televidentes sobre la seguridad del sistema de correo de HOTMAIL.COM, cuyos servicios presuntamente habrían usado dos conocidos políticos del medio, en circunstancias que corresponden investigar a las autoridades pertinentes, en caso existiesen evidencias de supuestas faltas cometidas. 

Este caso fue denunciado por la periodista Cecilia Valenzuela, en su programa LA VENTANA INDISCRETA, propalado en ese mismo canal el Domingo 29 de Agosto del 2004. 

En la entrevista de EN LA BOCA DEL LOBO, con profusa documentación impresa extraída de Internet incluyendo rastreos de rutas y otros, demostré lo siguiente:

1. Que cualquier persona podía aperturar una cuenta de correo de Hotmail, ingresando un nombre de usuario, una contraseña deseada y sus datos personales, sean éstos verdaderos o falsos.

2. Que el sistema de registro de Hotmail permite al usuario en caso de olvidar la contraseña, "en forma inicial", escoger únicamente entre las siguientes 9 opciones:

3. Di como ejemplo que ingresar como respuesta la palabra "bobby" al nombre de mascota favorita, facilitaría a cualquier persona con estrecho vínculo amical o familiar del dueño de la cuenta de correo, digitar esta palabra y acceder a la misma, si hipotéticamente su mascota se llamase "bobby". 

Esta sería una respuesta candorosa sin suspicacia o prevención. Al igual que las "claves secretas" de las tarjetas de crédito, todos sabemos que no deben estar asociadas a los tarjeta-habientes.

4. Posteriormente el usuario ya registrado si conocía las prestaciones de este sistema, o leía las instrucciones, al ingresar al menú de Opciones, podía crear su propia pregunta con su correspondiente respuesta:

Las preguntas y respuestas pueden ser aleatorias a criterio del usuario, a quien se recomienda no colocar frases comunes. El propio sistema sugiere imprimir o guardar esos nuevos datos en un registro.

5. Manifesté además que las contraseñas de Hotmail se almacenaban en Servidores Seguros ubicados en Redmond, Washington, Estados Unidos, encriptados con el protocolo SSL de 128 bits y que las mismas no se guardaban en la computadora del usuario, a menos que éste así lo decidiera. Por lo que era prácticamente imposible vulnerarlas, a menos que en las preguntas recordatorias por olvido de contraseña se hubiesen ingresado respuestas muy fáciles de deducir. 

• Cabe mencionar que hasta fines del 2002 se distribuían en muchos sitios web de Internet algunos pautas para "crackear" contraseñas de HOTMAIL y es a principios del 2003 que Microsoft cambió y reforzó su infraestructura de Seguridad en ese servicio. Este detalle también lo mencioné en el programa. 

• Asimismo, el nuevo sistema de seguridad "bloquea" temporalmente la cuenta de correo del usuario si un intruso intenta ingresar fraudulentamente en más de 3 oportunidades:

6. Al día siguiente 01 de Septiembre en su programa, Hildebrandt dio a conocer que después de mi intervención la noche anterior, había recibido "infinidad de mensajes" de correo que manifestaban que yo había faltado a la verdad, que no conocía del tema y que mi presentación obedecía a fines comerciales (sic). 

Lo cual causó mi sorpresa e indignación ya que jamás mencioné al software PER ANTIVIRUS, del cual soy su autor, ni mucho menos representar a otro producto. 

Hildebrandt presentó a joven mujer, de quien manifestó ser una experta informática la cual iba a demostrar que lo que yo había expresado la noche anterior era falso:

7. En forma verbal la entrevistada, sin demostrar ni mucho menos probar ninguno de sus argumentos, reiteró que yo había brindado información inexacta y más aún que yo estaba "desactualizado" en mis conocimientos. 

Causó extrañeza que el periodista prestara la mayor credibilidad a su invitada, pese a admitir en ambos programas, que él no conocía nada de los temas tratados. Mas aún, cuando en Noviembre del 2001 el mismo periodista me entrevistó hasta en dos oportunidades, para tratar sobre el denominado PLAN HUASCARÁN tan promocionado por el gobierno peruano en aquella época.  

8. En ese programa, no se mencionó que la noche anterior manifesté a manera de ejemplo, el caso hipotético que un "troyano" o un "keylogger" pudiese haber ingresado a la computadora de uno de los involucrados y que la misma estuviese conectada a la red en Palacio de Gobierno, donde laboraba o en cualquier otra dependencia, todas las contraseñas de las cuentas de correo habrían sido vulneradas, incluyendo información de carácter confidencial y secreta relacionada a la Seguridad Nacional. Lo cual jamás sucedió.

9. La entrevistada también dijo que podía enviar mensajes de correo disfrazando el nombre del remitente, sin mencionar que se trataba de la simple y antigua treta llamada SPOOFING que data desde hace más de 10 años y cuya información puede hallarse en innumerables sitios de Internet:

• http://www.zonavirus.com/Detalle_Articulo.asp?Articulo=140

• http://www.hackersdelocos.com.ar/ip_spoofing.htm

• http://www.cert.org/advisories/CA-1996-21.html

10. Finalmente la "experta", haciendo un presuntuoso alarde de sus supuestos conocimientos afirmó que estaba capacitada para ingresar a cualquier cuenta de correo de Hotmail, vulnerando su contraseña.

11. Al día siguiente remití al periodista un mensaje de correo donde le manifesté que su entrevistada había faltado a la verdad y me había calumniado solicitándole presentarme en su programa para desvirtuar los cargos imputados. Asimismo a través de 2 cartas notariales le solicité mi derecho a réplica de acuerdo al Art.  2o de la Constitución Política del Perú. 

12. En el mensaje y cartas notariales, le manifesté a Hildebrandt que retaba a su entrevistada a vulnerar mi cuenta de correo: jorge_machado@hotmail.com, mas aún ofrecía a la mencionada "experta" o al primero de cualquiera de los cientos de acomedidos ciudadanos que le escribieron que lograse ingresar a mi cuenta de correo, una recompensa de US $ 500.00 (QUINIENTOS DÓLARES AMERICANOS)

13. Para robar una contraseña de Hotmail o de cualquier cuenta de correo hay que recurrir a algunos ardides tecnológicos que por razones obvias no voy a detallar, pero ello implica sorprender al usuario haciendo uso de la llamada "ingeniería social", basada en sus curiosidad, desconocimiento, ingenuidad o negligencia.

14. El día 08 de de Septiembre Hildebrandt dio lectura a mi carta notarial, en forma sesgada y mal intencionada, manifestando que yo me había referido a un software que represento, lo cual jamás mencioné, negándome el derecho a réplica. No represento a Hotmail ni jamás mencioné mi software PER ANTIVIRUS®

15. Dejo la libertad de opinar a los lectores de esta página y en todo caso podrían enviar sus comentarios a:

bocadellobo@frecuenciatv.com.pe 

14. Opino que Hildebrandt pese a su gran experiencia, habría sido sorprendido por la cantidad de mensajes a él remitidos y las declaraciones de su entrevistada, que podrían haber obedecido a una denominada CORTINA DE HUMO mediática, ya que hoy día ningún medio periodístico hace referencia al caso mencionado que tanto había impactado a la ciudadanía, algunos días atrás. 

De otorgarme el derecho a réplica definitivamente quedaría demostrado que su entrevistada mintió y me calumnió, con la complacencia del periodista, a causa de su ignorancia en los temas tratados.

Escribo esta aclaración, sin intención de desprestigiar al programa televisivo ni a su conductor y la hago debido a que el mencionado periodista no quiso otorgarme el derecho a réplica a las falsas imputaciones vertidas en mi contra por su entrevistada, ni mencionó mi reto a pesar de habérselo solicitado por escrito, notarialmente y por teléfono a su productora, lo cual ha mellado mi credibilidad profesional. 

Yo me ratifico en todo lo manifestado en mi presentación del Martes 31 de Agosto del 2004.

Jorge Machado La Torre

P.D: el contenido de esta página fue distribuido entre los miles de subscriptores de la Lista de Boletines de PER ANTIVIRUS y en 10 días recibí mas de 1,000 mensajes en mi cuenta Hotmail con "trampitas" que tenían como único objetivo enviarme algún archivo espía o capturador de teclas digitadas, para obtener mi contraseña. 

Debo mencionar que también he recibido cartas de solidaridad y críticas a la triste participación de la "experta" que entrevistó el periodista Hildebrandt y que ni "la infinidad de televidentes" que le escribieron, mucho menos su seudo "experta" han podido vulnerar mi buzón de correo. 

Finalmente, he denunciado a ese periodista, ante las autoridades competentes en defensa de mis derechos.

Principales recomendaciones para proteger las cuentas de correo de Hotmail:

• Registrar una contraseña de caracteres complicados y no una simple palabra fácil de asociar.

• En la ventana de 9 opciones para "recordar contraseña" indicar una respuesta ilógica y temporal.

• Una vez creada la cuenta, inmediatamente ingresar al menú Opciones y cambiar su propia pregunta secreta como por ejemplo: Quien fue? o Cuando? y la respuesta debe ser una frase que el usuario considere algo incoherente y que deberá registrarla en un lugar seguro fuera de su PC, en caso de olvido.

• Cambiar periódicamente de contraseña y de pregunta secreta.

• Jamás abrir mensajes de correo enviados por desconocidos, mucho menos ejecutar archivos incluidos dentro de los mismos o enlaces a cualquier sitio web. Por ejemplo: "Has recibido una postal de saludo de Gusanito.com", "has click en este link", etc. 

• Tampoco molestarse en leer mensajes que usan la denominada "ingeniería social". 

• Si el remitente es un supuesto conocido, cuyo asunto y contenido del mensaje es fuera de la común es recomendable re-enviar el mensaje a una cuenta que no descargue o abra automáticamente los archivos adjuntos.

• Lea las cabeceras de mensajes sospechosos haciendo click derecho en "Propiedades" y luego "Detalles" 

• Cada vez que termine de revisar su buzón de correo Hotmail, haga click en

• Es necesario tener instalado en su PC un antivirus con Firewall incorporado, de su preferencia, el mismo que debe actualizarse diariamente o configurarlo para que esta tarea sea realizada automáticamente.

• Similares acciones se recomiendan para cualquier otro tipo de cuentas de correo.      

PER ANTIVIRUS® actualiza diariamente su registro de virus de la versión vigente en nuestros Portales de Banda Ancha y consecuentemente recomendamos hacerlo del mismo modo.

NOTA: Los videos mostrados en esta página son una cortesía de Frecuencia Latina (Canal 2 de Televisión).