July 19, 2012 5:05 pm

Tips para mantener segura tu cuenta Microsoft

Eric Doerr

Gerente de Programa de Grupo – Cuenta Microsoft

Cada vez más, parece que no puedes leer las noticias sin ver un encabezado sobre un problema de seguridad que expuso la información de la cuenta de los clientes de algún servicio en línea para usos criminales.

Como alguien que trabaja cada día en mantener seguro el sistema de cuentas de Microsoft (antes llamado Windows Live ID), cada vez que leo algo como esto mi corazón se sale, primero por las personas cuyas cuentas fueron victimizadas por estos criminales, y segundo por mis colegas en las compañías comprometidas. Los criminales sólo pueden estar bien una vez, los defensores deben estarlo siempre – y estoy impresionado con la competencia y dedicación de mis colegas de la industria.

Por supuesto, como ya se ha hablado de manera extensa, estos ataques abren un reflector en el problema principal – la gente utiliza la misma contraseña en diferentes sitios web. Esto resalta el aviso de seguridad tantas veces repetido de utilizar contraseñas únicas, debido a que los criminales se han vuelto más sofisticados cada vez al tomar una lista de nombres de usuarios y sus contraseñas de un servicio para luego “replicarla” contra otros sistemas mayores. Cuando encuentran contraseñas iguales están en la posibilidad de esparcir su abuso más allá del sistema original de cuentas que atacaron.

No publicamos mucho sobre nuestro trabajo de seguridad – no es necesario dar a los ‘chicos malos’ más ideas sobre cómo atacar a nuestros clientes. Sin embargo, dados los eventos recientes, tenemos suficientes cuestiones que quería tomarme el tiempo de compartir a un nivel alto sobre cómo protegemos a nuestros clientes de estos ataques, y re-enfatizar sobre qué puede hacer cada uno de ustedes para protegerse de mejor manera.

Muchas fuentes de credenciales filtradas

Comencemos con cómo nos damos cuenta de qué clientes están en riesgo.

De manera regular recibimos notificaciones de listas de información de cuentas externas comprometidas (direcciones de email y/o contraseñas de otras redes) de diferentes fuentes. Nos contactan para que nos aseguremos que nuestros clientes están protegidos si utilizan la misma contraseña para su cuenta de Microsoft. En ocasiones se trata de alguna de las muchas agencias de ley a nivel mundial la que nos contacta. En ocasiones es una ISP. A veces se trata de otra compañía que corre un sistema de identidad. Y también a veces las listas son publicadas en sitios web públicos para que el mundo las vea.

La cantidad de detalle y fiabilidad de estas listas de clientes varía – en ocasiones están incompletas o están encriptadas y no ponen en un riesgo real a los clientes. Pero en ocasiones son listas completas, con nombres de usuarios y contraseñas que son una verdadera amenaza para nuestros clientes.

Cómo protegemos a nuestros clientes

Cuando tenemos una lista, primero, la revisamos para ver si en verdad concuerda con cualquier cuenta y contraseña en nuestro sistema. Esto se realiza de una forma automatizada y segura para que ningún humano vea la información de las cuentas de nuestros clientes.

Se sorprenderían de saber qué tan seguido estas listas – en especial las que se hacen públicas – son basura sin ninguna coincidencia. Pero en ocasiones también aciertan – en promedio, vemos coincidencias exitosas de contraseñas con nombres de usuarios en alrededor de 20% de las veces. Una reciente sólo tuvo 4.5% de éxito. Esto es en verdad emocionante porque significa que, en promedio, 80% de nuestros clientes siguen prácticas seguras de contraseña, y eso refleja una creciente sofisticación en nuestros clientes.

Después, buscamos si hay evidencia de actividad criminal, como envío de spam. Si notamos signos de esto, suspendemos la cuenta y solicitamos al dueño que siga el proceso de recuperación de cuenta para retomar el control de la misma. En otros casos sólo preguntamos a nuestros clientes que cambien su contraseña (antes de que cualquier daño pueda ser ocasionado).

En ocasiones recibimos información sobre un conjunto de clientes, pero no existe suficiente información de las cuentas para identificar quién ha reutilizado contraseñas y si existe algún riesgo. Luego tenemos una llamada de juicio – ¿Preguntamos al 100% de esos clientes que cambien sus contraseñas, aún si sólo el 20% está en riesgo? ¿O dejamos a ese 20% en riesgo para evitar molestar a ese otro 80?

Cuando hay una amenaza real, la respuesta es simple – somos muy precavidos para proteger a nuestros clientes. Este es un lastre para todos aquellos que son muy cuidadosos con sus contraseñas, y me disculpo por los inconvenientes, pero espero nos perdonen por proteger su vecindario. Podrían ser ustedes los afectados.

Si su cuenta apareciera en alguna vez en estas listas, aquí les mostramos lo que verán ingresen de nuevo a Hotmail, SkyDrive, Xbox o cualquier otro servicio de Microsoft con su cuenta de Microsoft. (Tal vez también vean algo como esto si tienen una contraseña que es muy común).

clip_image002

Cuando vean esto, por favor disculpen el inconveniente y tómense un momento para cambiar su contraseña a una nueva y única.

Cómo se pueden proteger

Sigan los siguientes pasos para protegerse de los criminales que buscan aprovecharse de ustedes.

1. Siempre escojan una contraseña fuerte y única. Aquí les decimos cómo hacerlo.

2. Agreguen pruebas de seguridad a su cuenta y revísenlas de manera regular para asegurarse que están actualizadas. Pueden agregar un teléfono, dirección de correo, o una PC confiable como prueba, y estas serán utilizadas para recuperar su cuenta si alguna vez pierden el acceso. Aquí les decimos cómo.

3. Sean cuidadosos al utilizar su cuenta en lugares públicos, y en especial con PC compartidas como las que se encuentran en hoteles y en los café internet, son muy inseguras, y en ocasiones tienen software malicioso instalado que robará sus contraseñas. Si tienen que utilizar alguna de éstas, ingresen con un código de una sola vez en lugar de su contraseña normal. Aquí les decimos cómo.

4. Sean cuidadosos al compartir información personal – contraseñas, direcciones de correo, direcciones físicas, información de tarjetas de crédito – estas piezas de información pueden ser utilizadas para acceder a tu cuenta.

5. Instala protección contra virus, spyware y malware en tu computadora, y mantenlo actualizado. Existen muchas opciones disponibles que son excelentes, incluido Microsoft Security Essentials, que es gratuito.

6. Asegúrate de que los filtros contra phishing de tu navegador están activos. Para IE, da clic en el icono de Herramientas en la barra de herramientas, dirigete a Seguridad y luego da clic en Activar Filtro SmartScreen. Para otros navegadores, revisa tus archivos de ayuda para instrucciones.

7. Asegúrate de estar en el sitio correcto antes de ingresar tu información personal. Ten cuidado con los sitios web que parecen ser demasiado buenos para ser verdad (aquellos que ofrecen increíbles precios) y siempre revisa la barra de dirección para asegurarte que es la URL correcta.

También recuerda que nosotros nunca enviaremos correos electrónicos en los que preguntemos por tu contraseña o cualquier otra información de seguridad o de tu cuenta. Cualquier correo que pregunte esta información siempre será phishing diseñado para robar tu contraseña o cualquier otra información de tu cuenta.

Como una nota final, por supuesto que tenemos sistemas de seguridad en constante evolución para bloquear accesos no autorizados a tu cuenta incluso si el atacante tiene tu contraseña. Estos sistemas razonan sobre patrones normales de ingreso, ubicación y otros factores, y bloquearán accesos no autorizados o en ocasiones proveerán retos de identidad adicionales para asegurarse que en verdad se trata de ti. Pero los criminales en ocasiones burlan estos sistemas, así que tener contraseñas buenas, fuertes y únicas, y seguir nuestros consejos de seguridad siempre son buenas ideas.

Gracias por ayudarnos a mantenerte seguro.