Un hombre de 30 años fue sentenciado a seis meses de prisión, tras ser hallado culpable de haber accedido a más de 1.000 cuentas de email en un área universitaria de Nueva York en busca de fotografías con contenido sexual explícito y videos de mujeres en edad universitaria.
Jonathan Powel, de Phoenix, Arizona, vulneró los servidores de la universidad (no mencionada) para obtener acceso a una herramienta de restablecimiento de contraseñas utilizada por el staff de IT de cuando los estudiantes olvidaban sus contraseñas de ingreso. Una vez que Powell obtuvo el acceso a cuentas de correo comprometidas, pudo solicitar el restablecimiento de contraseñas en sitios web de terceros, permitiéndole ingresar en varias de las cuentas de las víctimas, incluyendo Apple iCloud, Facebook, Google, Linkedin, y Yahoo.
“Jonathan Powell utilizó sus conocimientos de informática para vulnerar la seguridad de una universidad y obtener acceso a las cuentas personales de sus estudiantes. Una vez que Powell consiguió acceder, buscó fotos y videos comprometedores dentro de las cuentas”, dijo el Fiscal de los Estados Unidos Geoffrey S. Berman. “Ningún estudiante universitario debería temer que su información personal y privada pueda ser minada por extraños en búsqueda de material potencialmente comprometedor”.
De acuerdo con el comunicado de prensa del Departamento de Justicia, los registros de la Universidad revelaron que Powell tuvo acceso a la herramienta de restablecimiento de contraseñas 18.640 veces entre octubre de 2015 y septiembre de 2016.
Powell tuvo éxito modificando aproximadamente 1.378 contraseñas asociadas con 1.035 cuentas de correo únicas. En algunos casos, Powell comprometió la misma cuenta en múltiples ocasiones.
Las investigaciones llevadas a cabo por las fuerzas policiales hallaron que Powell también había comprometido 15 cuentas de correo electrónico en otra Universidad en Pennsylvania, y tras ser arrestado confesó a los oficiales que también había comprometido cuentas de correo en Arizona, Florida, Ohio y Texas.
Hay algunas lecciones para aprender de este caso desagradable.
En primer lugar, los equipos de IT que cuentan con herramientas para restablecer las contraseñas de sus usuarios deben asegurarse de estar lo suficientemente protegidos para evitar el acceso a usuarios desautorizados. La protección de dichas herramientas de los cibercriminales es tan importante como la de la información sensible, debido al tamaño de los daños que pueden generarse si se hace un mal uso de ellas.
Al ver que un número considerable de universidades alrededor de Estados Unidos parece haber sido comprometido por Powell, lo más lógico sería que otras organizaciones (no sólo universidades, y no sólo en Estados Unidos) evaluaran qué tan seguras mantienen sus poderosas herramientas de administrador.
Por otro lado, está claro que el criminal utilizó la violación inicial a las cuentas de correo de los estudiantes universitarios para luego lanzar ataques contra cuentas externas – incluyendo conocidas cuentas de correo web y sitios de redes sociales.
Todos los sitios mencionados en el comunicado de prensa del Departamento de Justicia (Apple iCloud, Facebook, Google, Linkedin, and Yahoo) pueden tener habilitados funcionalidades de seguridad adicionales, como un doble factor de autenticación. En algunos casos, pueden incluso recibirse notificaciones de acceso, o ver dónde y cuándo se realizó el último acceso a tu cuenta – lo que podría actuar como alerta de que algo sospechoso está ocurriendo.
Además de haber sido sentenciado a seis meses de prisión, Powell también tendrá que pasar dos años en libertad condicional, y deberá pagar $278.855 dólares de retribución. Por cómo suenan las cosas, no volverá a ingresar a las cuentas de ningún estudiante en el corto tiempo.
Pero esto no significa que otros no intenten utilizar trucos similares para cazar a los inocentes. Tomate en serio tu seguridad en línea hoy, o paga el precio mañana.