Los hackers reclaman un premio de $ 10.000 por ingresar a StrongWebmail

un reto. Y más que eso, les encanta el efectivo.

Eso es lo que descubrió Telesign esta semana. Como proveedor de software de autenticación basado en voz, la compañía desafió a los piratas informáticos a entrar en su sitio web StrongWebmail.com la semana pasada. ¿El premio? 10.000 dólares.

El jueves, un grupo de investigadores de seguridad afirmó haber ganado el concurso, que desafió a los piratas informáticos a entrar en la cuenta de correo web del director general de StrongWebmail, Darren Berkovitz, e informar los detalles de su entrada del 26 de junio. [Lectura adicional: Cómo eliminar el malware de su PC con Windows]

Los piratas informáticos, liderados por el científico en jefe de Secure Science Lance James y los investigadores de seguridad Aviv Raff y Mike Bailey, proporcionaron detalles del calendario de Berkovitz al IDG News Service. En una entrevista, Berkovitz confirmó que esos detalles eran de su cuenta.

Sin embargo, Berkovitz no pudo confirmar que los hackers en realidad habían ganado el premio. Dijo que necesitaría comprobar para confirmar que los piratas informáticos se habían atenido a las reglas del concurso, y agregó: "si alguien lo hizo, vamos a agacharnos la cabeza", dijo.

Las reglas del concurso impiden a los investigadores revelando cómo realizaron su ataque, pero también pudieron poner en peligro una prueba de la cuenta StrongWebmail configurada por IDG News Service. El ataque IDG no funcionó inicialmente, pero tuvo éxito cuando el software de seguridad llamado NoScript se deshabilitó en el navegador Firefox, ejecutándose en una máquina con Windows XP.

"Encontramos varios ataques entre sitios que nos permiten atacar a otros usuarios", James dijo. "Tienes que tener una cuenta registrada para lanzar el ataque".

StrongWebmail usa el sistema de autenticación telefónica de Telisign para ofrecer a los usuarios de correo web otra capa de seguridad. En lugar de iniciar sesión con un nombre de usuario y contraseña, los clientes también deben ingresar un código secreto que les sea llamado cada vez que quieran iniciar sesión en el sitio.

Los bancos han estado usando estos servidores de autenticación para ayudar a combatir a los ciberdelincuentes que a menudo robar nombres de usuario y contraseñas de las víctimas.

Pero este tipo de autenticación, llamada autenticación de dos factores, puede ser frustrada por los piratas informáticos utilizando lo que se conoce como un ataque de hombre en el medio. En este ataque, el software del hacker espera que el usuario inicie sesión legítimamente en el sitio web y luego se hace cargo. "Simplemente esperan a que inicies sesión y pueden hacer lo que quieran", dijo James.

James dijo que estos concursos podrían ser divertidos, pero que no proporcionan una medida realista de la seguridad real porque están gravados con reglas. El concurso StrongWebmail prohíbe trabajar con personas de la compañía, por ejemplo. "A un chico malo no le importan las reglas", dijo.

La seguridad de Webmail ha llamado mucho la atención durante el año pasado. En septiembre, un hacker obtuvo acceso a la cuenta de correo electrónico del Gobernador de Alaska Sarah Palin y publicó detalles de ella correspondencia en Internet. Un estudiante universitario llamado David Kernell fue acusado en ese incidente.

Sea cual sea el resultado del concurso, Berkovitz dice que espera que su concurso haga que los usuarios, y los proveedores de correo web como Google y Yahoo, piensen más en seguridad. "No estamos afirmando que esta es la última solución definitiva", dijo. "Pero estamos tratando de llamar la atención sobre la parte de nombre de usuario y contraseña".