¿Qué ha ocurrido realmente con Hotmail?

Si os digo la cifra de “10.000”, vosotros decís Hotmail ¿verdad? Sobran las palabras. Si vas al colegio, universidad o trabajo, con sólo preguntar algo así como “¿Te has enterado de lo de las 10000?”, no hace falta decir nada más para saber de que se está hablando. Salió en blogs, salió en toda la prensa online, y en unas pocas horas saltó a la prensa escrita y en televisión: Se habían publicado en internet una lista de más de 10.000 cuentas de Hotmail con su correspondiente contraseña. Y parecía que sólo era una parte (direcciones que empezasen por a y b), por lo que se recomendaba cambiar la contraseña urgentemente en caso de tener una cuenta en el servicio de correo de Microsoft.

La página Neowin daba esta noticia, y se propagó al resto del mundo como la gripe A: con caos, desconocimiento, aprovechamiento, malicia, amarillismo… Viendo titulares y posts de blogs, hagamos la reflexión de cosas que han pasado y cosas que no han pasado:

– Teoría 1: Windows Live Hotmail había sido comprometido: Dado el grandísimo número de cuentas listadas, su ordenación de “a” a “b” (evidenciando que había más listas), y sobretodo, que la mayoría (¿casi todas?) funcionaban correctamente, parecía ser que habían conseguido pinchar al gigante, y estaba sufriendo una gran hemorragia de cuentas y contraseñas. Yo personalmente, no me lo creía, no se, tenía la corazonada (no quiero risas…) de que no iban por ahí los tiros. De todas formas, Microsoft informó que ya estaba estudiando el asunto.

– Teoría 2-a: Comprometido un servicio legítimo que necesitase credenciales de hotmail: No sé si lo habrá realmente, pero también podría ser, alimentado por lo comentado antes: eran demasiadas cuentas válidas y dudaba que Hotmail se hubiese roto (salió el comunicado de Microsoft diciendo que en ningún caso se trataba de una falla de seguridad en sus sistemas, y yo les creo)

– Teoría 2-b: Descubierto el mayor phishing de Hotmail: Microsoft se pronunció, y dijo que en ningún caso se trataba de un fallo interno de su sistema de correo, así que lo más posible es que las cuentas fuesen obtenidas mediante el típico phishing de “Mira quién te ha no admitido.org“, “Mete tu cuenta y te damos 1000 emoticonos.net“, “Adivina dónde estás con tu cuenta de hotmail.com” o mi favorito (porque llevamos 15 años así) “Mete tu cuenta para salvar a Hotmail que lo van a quitar o lo hacen de pago.org“. Podréis visitar este post de SpamLoco para conocer un poco más sobre este tipo de mecanismos.

Para mi esta teoria es la que más fuerza tiene, pero eso si…el servicio que ofrecía el phishing debía ser muy válido y no descubierto por nadie, porque tantísima cuenta obtenida es algo bastante raro (si, sigo creyendo en la gente todavía…). O espera…¿y si se trataba de una red de páginas que, con el mismo fin, han conseguido una grandísima lista de cuentas válidas de incautos que todavía no saben que en las últimas versiones del protocolo no es posible saber quién te ha eliminado del msn?

¿Y si el leak de cuentas en pastebin, primer lugar dónde se distribuyeron las 10.000 contraseñas, no era más que un preview de alguien que estaba apunto de vender LA lista con todas las cuentas válidas obtenidas a lo largo de X años de fraude por muchísimo dinero?

Si, imaginaros la situación, como cuando estás en una discoteca y un señor te mete en la boca (pastebin) una pastilla (10.000 cuentas de correo con contraseñas), y si quieres más (cuentas) porque te ha gustado la mercancia (comprobación de que has conseguido acceder correctamente a algunas cuentas) ya te pasará más.

Microsoft ya ha iniciado el proceso de “recuperación” de cuentas, para todos aquellos afectados. Ahora sale a la palestra que es posible que se han liberado cuentas válidas de gmail y yahoo también.

Cuando pastebin estos días seguía permitiendo la búsqueda de contenido en sus ficheros (ahora están con la limpieza de las listas y no es posible realizar búsquedas relacionadas con este tema), intentamos buscar dicha lista, encontrándonos una con más de 10.000 pares de cuentas con contraseña. No estaban ordenadas de a a b, por lo que parecía ser que no era el fichero en cuestión del que tanto se hablaba.

Una vez analizadas las cuentas, y realizando las pruebas mínimas de estadísticas sobre fortaleza en las contraseñas, parecía ser que en realidad se trataba de cuentas obtenidas mediante un phishing relacionado con la página Neopets, una comunidad con animales virtuales. ¿Por qué creemos esto? En primer lugar, el top de contraseñas utilizadas para esas casi 11,000 cuentas eran nombres simples de animales, y además, como contraseña también se había utilizado mucho la palabra “neopets“.

Buscando e investigando, damos con posts en foros comentando la gran cantidad de phishings que hay en la red para intentar ganar puntos en esta comunidad, robando cuentas de otros.

Otro fichero con cuentas de correo que empiezan por a y b, y al lado sus contraseñas ha caído en nuestras manos. La gran mayoría de hotmail.com, pero hay otros muchos dominios implicados (ya sabemos que desde hace tiempo, no es necesario una cuenta de hotmail.com o live.com para entrar al MSN Messenger). Puede ser o no el referenciado por neowin, podría ser fake obviamente, pero creemos que tiene buena pinta. Analicemos las contraseñas de dicho fichero, imaginándonos que se trata del que ha supuesto tantos dolores de cabeza para mucha gente.

* En primer lugar, llama la atención que haya cuentas repetidas, con baile de caracteres en algunos casos, además de en sus contraseñas. Tambien, hay muchos errores a la hora de escribir el dominio asociado (hotmailcom, hotmailc.om, hotmeil.com, hotmai.fr….). Con este hecho podríamos decir que las cuentas se han obtenido por su introducción en un formulario, no sacadas de una base de datos de un servicio que funcione legítimamente (es decir, no se realiza una comprobación de la cuenta una vez introducida).

* También han quedado registrados intentos con palabras como asd, asdf, asdafasf, etc…seguramente introducidos por los que no se fiaban un pelo del tema. Minipunto para ellos.

* Como dato muy aislado, existe una cuenta en el fichero cuyo dominio corresponde con “borrame.net“. Si lo buscáis por google, sabréis perfectamente a que se dedicaba hace un tiempo antes de desaparecer…curioso cuanto menos.

* Sigamos con las contraseñas como tal. Estadísticas, teniendo en cuenta fallos de introducción en los datos, repeticiones, equivocaciones y demás. A pesar de todo, podemos hacernos una idea de la política que siguen muchos usuarios a la hora de elegir sus contraseñas (curiosamente, muy hispanas…):