El fin del hacking por ingeniería social

La mayor parte de los sistemas de acceso a las webs, correos o cualquier otro sistema informático son técnicamente lo suficientemente robustos para que utilizar métodos de fuerza bruta o criptográficos sea muy, muy complicado (hablo de webs que ya tengan ssl, ordenadores que no tengan keyloggers ni cosas de esas). De hecho los medios para romper una clave rsa que tuvo que poner la NSA (11.000 millones de dólares) no están al alcance de cualquier hacker y, desde luego, no de cualquier hacker que ande por ahí. Sin embargo, se siguen produciendo ataques, filtraciones e intrusiones en nuestras cuentas usando el método más barato de todos: la ingeniería social.

Mediante ingeniería social lo que un hacker hace es tratar de que tu mismo le entregues tus claves o, en el peor de los casos, utilizar alguna clave tuya conocida para derivar la que puede ser tu clave para ese sistema. En 2004 el New York Post publicaba un artículo en el que se describía un experimento por el que un desconocido ofrecía un dulce a cualquiera que le diese la contraseña de su correo… Y el resultado fue sorprendente, 7 de cada 10 personas entregaron la contraseña de su correo. De esta manera da igual que tengamos SSL, TLS, un sistema límpio, y todas las medidas que queramos que mediante ingeniería social cualquier atacante puede descubir nuestras contraseñas. Además, nuestro cerebro no es capaz de recordar secuencias de caracteres aleatorios, o al menos no muchas, por lo que al final solemos usar alguna heurística para tener una sola contraseña y derivar otras en base a esas. Un sistema que conduce, irremisiblemente a regalar nuestras contraseñas a cualquiera que esté interesado por ellas.

¿Cual es mi solución? Muy sencillo, que el usuario no sepa las contraseñas, no es necesario cambiar ningún sistema, ni recordar nada, ni preocuparse lo más mínimo, simplemente olvidate de las contraseñas. Para conseguir esto he creado el sistema nomorepass, que además de generarte contraseñas y almacenarlas de manera segura en tu dispositivo móvil (y solo en tu dispositivo, nada de copiarlo en la nube, ni en nuestros servidores, ni en los ordenadores) te permite enviarlas de manera segura a la web o el dispositivo que la necesita… Todo ello sin que tu tengas que saber cual es la contraseña y, por tanto, sin poder ser presa de la ingeniería social.

Llevando esto al extremo, he desarrollado un nuevo plugin para wordpress que permite hacer los registros de usuario de manera automática, sin tener que elegir un password y que lo almacena directamente y de forma segura en tu app nomorepass. Puedes hacer la prueba registrándote en este blog, simplemente pincha aquí, escribe tu nick y tu email, pincha en el icono de nomorepass y luego escanea el qr con la app usando el botón rojo. ¡voila! ya estás registrado y con tus credenciales en tu teléfono… ¡Y ni siquiera sabes qué contraseña has usado!!

Deja de usar sistemas obsoletos, de escribir las contraseñas en papeles, tener una sola contraseña (con variaciones) para todas tus cuentas o, simplemente, deja de acordarte de tus contraseñas… Usa nomorepass. Es gratis, pero si, además, quieres tener una seguridad extra puedes suscribirte, si dejas un comentario en esta entrada te enviaré un código para que puedas disfrutar de todas las funcionalidades premium durante un mes… ¿Qué esperas?

¿El emprendedor nace o se hace?

Esta es una de las preguntas que se plantearon en uno de los talleres de la aceleradora en la que estamos con nomorepass, la verdad es que la respuesta no es única, sino que varía en función del emprendedor, había quien estaba allí obligado, quien tuvo un tardío despertar o quien, como yo, sentía la llamada desde pequeño.

Al principio me pareció una pregunta tonta, incluso trampa, para obtener una respuesta “políticamente correcta” sobre el equilibrio entre los genes y la educación, pero a mi me sirvió para darme cuenta que, realmente, ahora estoy haciendo lo que siempre había querido hacer. Recordé que mi heroe de pequeño era el tio Gilito, el tío rico de los sobrinos de Donald y cuyas aventuras yo seguía avidamente en mis tiempos mozos leyendo tebeos “Don Miki.

Quizá lo que me atrajo al principio fue el hecho de estar “forrado”, pero recordando esta época lo que me atraía de este personaje no era el mucho o poco dinero que pudiese tener, ni sus problemas con los golfos apandadores, sino que todo lo que tenía lo había conseguido por sí mismo. Le costaba una enormidad gastar la más mínima cantidad de su inmensa fortuna y estaba siempre ocupado haciendo negocios, pero a mi me gustaba por que había ganado todo ese dinero por sus propios medios, siguiendo su pasión y siendo libre allí donde iba.

Si, quizá ese no era el personaje más popular de los de Disney, pero, oye, para mi lo era. No puedo releer las historias de mi infancia porque, como tantas otras cosas, desaparecieron de mi casa por arte de magia (o de limpieza, como diría mi madre).

Haciendo memoria, recuerdo que cuando me asaltó la fiebre por la informática, de la que todavía no me he librado, una de las primeras cosas “raras” que hice con mi CPC464 es crear un “banco” donde permitía a mis hermanas depositar su dinero y tener su propia cuenta bancaria… Creo que ya apuntaba maneras. También recuerdo que, al poco de cumplir los 18 años, impulsado por la misma fiebre emprendedora de mi ídolo de papel, creí necesario informarme de lo que se necesitaba para crear una empresa, todavía no sabía de qué, y mandé una consulta por correo a un organismo pùblico (no recuerdo cual) y de la que, para mi sorpresa, recibí respuesta en forma de un documento larguísimo con todas las opciones y trámites que tendría que realizar para crear una empresa… De hecho ya tenía hasta el nombre: “Illusion”. Pero como no tenía modelo de negocio y los trámites eran largos, tediosos y costosos ahí terminó mi primera etapa de emprendedor en ciernes.

Aunque cada vez me fuí imbuyendo más y más del espíritu de la informática, nunca abandoné mis tendencias emprendedoras. Admiraba y admiro a los grandes de la informática tanto por su destreza técnica como por la forma en que pudieron crear algo grande (yo siempre digo que quiero ser Wozniak en vez de Jobs, pero también reconozco que Bill Gates creó algo de la nada e hizo más por popularizar los ordenadores que cualquier otra persona). La vida, sin embargo, nos obliga a seguir caminos predeterminados. En el 96, cuando salí de la facultad no se me pasaba por la cabeza montar nada por mi cuenta, y fueron las circunstancias las que me obligaron años más tarde a montar mi primera empresa. Soy el único emprendedor de mis amigos de facultad, y probablemente, sea el que menos dinero gana y más tiempo dedica a su trabajo pero, oye, sarna con gusto no pica.

En fin, este no es un post para recomendaros que seais emprendedores, quizá lo que quería recordar es que para ser emprendedor hay que tener una vocación muy especial. Que no todo el mundo está preparado para los sacrificios y el alto coste personal que vas a tener que afrontar ante tu familia y amigos. Que muchas veces vas a querer tirar la toalla, rendirte ante las circunstancias y entregarte a un empleo estable, con jefe despótico y recompensas poco habituales, donde no se te pague por opinar y la proactividad te la tengas que dejar en casa. Y, finalmente, que sin el apoyo de tu pareja o hijos vas a estar muy jodido, así que piénsatelo muy bien antes de emprender un camino que puede que no te lleve a ninguna parte y que hará que propios y extraños te miren mal. Lo mio ya no tiene remedio.

Registro de usuario express

Como usuario intensivo y extensivo de la web me encuentro que una de las cosas más anodinas y repetitivas que tengo que hacer cada vez que quiero probar una nueva web es el registro de usuario.

En el mejor de los casos solo se me pide un email y una contraseña, en el peor un formulario intrincado y complejo con recaptchas y verificaciones adicionales que hacen que, muy a mi pesar, desista de registrarme o, si no me queda más remedio, comience la experiencia con la nueva web un poco mosqueado.

Sin entrar en más teorías sobre interfaces de usuario, y basándome en mi propia experiencia, creo que lo único que debería pedírseme inicialmente para registrarme es el email (y/o el nombre de usuario si es que la web los usa). Del password no quiero ni saberlo (por eso uso nomorepass) y el resto de datos ya los rellenaré si me interesa la web en cuestión.

Así que, dado que es algo en lo que yo puedo aportar mi granito de arena como programador y fundador de NoMorePass, me puse manos a la obra y he creado una nueva versión del plugin nomorepass para wordpress que permite registrarse, recibir el password en el móvil y hacer login de una sola vez… ¿interesante?

Todavía no he subido a la tienda oficial el plugin, si lo quieres probar lo puedes descargar aquí, aunque va sin ninguna garantía, lo he probado bastante como para decir que no tiene demasiados errores. Eso sí, si quieres ver cómo funciona de verdad, solo tienes que registrarte en esta página (sigue este enlace)… Para poder registrarte tendrás que haberte instalado antes nomorepass (android o ios) y haber entrado en la app al menos una vez (para ponerle la contraseña maestra). Si ya la tienes instalada no hace falta que hagas nada más.

Escribe tu nombre de usuario deseado, tu email y haz click en el icono de nomorepass.. Usa el botón rojo de nomorepass para escanear el código y ¡voila! estás registrado y con la contraseña segura en nomorepass (y además has hecho login ya directamente)… Todo ello superseguro, protegido por la tecnología NoMorePass, ¿qué más se os ocurre que puedo poner?

 

Cataluña y los españoles

Estoy preocupado, llevo semanas intentando escribir algo técnico de lo mucho (y bueno) que estoy haciendo en varios proyectos, pero no me sale nada. Necesito escribir primero esta entrada para, al menos, liberarme de todos estos malos rollos en los que estamos metidos. Simplemente dejaré mi opinión, sois libres de daros por aludidos, ofenderos o pensar lo que queráis. Otra cosa no, pero seguimos – por el momento – teniendo libertad de expresión.

Lo que los medios de incomunicación han dado en llamar “el desafío soberanista” no es nada nuevo. Desde que tengo una cuenta de email (hablamos de 1988) una de las primeras cosas que se hacían en los grupos de news de usenet era discutir sobre las reivindicaciones catalanistas y, si cualquiera puede acceder al registro, mis opiniones ya en esa época eran las mismas que ahora: Cataluña está mejor dentro de España, reclamar la protección de la cultura y legado Catalán es muy loable, pero querer aportar menos dinero al fondo general es, simplemente, ser más insolidario. Ciertamente ningún sistema es perfecto, pero la idea de que formar un nuevo país sería más rentable, bueno, simplemente no la veo.

Mi opinión con respecto a la situación actual es simple, se han utilizado las banderas como meras excusas para tapar toda la mierda que acumulan ambos partidos en el poder. Gracias al izado de banderas, a las que la gente ha seguido como borregos manejados por su perro pastor, se ha dejado de hablar de los problemas reales que afectan a los ciudadanos. Gracias a que tu bandera tiene más barras que la mía puedes olvidarte del 3%, de los misales, de los viajes a Andorra y de los recortes de tu estado del bienestar y gracias a que tenemos que defender la unidad sagrada de nuestro territorio ya no nos importa que los jueces condenen en firme a los ladrones que nos han venido robando sistemáticamente durante décadas… Total, lo que nos va es la marcha, siempre que pueda insultar a alguien qué más da quien sea, cambiamos el político por el nacionalista y yastá…

Lo que de verdad me entristece no es la táctica del “divide y vencerás” más vieja que el hilo negro, o que el “buscar un enemigo común” les esté funcionando de maravilla, lo peor es que gente que tengo en alta consideración y que, me consta, son buenas personas todas ellas empiezan a comportarse como peligrosos ultras. No me importa exhibir banderas, no me importa opinar si existe o no el derecho a la autodeterminación, disfruto de una buena charla siempre que haya argumentos. Lo que empieza a tocarme las narices es entender la política haciendo que el que no opina como tu sea tu enemigo y “al enemigo ni agua”, que no se intente buscar una solución sino una victoria, que no se atienda a razones sino que se busque la confrontación, la descalificación y la humillación.

Podemos echar la culpa a las “fake news”, podemos decir que son los trolls de internet los que dirigen a las masas digitales, podemos decir que en persona no se dicen las mismas cosas, pero es que hay gente que ya empieza a emborracharse del ambiente de batalla y empieza a disparar contra todo lo que se mueve. Ya no importa el tema de la independencia, ya es simplemente la diferencia ideológica la que te pone en el punto de mira. Si opinas distinto, si no condenas, empujas o insultas como ellos eres del enemigo o, peor, eres un tibio equidistante que mereces la peor de las suertes, porque quedarás mal con cualquiera de los dos bandos… Y digo yo, ¿Qué carajo de bandos? ¿porqué nos empeñamos en continuar dividiendo cuando debíamos multiplicar?

Por favor, por favor, seamos un poco sensatos… Aquel al que estás insultando por el número de barras de su bandera puede ser alguien con quien te tengas que tomar un café y comentar el último partido de liga… ¡Un poquito de porfavor!