Blog

Como pueden robar nuestras contraseñas

Como pueden robar nuestras contraseñas

Las contraseñas son actualmente la forma más común de demostrar que somos quienes decimos ser cuando se trata de usar servicios en línea.Son necesarias para identificarnos en cuentas de redes sociales, correo electrónico e incluso nuestros propios dispositivos.

Las contraseñas también son necesarias para tener acceso a nuestros teléfonos móviles, aplicaciones bancarias, y archivos confidenciales.

Para muchos servicios en línea, una contraseña es lo único que evita que un pirata informático, acceda a nuestros datos haciendose pasar por nosotros.

Si bien la creación de una contraseña más o menos robusta puede parecer una apuesta segura, grandes empresas supuestamente confiables como eBay, LinkedIn y más recientemente Facebook han visto comprometidas las credenciales de muchos de sus usuarios.

En primer lugar, reutilizamos nuestras contraseñas, es decir usamos la misma contraseña en varios sitios, durante años o incluso décadas.

También somos increíblemente predecibles.

Tendemos a usar contraseñas personalizadas porque son más fáciles de recordar. Debido a nuestra capacidad de memoria visual , es más fácil recordar imágenes e información con las que ya estamos familiarizados y que tienen algún significado para nosotros.

contraseñas predecibles

Es por eso que a menudo creamos contraseñas predecibles basadas en elementos que nos resultan familiares, como por ejemplo nombres de mascotas o fechas de cumpleaños.

La regla general estándar solía ser (y continua siéndolo en muchas empresas) cambiar las contraseñas cada 90 días.

Sin embargo, este método es ineficaz. Cuando las personas se ven obligadas a cambiar sus contraseñas de manera regular, lo consideran un engorro y ponen menos esfuerzo en ello.

Si tenemos una contraseña como password o abcdefgh, solo le tomaría a un pirata informático 0.29 milisegundos para descifrarla. La contraseña 1234567890 se descifra en un abrir y cerrar de ojos.

Incluso las contraseñas más complicadas se piratean bastante rápido. El tiempo que solía llevar a los piratas informáticos descifrar una contraseña compleja, se ha reducido de años a meses, incluso días.

Los ciberdelincuentes, primero buscan las contraseñas más fáciles y comunes, luego pasan a las contraseñas con la menor cantidad de caracteres.

Mientras que una contraseña con siete caracteres puede demorar solo 0.29 milisegundos, una con 12 caracteres puede demorar hasta dos siglos.

Cuanto más largas y complejas sean las contraseñas, más tiempo les tomará a los malos dar con la combinación correcta.

Puedes visitar esta web y comprobar lo que tardaría un pirata informático en descifrar tus contraseñas.

Cómo piratean los ciberdelincuentes las contraseñas

En primer lugar,es importante entender que muchos se lo toman como un trabajo, es a lo que la mayoría de esta gente dedica su tiempo y esfuerzos, por lo que sus métodos y estratégias evolucionan cada dia.

A continuación, intentamos explicar las formas más comunes en que los piratas informáticos pueden acceder a nuestros credenciales.

Ataques de keylogger

Un keylogger es un tipo de software o dispositivo de hardware (generalmente una unidad flash USB o un pequeño dispositivo que se inserta dentro del teclado), diseñado para monitorizar y registrar las pulsaciones que se realizan en el teclado de un dispositivo.

Puede usarse como una herramienta de control legitima tanto para uso personal (por ejemplo como medio de control parental por parte de progenitores paranoicos) como profesional, para supervisar las actividades de los empleados de una empresa.

No obstante, el registro de pulsaciones de teclas también puede ser un medio utilizado por los ciberdelincuentes, para robar información sensible, credenciales de inicio de sesión y otros datos confidenciales de particulares o empresas.

Los keyloggers también están disponibles para su uso en teléfonos inteligentes.

Una buena idea para evitar esto, es utilizar el teclado virtual, que muchos servicios de banca en línea ofrecen en sus páginas web.

Para llevar a cabo acciones puntuales, es posible activar el teclado virtual de Windows 10: haz click derecho en la barra de tareas, y en el menú que te aparecerá pulsa en la opción Mostrar el botón del teclado táctil.

Spyhelter Free, es un programa que te ayuda a detectar y eliminar los keyloggers de tu ordenador.

Viene con un diseño excelente, y es una herramienta rápida y potente con algoritmos de procesamiento seguros que no afectarán el rendimiento de tu sistema.

Ataques de fuerza bruta

Si utilizamos contraseñas predecibles, mediante este método pueden adivinarlas en unos pocos intentos.

Cuando se utiliza el método de fuerza bruta, los piratas informáticos acostumbran a tirar de algún software que intenta varias veces distintas combinaciones.

Esta es una forma facil de robar nuestra información, ya que muchos usuarios usan contraseñas como abcd, qwerty, xxxxxx,iloveyou y cosas similares de las que hay que huir como de la peste negra.

Algunos de los programas más utilizados para  perpetrar ataques de fuerza bruta son: Brutus, Wfuzz y RainbowCrack.

Ataques de fuerza bruta

Hay varias formas de prevenir ataques de fuerza bruta.

Primero, y si el servicio lo permite, puedes implementar una política de bloqueo de cuenta, para que después de algunos intentos fallidos de inicio de sesión, la cuenta se congele hasta que un administrador la desbloquee.

La verificación en dos pasos, es posiblemente la forma más efectiva de proteger tu identidad en línea, haciendo más difícil que otra persona inicie sesión en tus cuentas.

Usa dos formas diferentes de identificación: tu contraseña y un método externo de verificación.

Básicamente, el servicio al que quieres acceder, manda un código a una aplicación instalada en tu móvil y te pide que ingreses este código junto al nombre de usuario y la contraseña.

Incluso si alguien descubre tu contraseña, no podrá iniciar sesión si no tiene acceso al código de seguridad.

Google Authenticator crea códigos para la verificación en dos pasos en tu teléfono.A parte de proteger nuestra cuenta de Google, tambien puede utilizarse en otros servicios.

Latch protege tus servicios online bloqueando temporalmente el mecanismo de inicio de sesión, los pagos con tarjeta de crédito, el acceso a correo electrónico, etc.Puedes descárgate la app desde tu market store oficial.

Por supuesto, si has perdido el teléfono o te lo han robado, te recomendamos encarecidamente que revoques tus contraseñas de aplicación.Eso te ayudará a evitar que otras personas accedan a tus cuentas desde tu teléfono.

Ataques de diccionario

Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario, en un idioma determinado

Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar, lo cual no es una práctica recomendable.

Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes con letras en mayúsculas, minúsculas, números y caracteres especiales.

Ataques de phishing

El phishing es una forma de estafa mediante ingeniería social dirigido tanto a usuarios particulares como corporativos, con el objetivo de obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.

Para ello, los piratas informáticos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañia telefónica, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar, y que haga clic en un enlace malicioso, que les redirigirá a una página web falsa.

Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de realizar algun trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.

Uno de los errores más comunes es entrar en pánico y no reflexionar.

Si, por ejemplo, recibimos un correo, mensaje o llamada en la que nos dicen que nuestra cuenta bancaria ha sido bloqueada y que para restaurarla hay que realizar alguna acción urgente, el siguiente paso lógico debería ser ponernos en contacto con nuestro banco o acceder directamente a la cuenta, para comprobar si existe o no algún problema.

En caso de poder operar con normalidad, estaríamos ante un caso de intento de estafa.

Lo mismo puede aplicarse a cualquier otro servicio como por ejemplo Facebook,Twiter o nuestro proveedor de servicios de internet.

El viejo método de mirar por encima del hombro (en inglés, Shoulder surfing)

Si estamos en un lugar público, absortos en nuestro teléfono o tablet, ya sea en el gimnasio, una cafetería, el aeropuerto o simplemente en un banco del parque, alguien podría estar mirando por encima del hombro para ver qué que estamos tecleando.

El fisgón podría ser simplemente un curioso, o un delincuente que está tratando de capturar nuestra información de inicio de sesión, para poder usarla y acceder a nuestras cuentas.

 Shoulder surfing

No es nada sofisticado, pero a veces es efectivo.

Sin entrar en paranoias, u otro tipo de interpretaciones, cuando ingreses contraseñas en tu dispositivo, siempre debes hacerlo con la espalda pegada la pared.

Si eso no es posible, fijate en quién está a tu alrededor o detrás de ti, e intenta proteger la pantalla del dispositivo.

Por supuesto, el Shoulder surfing también puede ocurrir en tu lugar de trabajo, donde las pantallas del ordenador están a la vista de todos, y cualquiera que pase por allí puede ver lo que estas haciendo.

Utilzar los típicos posits pegados a la pantalla (o en otro sitio)  del ordenador,también es una costumbre que tenemos que erradicar.

A modo de curiosidad, mediante las gafas de Google (Google Glass) y cierto algoritmo, es posible hacerse con las claves de acceso de las personas grabadas en video a medida que escriben sus credenciales, incluso cuando la pantalla en sí no es visible para la cámara de las gafas.

El ataque funciona observando el movimiento de los dedos para determinar qué teclas están pulsando.

Muy básicamente, para capturar el código de acceso, el software debe identificar la posición y orientación de la pantalla de un dispositivo, (por ejemplo un cajero automático) así como la posición de las puntas de los dedos de una persona al pulsar sobre ella.

Robo de contraseñas de texto sin formato

Algunos proveedores de servicios, no se complican demasiado la vida, y simplemente colocan las contraseñas junto a nuestro nombre de usuario, en una base de datos sin cifrar.

Todo lo que los ciberdelincuentes tiene que hacer es encontrarla y descargarla. Incluso pueden vender esta base de datos en la Dark Web.

Afortunadamente, cada vez menos sitios almacenan contraseñas en texto sin formato y aunque todavía lo vemos de vez en cuando (Facebook guardó millones de contraseñas en formato de texto, sin ningún tipo de cifrado y a la vista de miles empleados de la red social), este tipo de ataque no es tan común.

Ante los fallos o la desidia de terceros, muy poco podemos hacer, pero si utilizamos la autentificación basada en múltiples factores, será más difícil que puedan utilizar las credenciales robadas.

Ataques en hashes de contraseñas

Aunque el objetivo principal de este tipo de ataque suelen ser los servidores de los proveedores de servicios en línea, que almacenan una gran cantidad de contraseñas, es conveniente comprender aunque sea de forma muy básica, cómo funcionan este tipo de ataques.

Cuando nos registramos, por ejemplo en Facebook, antes de almacenar nuestra contraseña en su base de datos, el proveedor de servicios debe hacer un hash.

El hash es una función criptográfica que convierte una contraseña en una larga cadena de caracteres alfanuméricos.

En teoría, es un proceso no reversible, lo que significa que una vez que se ha modificado, una contraseña no se puede volver a su forma normal.

hash

Existen muchos algoritmos de hashing distintos. Algunos son fáciles de romper por parte de un cracker, y otros no.

Los algoritmos más antiguos y débiles son vulnerables a los llamados ataques de tabla del arco iris (rainbow tables) que contienen una gran cantidad de hashes precalculados que los ciberdelincuentes utilizan para reventar las contraseñas.

Estos ficheros, que se pueden encontrar en internet (algúnos gratuitos y otros previo pago) pueden llegar a tener un tamaño de varios cientos de gigabytes, y contienen un listado de claves junto con sus valores hash correspondientes.

Un ejemplo de software que utiliza las Rainbow Tables es Ophcrack, este programa sirve para crackear las contraseñas de sistemas operativos Windows.

Para los desarrolladores de sitios web y los administradores de sistemas, combatir los ataques a las contraseñas almacenadas significa aplicarles un algoritmo fuerte y emplear una criptográfia única para cada usuario.

De esa forma, incluso si dos usuarios usan las mismas contraseñas, los hash serán diferentes.

Naturalmente, proteger la base de datos que contiene los hashes es igual de importante.

Protegiendo nuestra contraseña contra los ciberdelincuentes

Las precauciones contra los ataques de robo de contraseñas deberían ser bastante obvias, pero el número colosal de víctimas demuestra que muchos usuarios están subestimando el problema o no saben como actuar para prevenirlo.

Activar las actualizaciones automáticas de todos los programa de terceros que usamos en el ordenador, y tener actualizado el sistema operativo, nos asegurara de tener todos los parches y correcciones de seguridad.

Ejecutar un programa antimalware de buena reputación también minimiza las posibilidades de ser golpeados por troyanos y keyloggers, spyware u otro tipo de malware con la capacidad de robar contraseñas.

Tratar como si fuese sospecho, cada correo electrónico, enlace y archivo, aunque provenga de nuestra abuela, puede evitar ataques de phishing, junto con una gestión adecuada de las contraseñas ayudará en la medida de lo posible a permanecer un poco más seguros.

En cualquier caso, los métodos de autentificación basados en usuario y contraseña, empiezan a estar algo obsoletos.

Implementar la autenticación en múltiples factores, como el reconocimiento mediante una aplicación instalada en un dispositivo externo, códigos QR, notificaciones push, o la biometría (reconocimiento facial, mediante huella dactilar etc.) permite minimizar el riesgo de que las credenciales se vean comprometidas o sean robadas y agregan una capa adicional de protección.

Avisos de seguridad

Hosting Optimizado: Tu web más rápida y segura que nunca.