Las omnipresentes (y obsoletas) contraseñas son actualmente la forma más común de demostrar que somos quienes decimos ser cuando se trata de usar servicios en línea. Son necesarias para identificarnos en cuentas de redes sociales, correo electrónico e incluso nuestros propios dispositivos.
Lamentablemente, muchas veces una contraseña es lo único que evita que un pirata informático pueda acceder a nuestros datos haciéndose pasar por nosotros.
Si bien la creación de una contraseña más o menos robusta puede parecer una apuesta segura, la verdad es que también es susceptible de ser robada
También somos increíblemente predecibles.
Debido a nuestra capacidad de memoria visual, es más fácil recordar imágenes e información con las que ya estamos familiarizados y que tienen algún significado para nosotros.
Es por eso que a menudo acostumbramos a crear contraseñas basadas en elementos que nos resultan familiares, como por ejemplo nombres de mascotas o fechas de cumpleaños.
- Si tenemos una contraseña como password o abcdefgh un pirata informático solo tardaría 0.29 milisegundos en descifrarla.
- La contraseña 1234567890, también se descifra en un abrir y cerrar de ojos.
- Algo como 17EMba214Z costaría unos 7 meses.
- Si nuestra contraseña es R€478&?58...XZ, adivinarla llevaria unos cuantos miles de años.
Puedes visitar esta web y comprobar lo que tardaría un villano en descifrar tus contraseñas.
La regla general estándar solía ser (y continúa siéndolo en muchas empresas) cambiar las contraseñas cada 90 días.
Sin embargo, este método es ineficaz.
Cuando las personas nos vemos obligadas a cambiar nuestras contraseñas de manera regular, lo consideramos un engorro y ponemos menos esfuerzo en ello.
Incluso si el departamento de TI de nuestra empresa, nos fuerza a crear contraseñas más complejas, muchas veces optamos por repetir alguna de las anteriores.
Cómo piratean los ciberdelincuentes las contraseñas
A continuación, intentamos explicar las formas más comunes mediante las cuales los piratas informáticos intentan acceder a nuestras credenciales
Ataques de keylogger
Un keylogger es un tipo de software o dispositivo de hardware (generalmente una unidad flash USB o un pequeño dispositivo que se inserta dentro del teclado), diseñado para monitorizar y registrar las pulsaciones que se realizan en el teclado de un dispositivo.
De esta manera, los ciberdelincuentes, pueden robar información sensible en tiempo real, como credenciales de inicio de sesión y otros datos confidenciales.
Los keyloggers también están disponibles para su uso en teléfonos inteligentes.
Ataques de fuerza bruta
Un ataque de fuerza bruta es algo similar a probar todas las llaves de un llavero hasta encontrar la que abre la puerta.
Para conseguir su objetivo (y no morir de viejos en el intento), los piratas informáticos acostumbran a tirar de algún software, que va probando varias veces distintas combinaciones.
Esta es una forma fácil de robar nuestra información, ya que muchos usamos contraseñas como abcd, qwerty, iloveyou y cosas similares de las que hay que huir como de la peste negra.
Algunos de los programas más utilizados para perpetrar ataques de fuerza bruta son: Brutus, Wfuzz y RainbowCrack.
Ataques de diccionario
Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario, en un idioma determinado.
Los atacantes también pueden utilizar listas con las contraseñas más comunes, nombres de mascotas, nombres de personajes de ficción, etc.
Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar como contraseña una palabra existente en su idioma.
De esta forma, la clave es más fácil de recordar.
Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes y complejas con letras en mayúsculas, minúsculas, números y caracteres especiales.
Ataques de phishing
El phishing es una forma de estafa mediante ingeniería social cuyo objetivo es obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.
Para ello, los piratas informáticos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.
Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, Hacienda, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.
El objetivo es que rellene un formulario con sus datos, o haga clic en un enlace malicioso, que le enviará a una página web falsa.
Uno de los errores más comunes que cometemos es entrar en pánico y no reflexionar.
El viejo método de mirar por encima del hombro (en inglés, Shoulder surfing)
Si estamos en un lugar público, absortos en nuestro teléfono o tablet, alguien podría estar mirando por encima del hombro para ver qué que estamos tecleando.
El fisgón podría ser simplemente un curioso, o un espabilado que está tratando de capturar nuestra información de inicio de sesión, para poder usarla y acceder a nuestras cuentas.
No es nada sofisticado, pero a veces es efectivo.
Cuando ingreses contraseñas en tu dispositivo, no hace falta que lo hagas con la espalda pegada la pared.
Pero fíjate en quién está a tu alrededor o detrás de ti, e intenta proteger la pantalla del dispositivo.
Puntos de acceso wifi falsos.
Un punto de acceso no autorizado es una red wifi normalmente gratuita diseñada para engañar a los usuarios para que se conecten a ella.
Incluso puede adoptar un nombre parecido al de una red legítima a la que nos conectamos habitualmente.
Es capaz de robar contraseñas, controlar tu experiencia en Internet y espiar los dispositivos conectados.
Los piratas informáticos que implementan puntos de acceso de rouge no necesitan hacer una gran inversión, ya que existen herramientas que se ejecutan en hardware simple y de bajo coste.
Por lo tanto, cuando usas wifi en un lugar público siempre debes saber a qué red estás conectado
Si un dispositivo se conecta automáticamente, es probable que ni siquiera sepas si un atacante se ha hecho cargo de tu conexión a Internet.
Las formas en que los teléfonos móviles almacenan las redes inalámbricas a las que se han conectado anteriormente no son muy inteligentes.
La mayoría de dispositivos se unirán automáticamente a cualquier red con el mismo nombre a la que se han unido antes, a no ser que desactivemos esta función mediante las opciones de nuestro dispositivo.
Relleno de Credenciales
El relleno de credenciales utiliza contraseñas comprometidas y obtenidas de filtraciones de datos, para acceder a cuentas en línea.
Los piratas informáticos prueban los mismos nombres de usuario junto con sus correspondientes contraseñas en una cantidad significativa de cuentas distintas.
Evita reutilizar las contraseñas. Si usas la misma contraseña en varias cuentas, es más fácil ser víctima de un ataque de relleno de credenciales.
Para ello, acostumbran a utilizar bots que automatizan los intentos de inicio de sesión
Aplicaciones maliciosas para teléfonos móviles
Los infames troyanos bancarios como Anubis (de código abierto y disponible gratuitamente), muy popular durante los tiempos duros de la pandemia, continúan siendo una de las principales amenazas para los dispositivos móviles Android.
Están diseñados para robar contraseña de aplicaciones bancarias, tarjetas de crédito y billeteras electrónicas.
Pueden ocultarse a los controles de seguridad de Google, y solo se activan al instalar ciertas aplicaciones.
Como intentar proteger nuestras contraseñas de los ciberdelincuentes
Las precauciones contra los ataques de robo de contraseñas deberían ser bastante obvias, pero el número colosal de víctimas demuestra que muchos usuarios están subestimando el problema o no saben como actuar para prevenirlo.
- Cuidado con los ataques de phishing. No hagas clic en ningún enlace sin pensar, incluso si parece provenir de una fuente confiable (incluso MFA no es inmune al phishing).
- Utiliza la autenticación multifactor (MFA) siempre que sea posible.
- No inicies sesión en sitios de terceros con tus cuentas de redes sociales.
- Evita el wifi público a la hora de acceder a tus cuentas.
- No reutilices las contraseñas.
- Cada cuenta debe tener su propia contraseña.
- Utiliza un generador de contraseñas.
- No permitas que los navegadores o las aplicaciones recuerden las contraseñas.
- Utiliza un administrador de contraseñas.
Puede que seamos pesados, pero nunca nos cansaremos de repetir que hay que tener el sistema operativo actualizado, y aplicar todos los parches de seguridad que vayan surgiendo.
Un sistema obsoleto es un sistema vulnerable: una puerta abierta a los exploits.
Olvídate del mito que dice que los usuarios deben cambiar sus contraseñas a intervalos regulares.
Si tus contraseñas son fuertes y únicas para cada cuenta, y tienes habilitada la función de autenticación mediante dos factores, solo es necesario hacerlo en el caso de una fuga o un robo de datos.
Puedes continuar usándolas durante años.
Conclusión
Las contraseñas son un método de autenticación inseguro y obsoleto.
Por lo tanto, necesitamos nuevos métodos de autenticación que garanticen la seguridad de nuestra identidad sin necesidad de tener que complicarnos tanto la vida.
Si bien la autenticación biométrica, como los lectores de iris, huellas dactilares, voz y rostro, son formas comunes de identificación en la actualidad, los gigantes tecnológicos estan llevando a cabo muchas iniciativas, algunas de las cuales son muy prometedoras.
- Uso de características de comportamiento únicas, como los patrones de escritura, o la ubicación para confirmar la identidad.
- Lectura digital de la actividad cerebral de una persona mientras mira una serie de imágenes y objetos.
Pero por el momento, solo nos queda tomar precauciones, y si somos creyentes, rezar para que ningún servicio en línea al que estamos suscritos sufra una fuga o violación de datos.
