Herramientas de Accesibilidad

Blog

Como pueden robar nuestras contraseñas

Como pueden robar nuestras contraseñas

Las omnipresentes contraseñas son actualmente la forma más común de demostrar que somos quienes decimos ser cuando se trata de usar servicios en línea. Son necesarias para identificarnos en cuentas de redes sociales, correo electrónico e incluso nuestros propios dispositivos.

Las contraseñas, a dia de hoy, también son necesarias para tener acceso a nuestros teléfonos móviles, aplicaciones bancarias, y archivos confidenciales.

Para muchos servicios en línea, una contraseña es lo único que evita que un pirata informático, acceda a nuestros datos haciéndose pasar por nosotros.

Si bien la creación de una contraseña más o menos robusta puede parecer una apuesta segura, si por comodidad, la reutilizamos continuamente en diferentes servicos, sirve de bien poco.

También somos increíblemente predecibles.

Debido a nuestra capacidad de memoria visual, es más fácil recordar imágenes e información con las que ya estamos familiarizados y que tienen algún significado para nosotros.

Es por eso que a menudo creamos contraseñas predecibles basadas en elementos que nos resultan familiares, como por ejemplo nombres de mascotas o fechas de cumpleaños.

La regla general estándar solía ser (y continua siéndolo en muchas empresas) cambiar las contraseñas cada 90 días.

Sin embargo, este método es ineficaz.

Cuando las personas nos vemos obligadas a cambiar nuestras contraseñas de manera regular, lo consideramos un engorro y ponemos menos esfuerzo en ello.

Incluso si el departamento de TI de nuestra empresa, nos fuerza a crear contraseñas más complejas, muchas veces optamos por repetir alguna de las anteriores.

  • Si tenemos una contraseña como password o abcdefgh un pirata informático solo tardaría 0.29 milisegundos en descifrarla.
  • La contraseña 1234567890, también se descifra en un abrir y cerrar de ojos.
  • Algo como 17EMba214Z costaría unos 7 meses.
  • Si nuestra contraseña es R€478&?58...XZ, adivinarla llevaria unos cuantos miles de años.
Cuanto más largas y complejas sean las contraseñas, más tiempo les tomará a los malos dar con la combinación correcta.

También tendrán que utilizar más recursos de procesamiento informático.

Puedes visitar esta web y comprobar lo que tardaría un villano en descifrar tus contraseñas.

Cómo piratean los ciberdelincuentes las contraseñas

En primer lugar, es importante entender que muchos se lo toman como un trabajo, por lo que sus métodos y estrategias evolucionan cada día.

A continuación, intentamos explicar las formas más comunes mediante las cuales los piratas informáticos intentan acceder a nuestras credenciales.

Ataques de keylogger

Un keylogger es un tipo de software o dispositivo de hardware (generalmente una unidad flash USB o un pequeño dispositivo que se inserta dentro del teclado), diseñado para monitorizar y registrar las pulsaciones que se realizan en el teclado de un dispositivo.

De esta manera los ciberdelincuentes, pueden robar información sensible en tiempo real, como credenciales de inicio de sesión y otros datos confidenciales.

Ataque mediante Keylogger

Los keyloggers también están disponibles para su uso en teléfonos inteligentes.

Ataques de fuerza bruta

Un ataque de fuerza bruta es algo similar a probar todas las llaves de un llavero hasta encontrar la que abre la puerta.

Para conseguir su objetivo, los piratas informáticos acostumbran a tirar de algún software, que va probando varias veces distintas combinaciones.

Esta es una forma fácil de robar nuestra información, ya que muchos usamos contraseñas como abcd, qwerty, iloveyou y cosas similares de las que hay que huir como de la peste negra.

Algunos de los programas más utilizados para perpetrar ataques de fuerza bruta son: Brutus, Wfuzz y RainbowCrack.

Ataques de fuerza bruta

Ataques de diccionario

Un ataque de diccionario es un método de cracking que consiste en intentar averiguar una contraseña probando todas las palabras del diccionario, en un idioma determinado.

Los atacantes también pueden utilizar listas con las contraseñas más comunes, nombres de mascotas, nombres de personajes de ficción etc.

Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta, ya que muchos usuarios suelen utilizar una palabra existente en su lengua como contraseña para que la clave sea fácil de recordar.

Los ataques de diccionario tienen pocas probabilidades de éxito con sistemas que emplean contraseñas fuertes y complejas con letras en mayúsculas, minúsculas, números y caracteres especiales.

Ataques de phishing

El phishing es una forma de estafa mediante ingeniería social cuyo objetivo es obtener acceso a contraseñas de diferentes servicios en línea u otra información confidencial.

Para ello, los piratas informáticos utilizan principalmente el correo electrónico, las redes sociales, llamadas telefónicas o cualquier otra forma de comunicación.

Los mensajes de phishing, simulan proceder de una entidad legítima (compañía telefónica, Hacienda, red social, banco, institución pública, etc.) e intentan infundir al destinatario una sensación de urgencia para no darle tiempo a reflexionar.

El objetivo es que rellene un formulario con sus datos, o haga clic en un enlace malicioso, que le enviará a una página web falsa.

Ataque de phishing

Para ello, utilizan todo tipo de argumentos relacionados con la seguridad de la entidad o la necesidad de realizar algun trámite administrativo urgente, para justificar la necesidad de que la víctima facilite sus datos personales.

Uno de los errores más comunes que cometemos es entrar en pánico y no reflexionar.

El viejo método de mirar por encima del hombro (en inglés, Shoulder surfing)

Si estamos en un lugar público, absortos en nuestro teléfono o tablet, alguien podría estar mirando por encima del hombro para ver qué que estamos tecleando.

El fisgón podría ser simplemente un curioso, o un espabilado que está tratando de capturar nuestra información de inicio de sesión, para poder usarla y acceder a nuestras cuentas.

 Shoulder surfing

No es nada sofisticado, pero a veces es efectivo.

Sin entrar en paranoias, u otro tipo de interpretaciones, cuando ingreses contraseñas en tu dispositivo, siempre debes hacerlo con la espalda pegada la pared.

Si eso no es posible, fíjate en quién está a tu alrededor o detrás de ti, e intenta proteger la pantalla del dispositivo.

Robo de contraseñas almacenadas en texto sin formato

Algunos proveedores de servicios, no se complican demasiado la vida, y almacenan las contraseñas junto a los nombres de usuario, en una base de datos sin cifrar.

Todo lo que los ciberdelincuentes tiene que hacer es encontrarla y descargarla. Incluso pueden vender esta base de datos en la Dark Web.

Afortunadamente, cada vez menos sitios almacenan contraseñas en texto sin formato, pero todavía lo vemos de vez en cuando.

Facebook (para variar) guardó millones de contraseñas en formato de texto, sin ningún tipo de cifrado y a la vista de miles empleados de la red social.

Y lamentablemente, ante los fallos, la incompetencia y la desidia de terceros, muy poco podemos hacer.

Puntos de acceso wifi falsos.

Un punto de acceso no autorizado es una red wifi normalmente gratuita diseñada para engañar a los usuarios para que se conecten a ella.

Incluso puede adoptar un nombre parecido al de una red legítima a la que nos conectamos habitualmente.

Es capaz de robar contraseñas, controlar tu experiencia en Internet y espiar los dispositivos conectados.

Los piratas informáticos que implementan puntos de acceso de rouge no necesitan hacer una gran inversión, ya que existen herramientas que se ejecutan en hardware simple y de bajo coste.

Punto de acceso wifi no autorizado

Por lo tanto, cuando usas wifi en un lugar público siempre debes saber a que red estás conectado

Si un dispositivo se conecta automáticamente, es probable que ni siquiera sepas si un atacante se ha hecho cargo de tu conexión a Internet.

Las formas en que los teléfonos móviles almacenan las redes inalámbricas a las que se han conectado anteriormente no son muy inteligentes.

La mayoría de dispositivos se unirán automáticamente a cualquier red con el mismo nombre a la que se han unido antes, a no ser que desactivemos esta función mediante las opciones de nuestro dispositivo.

Ataques en hashes de contraseñas

Aunque el objetivo principal de este tipo de ataque suelen ser los servidores que almacenan una gran cantidad de contraseñas, es conveniente comprender aunque sea de forma muy básica, cómo funcionan este tipo de ataques.

Cuando nos registramos, por ejemplo en Facebook, antes de almacenar nuestra contraseña en su base de datos, el proveedor de servicios debe (o debería) hacer un hash.

El hash es una función criptográfica que convierte una contraseña en una larga cadena de caracteres alfanuméricos.

En teoría, es un proceso no reversible, lo que significa que una vez que se ha modificado, una contraseña no se puede volver a su forma normal.

Hash

Existen muchos algoritmos de hashing distintos. Algunos son fáciles de romper por parte de un cracker, y otros no.

Los algoritmos más antiguos y débiles son vulnerables a los llamados ataques de tabla del arco iris (rainbow tables) que contienen una gran cantidad de hashes precalculados que los ciberdelincuentes utilizan para reventar las contraseñas.

Estos ficheros, que se pueden encontrar facilmente en internet (algunos son gratuitos ) pueden llegar a tener un tamaño de varios cientos de gigabytes, y contienen un listado de claves junto con sus valores hash correspondientes.

rainbowcrack.

Para simplificar la taréa existen aplicaciones como rainbowcrack: un programa informático que genera tablas de arcoíris para utilizarlas en el descifrado de contraseñas .

Relleno de Credenciales

El relleno de credenciales utiliza contraseñas comprometidas y obtenidas de filtraciones de datos, para acceder a cuentas en línea.

Los piratas informáticos prueban los mismos nombres de usuario junto con sus correspondientes contraseñas en decenas de miles de cuentas distintas.

Evita reutilizar las contraseñas. Si usas la misma contraseña en varias cuentas, es más fácil ser víctima de un ataque de relleno de credenciales.

Para ello, acostumbran a utilizar bots que automatizan los intentos de inicio de sesión

Aplicaciones maliciosas para teléfonos móviles

Estas apps maliciosas, acostumbran a ofrecer funciones más o menos atractivas, pero para poder usarlas, nos piden iniciar sesión con una cuenta de Facebook, Google, etc.

Para ello se valen de un falso formulario de inicio de sesión, que es un clon exacto del original.

Si caemos en la trampa, le facilitaremos a los villanos nuestras credenciales de acceso a estas plataformas.

Como intentar proteger nuestras contraseñas de los ciberdelincuentes

Las precauciones contra los ataques de robo de contraseñas deberían ser bastante obvias, pero el número colosal de víctimas demuestra que muchos usuarios están subestimando el problema o no saben como actuar para prevenirlo.

El cifrado de datos no es solo para fanáticos de la tecnología; las herramientas actuales hacen posible que cualquier persona pueda cifrar los correos electrónicos y otra información de forma gratuita.

Utiliza siempre redes inalámbricas conocidas, seguras y protegidas con contraseña.

Desactiva el Bluetooth de móvil cuando no lo estés usando.

Guardarlas en el navegador web es una opción muy cómoda, pero hay que asegurarse de que esté actualizado, e implementar una contraseña maestra para desbloquer el contenido.

Muchas personas crean una contraseña compleja y luego la reutilizan en todas sus cuentas. Resiste la tentación de hacer esto.

La autenticación multifactor es una función de ciberseguridad que solo le otorga acceso a un usuario después de que presente dos o más pruebas de su identidad.

Google Authenticator crea códigos para la verificación en dos pasos, de forma local en tu teléfono.

Latch protege tus servicios online bloqueando temporalmente el mecanismo de inicio de sesión, los pagos con tarjeta de crédito, el acceso a correo electrónico, etc.

Puedes descárgate la app desde su market oficial.

Olvídate del mito que dice que los usuarios deben cambiar sus contraseñas a intervalos regulares.

Si tus contraseñas son fuertes y unicas para cada cuenta, y tienes habilitada la función de autenticación mediante dos factores, solo es necesario hacerlo en el caso de una fuga o un robo de datos.

Puedes continuar usándolas durante años.

Conclusión

Las contraseñas son un método de autenticación inseguro y obsoleto.

Por lo tanto, necesitamos nuevos métodos de autenticación que garanticen la seguridad de nuestra identidad sin necesidad de tener que complicarnos tanto la vida.

Si bien la autenticación biométrica, como los lectores de iris, huellas dactilares, voz y rostro, son formas comunes de identificación en la actualidad, los gigantes tecnológicos estan llevando a cabo muchas iniciativas, algunas de las cuales son muy prometedoras.

  • Uso de características de comportamiento únicas, como los patrones de escritura, o la ubicación para confirmar la identidad.
  • Lectura digital de la actividad cerebral de una persona mientras mira una serie de imágenes y objetos.    

Pero por el momento, solo nos queda tomar precauciones, y si somos creyentes, rezar para que ningun servicio en línea al que estamos suscritos sufra una fuga o violación de datos.

Avisos de seguridad

Support freedom

Otros artículos

Que es el modo incógnito o privado del navegador
Cuál es la diferencia entre la Deep Web y la Dark Web
Ransomware:qué es y cómo evitarlo
Malware
Analiza los sitios web con Punkspide
© 2019 - 2023 Infosegur.net - CC-BY 4.0
Buscar