+34 968 168 359 [email protected]

Más de diez maneras de robar una contraseña

Ciberseguridad | 0 Comentarios

Una contraseña es algo habitual en nuestros días, algo tan sencillo que al ser secreto, permite una seguridad única, imprescindible hoy en nuestros días las contraseñas se han convertido en algo tedioso, la mayoría de las personas en edad laboral debe de lidiar con más de tres de ellas en el día a día, miles de horas se han dedicado a la gestión de las contraseñas con más contraseñas porque algo sigue siendo cierto, existe gente al acecho de esa llave tan valiosa que tiene acceso a tu información más valiosa. 

Estos son los métodos más utilizados para poder obtener una contraseña, identifícalas y aprende cómo evitarlos.

Ataque de fuerza bruta

Un ataque de fuerza bruta se puede entender como uno de los ataques más básicos pero efectivos que hay en la actualidad. Se trata de probar una contraseña muchas veces con diferentes combinaciones de letras, números y caracteres especiales. Se utiliza un software específico que automatiza el proceso, solamente se tiene que esperar una considencia. Después se valen de la mala práctica que tenemos de utilizar la misma contraseña en distintos servicios o la de utilizar claves comunes como «12345»,»11111″»admin»,»password»»qwerty»,»test1″, etc.

Estas son algunas de las maneras de hacerlo:

 

Ataque de Diccionario

Esencialmente, se trata de aprovechar el error de utilizar palabras simples como contraseñas. El software utilizado carga un «diccionario» donde se pueden probar todas las palabras del diccionario, en varios idiomas, se pueden probar palabras unidas, con cambios de las vocales por las cláscias 4,3,1,0 (A,E,I,O), se pueden agregar fechas, nombres propios de personas, mascotas, lugares, etc. Se puede crear un ataque dirigido con la información básica de una persona, con nombres de mascotas, lugar de nacimiento, nombres y fechas de nacimiento de los hijos, pareja, etc.

Para Evitar un ataque de diccionario que pueda vulnerar tu contraseña, te recomendamos seguir los siguientes consejos:

  1. Mínimo 8 caracteres combinados (Mayúsculas, minúsculas, números y símbolos).
  2. No deben de contener palabras sencillas (en cualquier idioma),nombres propios, fechas o datos de carácter personal.
  3. Evitar combinaciones de datos personales como por ejemplo nombre + fecha de nacimiento o color favorito + año actual
  4. Implementa las contraseñas con más caracteres en los servicios de importancia económica tales como las cuentas bancarias, billeteras de criptoactivos, carpetas de información financiera, etc.

Relleno de Credenciales

Para aprovechar la mala costumbre que tenemos de tener una contraseña universal por creer que así nos evitamos algún conflicto, los ciberdelincuentes no dejan pasar una sola oportunidad. Una vez una de tus contraseñas esté expuesta por alguna brecha de seguridad o descuido, un software se puede encargar de probar tu usuario y contraseña en distinos servicios no relacionados al primero.

Evitarlos supone el uso de algunas herramientas o ejercitar y disfrutar de una memoria increíble, estos son nuestros consejos más prácticos para evitar un ataque de relleno de credenciales:

  1. Habilita la a autenticación de dos factores en tus cuentas online cuando sea posible o bien considera  el uso de huella digital, tokens criptográficos, sistemas OTP (One Time Password) o tarjetas de coordenadas.
  2. Utiliza una contraseña única para cada servicio.
  3. Utiliza la cuenta de empresa exclusivamente para la suscripción de servicios corportaivos.

Ataque de pulverización de contraseñas

(Password Spraying)

En este tipo de ataques el ciberdelincuente solamente sabe una contraseña de un miembro de una empresa, así que la aprovecha buscando con un software automatizado esa contraseña con los distintos nombres de usuarios de la empresa víctima del ataque.

Un ataque de pulverización de contraseñas se produce cuando el atacante un gran número de contraseñas robadas por algún tipo de brecha de seguridad dentro del directorio del servicio de correo web de empleados de la empresa. Además la sofisticación de este tipo de ataques permite  limitar el número de intentos de acceso dentro de una cuenta para evitar alertas o sospechas de intrusión.

A diferencia del ataque de fuerza bruta donde se intenta generar un gran número de credenciales en el menor número de cuentas o incluso en solamwente una de ellas, en la «pulverización» o «spray», de una contraseña se obtiene el acceso a distintos usuarios de una empresa. Si aún no te das cuenta de que como en todo donde pierde uno pierden todos, tan importante es que ni tú ni nadie del grupo utilice las contraseñas clásicas que utiliza todo el mundo. 

Para evitar los ataques de pulverización de contraseñas te recomendamos el uso herramientas para garantizar la seguridad de las contraseñas y servicios externos que obliguen al cumplimiento de tus protocolos de seguridad y procuren:

  1. Periodos de validez de contraseñas
  2. Posibilidad de reutilización de contaseñas ya usadas
  3. Formato de la contraseña con longitud mínima, tipos de caracteres y cumpimiento de reglas semánticas permitidas.
  4. Elección y modificación de la contraseña por parte del usuario.
  5. Almacenamiento y cifrado de claves .
  6. Número de intenos de autenticación permitidos.

Obtención de contraseñas con Ingeniería Social

La manipulación en línea está a la orden del día, técnicas con estudios psicológico de respaldo que se aprovechan día a día de la naturaleza benévola de todos los que convivimos en la red. El abuso de la confianza es el punto frágil a vencer.

Phishing

Un texto, correo electrónico o anuncio con caracter urgente procedente de una entidad de tu confianza como un banco, ministerio, un cliente o algún proveedor. Este mensaje contiene algún enlace a un sitio web que suplanta al sitio legítimo de la entidad donde se solicitan tus credenciales las cuales terminan en las manos del ciberdelincuente.

Smishing

La técnica consiste en enviar un SMS al la víctima con un enlace que descargue una aplicación maliciosa. Un ejemplo es aquel que dice: «Problemas con tu envío 323423, dirección no válida, introduce nueva dirección a través del siguiente enlace….»

Vishing

Una llamada telefónica que avisa de una necesidad urgente, o que avisa de un favor tal como «ya que estoy aquí puedo recoger también tus cosas, dame tus datos.», o «soy el repartidor y necesito procesar los portes antes de la entrega», etc.

Warshipping

Un regalito tecnológico llega a la oficina, un lindo USB con aparente información comercial sobre un producto, mejor aún «software gratis», y en verdad era un software gratuito, donde gratuitamente le entregas toda la información al atacante sin darte cuenta al introducir la memoria flash con un programa autoejecutable en tu ordenador.

Shoulder Surfing

(Mirar por encima del hombro)

Ser confiado es algo loable, dulce y amigable, ser prevenido de tu entorno también habla bien de ti y te evitará muchos problemas. Se desconfiado de tu entorno a la hora de escribir tus contraseñas. Todos podemos entender la esta necesidad, y el que no lo haga puede estar en el punto de sospecha sin pensarlo dos veces.

Evitar los ataque de ingeniería social requieren  de formación y concienciación, todas a nivel del usuario final para lograr que identifique facilmente la legitimidad de una web y que solamente introduzca sus credenciales al estar 100% seguro de tal hecho. Otra idea con una adopción galopante es el uso de funciones biométricas como el reconocimiento facial y dacticlar en los dispositivos móviles.

Ataque de Keylogger

Se trata de un software espía que registra y rastrea todo lo que se escribe con el teclado del equipo. Este software puede ser algún descargable, archivo adjunto o autoejecutable en pendrives.

Para evitar un ataque de Keylogger es preciso que se compruebe la legitmidad de los ficheros adjuntos, los descargables y unidades externas con la instalación y uso activo de software antimalware y antivirus actualizados en todos los dispositivos.

Man-in-the-middle

Ataque de Hombre en el medio

Durante un Man-in-the-middle el ciberdelincuente intercepta la comunicación que pueda existir entre 2 o más personas, así puede suplantar la identidad de alguno para poder ver la información e incluso modificarla a su antojo.

El método habitual para lograr realizar este tipo de ataques es mediante una técnica de interepción de tráfico, espiando la actividad en la red para capturar contraseñas e información sensible. Se puede interceptar una señal wifi no segura o fingir ser una red de confianza para registrar cualquier información compartida entre una víctima y cualquier tipo de servicio.

Para evitar un ataque de tipo man in the middle es importante que se identifiquen la legitimidad de los mensajes y correo, se deben de evitar las conexiones de riesgo como cualquier wifi pública.

La intención de esta información es sensibilizar al público en general y al sector empresarial, la importancia de proteger nuestros datos a través de medidas sencillas facilmente escalables y de baja o nula inversión. Para cualquier duda, cuenta con nosotros.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

×