Las contraseñas de acceso a todo tipo de plataformas y servicios hoy día son utilizadas a todas horas, fundamentalmente debido al enorme número de sitios con credenciales a los que accedemos constantemente a través de Internet.
Por lo tanto la seguridad de nuestros datos personales, algo que cada vez compartimos más on-line, es básica para evitar que esta información llegue a terceros, por lo que el uso de una password segura es fundamental en el proceso. Así si esta clave es demasiado corta o fácil de adivinar, posiblemente tengamos unproblema de seguridad más tarde o más temprano. Por lo tanto a continuación os vamos a mostrar, con el fin de en la medida de lo posible intentar evitarlos, los métodos más comunes por los que los atacantes acceden a estas contraseñas personales.
Ataque diccionario
Esta es una de las tácticas más comunes de hackeo de contraseñas y se llama así debido a que automáticamente se prueba cada palabra de un “diccionario” definido para adivinar la contraseña, diccionarios especiales para estas prácticas, claro está. En realidad es un pequeño archivo que contiene las combinaciones de contraseñas más utilizadas en el mundo donde se incluye “123456”, “qwerty”, “password”, etc.
Por lo tanto siempre se recomienda usar una contraseña segura para cada cuenta o plataforma, todo junto a una aplicación de administración de las mismas, ya que los gestores nos permiten almacenar contraseñas complejas y difíciles de recordar en un repositorio.
Fuerza Bruta
Un ataque considerado como de fuerza bruta es aquel en el que un atacante intenta todas las combinaciones posibles de caracteres. Así las contraseñas que se intentan se ajustan a las especificaciones marcadas por unas reglas de complejidad establecidas, por ejemplo, incluyendo una mayúscula, una minúscula, decimales, etc. Este ataque también intentará las combinaciones de caracteres alfanuméricos más comúnmente usados donde se incluyen claves como “1q2w3e4r5t”, “zxcvbnm” o “qwertyuiop”.
Aquí se recomienda utilizar siempre una combinación variable de caracteres y, cuando sea posible, introducir símbolos adicionales para aumentar la complejidad en este caso.
Phishing
Esto no se considera estrictamente un hackeo, pero ser víctima de un ataque de phishing suele terminar mal igualmente, ya que los correos electrónicos con phishing general envían miles de millones de muestras a todo tipo de usuarios y de todo el mundo. Generalmente esto funciona sobre un objetivo que recibe el falso mensaje supuestamente de una organización o empresa importante que requiere atención inmediata y con un enlace a un sitio web. Entonces llama a un portal de acceso falso parecido al sitio legítimo donde el usuario o víctima introduce sus credenciales de inicio de sesión, por lo que ya están en manos de los atacantes.
Siempre hemos dicho que es importante aumentar las exigencias del filtro de spam y vigilar bien los enlaces a los que accedemos en estos casos, más si provienen de correos sospechosos o no esperados.
Ingeniería Social
La ingeniería social es algo similar al phishing pero en el mundo real, lejos de la pantalla. De este modo el «robo» de credenciales, por ejemplo, en lugar de llevarse a cabo por medio del correo electrónico como hemos visto antes, se realiza mediante un llamada de teléfono de una supuesta empresa con la que trabajamos y que con alguna excusa importante necesita nuestra contraseña. Así el individuo desprevenido accede a todo esto más veces de lo que podríamos pensar en un principio, y este es solo un ejemplo.
De este modo debemos estar siempre muy atentos a la hora de compartir con otros nuestros datos personales, claves o credenciales de acceso para evitar futuros problemas y disgustos.
Malware y Keylogger
Otra forma de perder nuestras credenciales de acceso es ser víctima de algún tipo de malware. Este código malicioso está en todas partes con el objetivo de de causar daños masivos. Así nos podemos topar con la variante de malware keylogger, algo que podría encontrar la manera de comprometer todas nuestras cuentas de usuario. Por tanto este tipo de malware podría centrarse específicamente en acceder a nuestros datos privados o en introducir un troyanode acceso remoto para robar las credenciales mediante diversos métodos de entrega.
Para intentar evitar todo esto es preferible instalar y mantener actualizado algún software antivirus y antimalware además de mirar bien los portales de descargas que usamos habitualmente para así evitar los cada vez más habituales scripts maliciosos.
Ataque Spidering
Se podría decir que este es un método que se une al ataque diccionario que hemos tratado antes, ya que el atacante que tiene como objetivo un usuario o empresa específica, puede intentar una serie de contraseñas relacionadas con el mismo sujeto. Así se compaginan una serie de términos relacionados con el individuo o el negocio en cuestión por medio de «una araña» de búsqueda que hace este trabajo automatizado.
De este modo estas arañas de búsqueda son extremadamente similares a las que rastrean a través de Internet indexando el contenido para los motores de búsqueda en sí. Por lo tanto la lista de palabras personalizadas se usa en las cuentas de usuario que se quieren violar con la esperanza de encontrar una coincidencia.
Para intentar no caer en este sistema, lo mejor es, una vez más, utilizar contraseñas fuertes y de un solo uso compuestas por cadenas aleatorias que nada tengan que ver con algo personal.
Fuente:https://www.adslzone.net/2017/10/29/tacticas-comunes-hackear-contrasenas-evitarlas/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
