Las claves de acceso débiles, inseguras, robadas y reutilizadas hacen el trabajo de los criminales informáticos mucho más fácil, ya que permiten que estos actores maliciosos accedan a tu sistema para explotar sus vulnerabilidades de la forma que deseen, lo cual puede generarte grandes pérdidas financieras.
Por lo tanto, en este Día Mundial de la Contraseña, es necesario asegurarte de proteger tus cuentas aplicando las mejores medidas preventivas contra los diversos tipos de ataques de contraseña que se mencionan a continuación. Sigue leyendo para descubrir cuáles son estos ataques y cómo funcionan.
Phishing
El phishing es uno de los ataques de contraseña que más afecta a usuarios en la red, solo en el año 2021, un estudio reveló que al menos 83 % de las organizaciones encuestadas reportaron ataques de phishing vía correo electrónico en los que los atacantes engañaron a los usuarios para que hicieran clic en enlaces maliciosos o descargaran archivos infectados con malware.
Es fácil llevar a cabo este tipo de ataques, ya que los piratas informáticos se hacen pasar por fuentes genuinas y confiables con las que la víctima siente que puede responder y compartir información confidencial; en la actualidad hay cuatro formas de ataques comunes de phishing:
Phishing normal
Es también conocido como phishing regular, la victima recibe un correo que luce genuino para una función con la que está familiarizado, como por ejemplo restablecer su contraseña. Si la victima sigue adelante sin confirmar la autenticidad del remitente, automáticamente expone sus credenciales a los atacantes, ya que el enlace lo redirige a un sitio web falso que parece legítimo.
Spear phishing
Con los ataques de contraseña spear phishing, los piratas informáticos envían correos usando una dirección de confianza en tu directorio (generalmente un amigo o colega de trabajo), quien solicita que hagas clic a un enlace o descargues una aplicación maliciosa al abrir el correo.
Smishing y Vishing
Estos son ataques de contraseña en los que recibes un SMS fraudulento (smishing) o una llamada de voz (vishing) que te solicitan compartir tus credenciales o transferir fondos.
Whaling
Con los ataques whailing recibes correos de alguien con un cargo prominente dentro de tu empresa u organización que solicita información confidencial, quienes caen victima a este tipo de ataque generalmente no confirman la veracidad del correo y envían lo que se les solicita.
Ataques de fuerza bruta
Los ataques de fuerza bruta sirven para robar contraseñas usando el método “hit-and-try.” Bajo esta modalidad los piratas informáticos realizan múltiples intentos para obtener contraseñas usando programas automatizados que facilitan la cantidad de intentos de acceso, generalmente pueden omitir la cantidad de veces que se puede ingresar una contraseña, lo que facilita más aún el pirateo de cuentas. Una medida preventiva que es bastante eficaz contra los ataques de fuerza bruta es el uso de un administrador de contraseñas.
Otra modalidad de ataque de fuerza bruta son los ataques de máscara, los cuales son una táctica para descifrar contraseñas omitiendo combinaciones de caracteres no requeridos, lo que reduce el tiempo que lleva hackear una contraseña.
Los principales tipos de ataques de fuerza bruta incluyen también ataques de rocío de contraseñas y ataques de diccionario.
Rocío de contraseñas
En los ataques de rocío de contraseñas, los piratas informáticos usan una selección de claves de acceso comunes en una gran cantidad de cuentas, los atacantes se dirigen a una plataforma con pantalla de inicio de sesión o basada en la nube y como sugiere el término, se procede a rociar estas contraseñas para intentar piratear miles (o incluso millones) de cuentas a la vez, lo que a su vez reduce el riesgo de que el hacker sea atrapado.
Ataques de diccionario
En los ataques de diccionario, los piratas informáticos ponen a prueban una lista de palabras y frases de uso común en lugar de intentos que saltan de un carácter a otro como los ataques de contraseña de fuerza bruta. Estos ataques se llevan a cabo usando el nombre de mascotas populares, personajes de películas famosas e incluso información en línea disponible de forma pública y notoria como el nombre de tu hijo, nombre completo, cumpleaños, etc.
Relleno de Credenciales
Un ataque de contraseña de relleno de credenciales es aquel que se lleva cabo con credenciales robadas por parte de los actores maliciosos; esta táctica se vale de la psicología humana y la mala costumbre de usar contraseñas similares para múltiples programas, cuentas de redes sociales, banca por Internet, etc.
Los piratas informáticos roban contraseñas y proceden a comprobar si también son usadas en otras plataformas, para esto se valen de herramientas automatizadas que sirven para verificar qué contraseñas siguen siendo válidas y en que otras plataformas funcionan; es por eso que lo mejor es usar autenticación de dos factores para proteger tus datos esenciales.
Ataques Keylogger
Los ataques de keylogger o keystroke logger son una táctica de spyware, ya que se usa software malicioso que permite a los piratas informáticos obtener información en secreto registrando cada tecleada que das.
Los ataques de contraseña Keylogger son muy dañinos ya que exponen las contraseñas más seguras, bajo esta modalidad los piratas informáticos no necesitan descifrar contraseña alguna ya que el usuario les otorga toda la información que necesitan cada vez que pulsan una tecla al momento de escribir. Los keyloggers no solo registran contraseñas, sino también todo lo que escribes, lo que hace que este tipo de ataque sea aún más peligroso para tu privacidad.
Los piratas informáticos que se valen de software keylogger no tienen que usar ninguna otra técnica para obtener tu nombre de usuario, número de tarjeta de crédito, número de seguro social y otra información vital para causar daño; por lo tanto, la mejor medida preventiva de seguridad para tus datos físicos y digitales es la encriptación mediante un algoritmo, el cual impide que los actores maliciosos accedan a tu computadora y cuentas, incluso si tienen tus contraseñas.
Ataques de intermediario (Man-in-The Middle)
Un ataque de intermediario involucra tres partes: un usuario, un pirata informático y la plataforma a la que el usuario intenta acceder. Los atacantes se posicionan en secreto entre los usuarios para interceptar y robar datos, estos pueden disfrazarse de terceros y redirigir al usuario desprevenido a un sitio web que luce legítimo, similar al mecanismo del phishing.
MY2022, una aplicación obligatoria para todos los asistentes a los Juegos Olímpicos de Invierno de Beijing, fue manipulada mediante ataques de intermediario. Ya que esta contenía información confidencial sobre los deportistas, tales como detalles del pasaporte, historial médico, detalles demográficos, etc. Los atacantes también ganaron acceso a mensajes de audio y otros archivos cargados en la plataforma.
A partir del 17 de enero, la falla aún existe en la versión 2.0.5 de MY2022 para iOS, solo imagina cómo esto puede dañar a los asistentes y sus familias.
Intercepción de tráfico
La intercepción de tráfico es un tipo de técnica implementada para realizar ataques de negación de servicio con contraseñas largas, ya que este tipo de ataques cierran los sistemas para que los usuarios no puedan acceder a él. Con la intercepción de tráfico, el atacante lee o escucha en secreto información en tráfico de la red, dado que las puertas de enlace más comunes para este tipo de ataques son accesos de Wi-Fi que no son seguros o conexiones de red que no están encriptadas.
Esto también es posible con el secuestro de SSL, donde los piratas informáticos crean puentes para interceptar información que se envía entre dos entidades, con la mala suerte de que la información interceptada puede ser una contraseña.
Ataques de tablas de arcoíris
Para conocer el mecanismo de ataque de tabla de arcoíris, es necesario entender que es hashing, este es un proceso en el que las empresas convierten y encriptan matemáticamente las contraseñas de los usuarios, lo cual las mantiene almacenadas como secuencias criptográficas para que los piratas informáticos solo vean valores cifrados y no las contraseñas reales.
Una tabla de arcoíris es la clave para descifrar contraseñas cifradas en hashing, ya que estas permiten a los piratas informáticos comparar valores y descifrar numerosas contraseñas.
Pensamientos finales
Los piratas informáticos no escatiman en sus niveles de sofisticación e inteligencia a la hora de obtener contraseñas mediante herramientas automatizadas; en un ataque phishing, los piratas informáticos se hacen pasar por un remitente de correo electrónico confiable, mientras que, en un ataque de fuerza bruta, se valen del método de prueba y error para descifrar las contraseñas.
Una de las mejores medidas de seguridad es tener diferentes contraseñas para todas tus cuentas importantes, ya que los actores maliciosos pueden usar el relleno de credenciales, el registro de teclas y otras tácticas para acceder a tu información, asegúrate de usar siempre una contraseña fuerte e indescifrable y sigue las prácticas recomendadas para la creación de contraseñas seguras para proteger tus cuentas.