Cinco técnicas que utilizan los ciberdelincuentes para robar tus contraseñas
La contraseña suele ser lo único que se interpone entre un ciberdelincuente y los datos personales y económicos del usuario, por lo que actualmente es uno de los principales objetivos de sus prácticas delictivas.
Estas claves son el talón de Aquiles de la vida digital de muchas personas, sobre todo porque el usuario medio actual tiene que recordar un centenar de credenciales de acceso, y el número no ha hecho más que aumentar en los últimos años.
La empresa de ciberseguridad ESET ha recopilado las cinco técnicas más extendidas que utilizan los ciberdelincuentes para conseguir las contraseñas de acceso de las personas a sus cuentas.
Phishing e ingeniería social
La técnica de ataque más utilizada aprovecha la tendencia del ser humano a tomar decisiones equivocadas, especialmente cuando lo hace con prisa. Los ciberdelincuentes se aprovechan de estas debilidades a través de la ingeniería social, un truco de estafa psicológica diseñado para que las personas hagan algo que no deberían.
El phishing es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha hecho negocios, etc.
Estos correos electrónicos o mensajes de texto parecerán auténticos, pero incluirán un enlace o archivo adjunto malicioso que, si se hace clic, descargará ‘malware’ o lo llevará a una página que proporciona datos personales.
Malware
Otra forma popular de obtener contraseñas es a través de ‘malware’ o programa malicioso. Los correos electrónicos de phishing son un vector principal para este tipo de ataque, aunque también puede ser víctima de hacer clic en un anuncio malicioso (‘malvertising’) o incluso visitar un sitio web comprometido (‘drive-by-down’).
Como ha destacado ESET, el ‘malware’ puede incluso ocultarse en una aplicación móvil de aspecto legítimo, que a menudo se encuentra en tiendas de aplicaciones de terceros.
Existen diversas variedades de ‘malware’ para robar información, pero algunas de las más comunes están diseñadas para grabar las teclas que el usuario presiona en el teclado o para tomar capturas de pantalla del dispositivo y enviárselas a los atacantes.
Fuerza bruta
Se estima que la cantidad promedio de contraseñas que una persona debe administrar aumentó un 25 por ciento año tras año en 2020. Muchas personas usan contraseñas fáciles de recordar y las reutilizan en varios sitios, pero esto puede abrir la puerta a so- llamadas técnicas de fuerza. bruto.
Uno de los ataques más comunes es la verificación de credenciales. En este caso, los atacantes inyectan grandes volúmenes de combinaciones de nombre de usuario y contraseña previamente robadas en un ‘software’ automatizado.
Luego, la herramienta los prueba en una gran cantidad de sitios, con la esperanza de encontrar una coincidencia. De esta forma, los delincuentes pueden desbloquear múltiples cuentas con una sola contraseña.
Según una estimación, hubo 193 mil millones de intentos de ataques de este tipo en todo el mundo el año pasado. Una de las víctimas más notables recientemente ha sido el gobierno canadiense.
Otra técnica de fuerza bruta es la prueba de contraseña aleatoria. En este caso, los piratas utilizan un «software» automatizado para probar una lista de contraseñas de uso común en una cuenta.
Adivinanzas
Aunque los ciberdelincuentes tienen herramientas automatizadas para forzar la deducción de contraseñas, a veces ni siquiera son necesarias: incluso las simples conjeturas, a diferencia del enfoque más sistemático utilizado en los ataques de fuerza bruta, pueden lograr el objetivo.
La contraseña más común para 2020 fue ‘123456’, seguida de ‘123456789’. En cuarto lugar se encuentra la mismísima palabra ‘password’, contraseña en inglés.
‘Mirar por encima del hombro’
Aunque existen muchas formas de robar una contraseña virtualmente, vale la pena recordar que todavía hay formas de saber una contraseña en el mundo físico que representan un riesgo.
Es el caso de lo que se conoce en inglés como ‘shoulder surfing’, llamado simplemente ‘look over the shoulder’ en español. Esto no solo afecta el pin de la tarjeta de crédito, y ESET ha llevado a cabo experimentos que muestran cuán fácilmente se puede adivinar una contraseña de Snapchat usando este sistema.
Medidas de protección
Para ayudar a proteger a los usuarios de Internet, ESET ha compartido una serie de recomendaciones para que los usuarios no terminen sufriendo el robo de sus contraseñas.
Algunos de estos consejos son recurrentes, como usar solo contraseñas o frases seguras y únicas en todas las cuentas, especialmente en cuentas bancarias, de correo electrónico y de redes sociales. Esto incluye evitar la reutilización de credenciales.
Otra recomendación es habilitar la autenticación de dos factores (2FA) o usar un administrador de contraseñas, que almacenará contraseñas seguras y únicas para cada sitio y cuenta. También es importante cambiar su contraseña de inmediato si un proveedor denuncia el robo de datos.
Los usuarios deben conocer y usar solo sitios HTTPS para iniciar sesión, no hacer clic ni abrir archivos adjuntos en correos electrónicos no solicitados y descargar solo aplicaciones de tiendas oficiales.
También es recomendable utilizar ‘software’ de ciberseguridad, utilizar siempre sistemas operativos y aplicaciones actualizados, tener cuidado con posibles ‘mirones’ en espacios públicos y nunca conectarse a cuentas de redes WiFi públicas, en las que se recomienda el uso de herramientas VPN.