ESET, compañía experta en ciberseguridad, expone las 5 formas más comunes que utilizan los delincuentes para robar contraseñas. id:79510
El concepto de contraseña existe desde hace siglos y las contraseñas se introdujeron en la informática mucho antes de lo que la mayoría de nosotros puede recordar. Una de las razones de la perdurable popularidad de las contraseñas es que la gente sabe instintivamente cómo funcionan. Pero también hay un problema. Las contraseñas son el talón de Aquiles de la vida digital de muchas personas, sobre todo porque vivimos en una época en la que una persona media tiene que recordar 100 credenciales de acceso, y la cifra no ha hecho más que aumentar en los últimos años.
La contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y tus datos personales y financieros. Debemos dedicar al menos el mismo esfuerzo a proteger nuestras cuentas online de estos posibles ataques.
Las contraseñas son las llaves virtuales de tu mundo digital, ya que proporcionan acceso a tu banca online, al correo electrónico y a los servicios de las redes sociales, a nuestras cuentas de Netflix y Uber, y a todos los datos alojados en nuestro almacenamiento en la nube. Con los inicios de sesión en funcionamiento, un delincuente podría:
- Robar tu información personal y venderla a otros delincuentes
- Vender el acceso a la propia cuenta. Las páginas ilegítimas de la dark web comercian con estos accesos. Los compradores sin escrúpulos pueden utilizar el acceso para conseguir todo tipo de cosas, desde viajes gratis en taxi y visualización de video en streaming hasta descuentos en viajes
- Utilizar las contraseñas para desbloquear otras cuentas en las que se utiliza la misma contraseña
Cómo roban las contraseñas los delincuentes
Según ESET, compañía experta en ciberseguridad, los delincuentes utilizan hasta 5 técnicas bastante extendidas:
- Phishing e ingeniería social
Los seres humanos somos criaturas falibles y sugestionables. También somos propensos a tomar decisiones equivocadas cuando nos apresuramos. Los ciberdelincuentes se aprovechan de estas debilidades mediante la ingeniería social, un truco de estafa psicológica diseñado para hacernos hacer algo que no deberíamos. El phishing es quizás el ejemplo más famoso. En este caso, los delincuentes se hacen pasar por entidades legítimas: como amigos, familiares, empresas con las que has hecho negocios, etc. El correo electrónico o el texto que recibas parecerá auténtico, pero incluye un enlace o un archivo adjunto malicioso que, si se pulsa, descargará malware o te llevará a una página para facilitar tus datos personales.
Otra forma popular de hacerse con tus contraseñas es a través del malware. Los correos electrónicos de phishing son un vector principal para este tipo de ataque, aunque también puedes ser víctima al hacer clic en un anuncio malicioso (malvertising), o incluso al visitar un sitio web comprometido (drive-by-download). Como ha demostrado en numerosas ocasiones el investigador de ESET Lukas Stefanko, el malware puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.
Existen diversas variedades de malware para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que pulsas del teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.
Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25% interanual en 2020. Muchos de nosotros utilizamos contraseñas fáciles de recordar (y de adivinar) como consecuencia, y las reutilizamos en múltiples sitios. Sin embargo, esto puede abrir la puerta a las llamadas técnicas de fuerza bruta.
Uno de los más comunes es la comprobación de credenciales. En este caso, los atacantes introducen grandes volúmenes de combinaciones de nombres de usuario y contraseñas previamente robadas en un software automatizado. A continuación, la herramienta las prueba en un gran número de sitios, con la esperanza de encontrar una coincidencia. De este modo, los delincuentes pueden desbloquear varias cuentas con una sola contraseña. Según una estimación, el año pasado se produjeron 193.000 millones de intentos de este tipo en todo el mundo. Una de las víctimas más notables ha sido recientemente el gobierno canadiense.
Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los hackers utilizan un software automatizado para probar una lista de contraseñas de uso común contra tu cuenta.
Aunque los ciberdelincuentes disponen de herramientas automatizadas para forzar la deducción de tu contraseña, a veces ni siquiera son necesarias: incluso las simples conjeturas -en contraposición al enfoque más sistemático utilizado en los ataques de fuerza bruta- pueden hacer el trabajo. La contraseña más común de 2020 fue "123456", seguida de "123456789". En el cuarto puesto se encuentra la propia palabra "contraseña".
Y si eres como la mayoría de la gente y reciclas la misma contraseña, o utilizas un derivado cercano de ella en varias cuentas, entonces estás facilitando aún más las cosas a los atacantes y te pones en riesgo adicional de robo de identidad y fraude.
- ‘Mirar por encima del hombro’
Todos los caminos para comprometer las contraseñas que hemos explorado hasta ahora han sido virtuales. Sin embargo, a medida que los confinamientos disminuyen y muchos trabajadores comienzan a regresar a la oficina, vale la pena recordar que algunas técnicas de espionaje ya probadas también representan un riesgo. Esta no es la única razón por la que el shoulder surfing sigue siendo un riesgo, y Jake Moore de ESET recientemente realizó un experimento para averiguar lo fácil que es hackear el Snapchat de alguien usando esta simple técnica.
Cómo proteger tus contraseñas
Hay muchas cosas que puedes hacer para bloquear estas técnicas, ya sea añadiendo una segunda forma de autenticación, gestionando tus contraseñas de forma más eficaz o tomando medidas para evitar el robo en primer lugar. ESET plantea las siguientes:
- Utiliza sólo contraseñas o frases de contraseña fuertes y únicas en todas tus cuentas, especialmente en tus cuentas bancarias, de correo electrónico y de redes sociales
- Evita reutilizar tus credenciales de acceso en varias cuentas y cometer otros errores comunes relativos a la contraseña
- Activa la autenticación de dos factores (2FA) en todas tus cuentas.
- Utiliza un gestor de contraseñas, que almacenará contraseñas fuertes y únicas para cada sitio y cuenta, haciendo que los inicios de sesión sean sencillos y seguros
- Cambia tu contraseña inmediatamente si un proveedor te dice que tus datos pueden haber sido robados
- Utiliza únicamente sitios HTTPS para iniciar sesión
- No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos no solicitados
- Descarga sólo aplicaciones de las tiendas de aplicaciones oficiales
- Invierte en un software de seguridad de un proveedor de confianza para todos tus dispositivos.
- Asegúrate de que todos los sistemas operativos y aplicaciones están en la última versión
- Ten cuidado con los que ‘miran por encima del hombro’ en espacios públicos
- Nunca te conectes a una cuenta si está en una red Wi-Fi pública; si tienes que utilizar una red de este tipo, utiliza una VPN