Cómo se roban las contraseñas (y 10 pasos simples para mantenerlas seguras)
Publicado: 2022-03-15
“RockYou2021: la compilación de contraseñas más grande de todos los tiempos filtrada en línea con 8.400 millones de entradas”
“La policía encontró 225 millones de contraseñas robadas escondidas en un servidor en la nube pirateado”
Lamentablemente, estos titulares no son nada nuevo. Los peligros de que te roben o filtren tu contraseña ahora son bien conocidos. Los magos tecnológicos han estado desarrollando y probando herramientas que eventualmente reemplazarán el uso de contraseñas, pero no se espera que la transición se implemente por completo en el corto plazo.
La mayoría de los sitios web y aplicaciones no permiten la autenticación a través de datos biométricos, lo que significa que los usuarios todavía estamos limitados a usar la humilde contraseña. La realidad es que muchas personas aún no usan administradores de contraseñas y reutilizan la misma contraseña en varios sitios web y aplicaciones, incluidos los cruciales como la banca en línea.
Esto significa que tomar precauciones para proteger sus contraseñas (nuevamente, a menos que use un administrador de contraseñas) es nada menos que imperativo si desea proteger sus activos.
Sin embargo, antes de ir allí, tal vez sea mejor echar un vistazo a cómo ocurren las fugas/robos de datos, ya que comprender el proceso puede desempeñar un papel importante para prevenirlo.
Cómo se piratean y roban las contraseñas
Pueden pretender representar a empresas con las que sus objetivos han hecho negocios. A menudo se hacen pasar por funcionarios del gobierno, incluido el personal encargado de hacer cumplir la ley, los agentes fiscales y los empleados de la Administración del Seguro Social. A veces afirman estar llamando en nombre de los familiares o amigos de sus objetivos.
Estos delincuentes intentarán transmitir un sentido de urgencia, tal vez incluso amenazando a sus objetivos con el arresto o la pérdida del acceso a los beneficios, si no actúan de inmediato al proporcionar la información que solicitan.
Estas credenciales se cargan en aplicaciones que las prueban rápidamente en una gran cantidad de sitios con la esperanza de encontrar coincidencias y obtener acceso. Hay cientos de millones de este tipo de ataques registrados anualmente.
Las aplicaciones y funciones que roban credenciales en realidad podrían ser registradores de teclas, paquetes de malware que registran no solo sus contraseñas sino todas sus pulsaciones de teclas y luego las transmiten al malhechor.
El malware de robo de credenciales también se puede integrar en sitios diseñados para parecerse a los de entidades acreditadas. Por ejemplo, un atacante puede enviar un mensaje de phishing afirmando que se ha observado actividad sospechosa en la cuenta bancaria del objetivo y que el objetivo debe iniciar sesión en su cuenta para cambiar la contraseña de inmediato.
La víctima hace clic en un enlace del mensaje y es llevada a un sitio bancario de aspecto legítimo donde se le indica que ingrese las credenciales de inicio de sesión para comenzar el proceso de restablecimiento de contraseña. Al hacerlo, le proporciona al atacante las credenciales de la cuenta bancaria de la víctima.
Algunos sitios similares maliciosos se crean con la esperanza de que individuos al azar aterricen en ellos sin darse cuenta y sean estafados con sus nombres de usuario y contraseñas.
La versión de alta tecnología de esto es un ataque de intermediario. Las redes Wi-Fi públicas a menudo son frecuentadas por atacantes que usan herramientas fácilmente disponibles para monitorear el tráfico de la red y robar datos confidenciales, incluidas las credenciales de inicio de sesión de la cuenta, de quienes usan las redes.
A veces, los ciberdelincuentes crean sus propias redes Wi-Fi públicas diseñadas para que parezcan empresas legítimas, con el único propósito de robar datos de los usuarios. Las redes Wi-Fi públicas son intrínsecamente inseguras.
De hecho, la cantidad de contraseñas en uso continúa aumentando, al igual que la cantidad de atacantes que intentan robarlas activamente. La protección con contraseña debe tomarse en serio, así que siga adelante e implemente tantos de estos consejos como pueda.
“La policía encontró 225 millones de contraseñas robadas escondidas en un servidor en la nube pirateado”
Lamentablemente, estos titulares no son nada nuevo. Los peligros de que te roben o filtren tu contraseña ahora son bien conocidos. Los magos tecnológicos han estado desarrollando y probando herramientas que eventualmente reemplazarán el uso de contraseñas, pero no se espera que la transición se implemente por completo en el corto plazo.
La mayoría de los sitios web y aplicaciones no permiten la autenticación a través de datos biométricos, lo que significa que los usuarios todavía estamos limitados a usar la humilde contraseña. La realidad es que muchas personas aún no usan administradores de contraseñas y reutilizan la misma contraseña en varios sitios web y aplicaciones, incluidos los cruciales como la banca en línea.
Esto significa que tomar precauciones para proteger sus contraseñas (nuevamente, a menos que use un administrador de contraseñas) es nada menos que imperativo si desea proteger sus activos.
Sin embargo, antes de ir allí, tal vez sea mejor echar un vistazo a cómo ocurren las fugas/robos de datos, ya que comprender el proceso puede desempeñar un papel importante para prevenirlo.
Cómo se piratean y roban las contraseñas 
Adivinando - el método más simple
En 2020, se descubrió que tres de las contraseñas más comunes en uso eran "123456", "123456789" y "contraseña". Cuando se realizaron búsquedas con las herramientas disponibles en HaveIBeenPwned (definitivamente vale la pena una visita), se descubrió que estas contraseñas aparecían decenas de millones de veces durante los escaneos de los datos violados. Estos son los resultados de los informes a partir de enero de 2022:- 123456 - 37,359,195 apariciones
- 123456789 - 16,629,796 apariciones
- contraseña - 9,545,824 apariciones
Phishing y otras variantes de ataques de ingeniería social
Los ciberdelincuentes a menudo contactan directamente a sus objetivos por teléfono (vishing), correo electrónico (phishing), mensajes de texto (smishing) o a través de cuentas de redes sociales. En estos ataques, los estafadores suelen hacerse pasar por otros para convencer a sus víctimas de que proporcionen información confidencial, como credenciales de inicio de sesión.Pueden pretender representar a empresas con las que sus objetivos han hecho negocios. A menudo se hacen pasar por funcionarios del gobierno, incluido el personal encargado de hacer cumplir la ley, los agentes fiscales y los empleados de la Administración del Seguro Social. A veces afirman estar llamando en nombre de los familiares o amigos de sus objetivos.
Estos delincuentes intentarán transmitir un sentido de urgencia, tal vez incluso amenazando a sus objetivos con el arresto o la pérdida del acceso a los beneficios, si no actúan de inmediato al proporcionar la información que solicitan.
Ataques de fuerza bruta y relleno
Como se mencionó, los piratas informáticos tienen herramientas disponibles que pueden generar rápidamente contraseñas aleatorias y probarlas para determinar si brindarán acceso a cuentas específicas. El relleno, que es una variación de la fuerza bruta, implica el uso de credenciales previamente robadas expuestas en infracciones y disponibles para los delincuentes a través de la Dark Web.Estas credenciales se cargan en aplicaciones que las prueban rápidamente en una gran cantidad de sitios con la esperanza de encontrar coincidencias y obtener acceso. Hay cientos de millones de este tipo de ataques registrados anualmente.
Malware de robo de credenciales
Sus dispositivos pueden infectarse con malware de robo de credenciales cuando hace clic en enlaces maliciosos en correos electrónicos de phishing, abre archivos adjuntos de correos electrónicos infectados, visita accidentalmente el sitio web de un atacante o instala una aplicación que no proviene de una fuente confiable.Las aplicaciones y funciones que roban credenciales en realidad podrían ser registradores de teclas, paquetes de malware que registran no solo sus contraseñas sino todas sus pulsaciones de teclas y luego las transmiten al malhechor.
El malware de robo de credenciales también se puede integrar en sitios diseñados para parecerse a los de entidades acreditadas. Por ejemplo, un atacante puede enviar un mensaje de phishing afirmando que se ha observado actividad sospechosa en la cuenta bancaria del objetivo y que el objetivo debe iniciar sesión en su cuenta para cambiar la contraseña de inmediato.
La víctima hace clic en un enlace del mensaje y es llevada a un sitio bancario de aspecto legítimo donde se le indica que ingrese las credenciales de inicio de sesión para comenzar el proceso de restablecimiento de contraseña. Al hacerlo, le proporciona al atacante las credenciales de la cuenta bancaria de la víctima.
Algunos sitios similares maliciosos se crean con la esperanza de que individuos al azar aterricen en ellos sin darse cuenta y sean estafados con sus nombres de usuario y contraseñas.
Shoulder surfing y ataques man-in-the-middle
El término "navegar por el hombro" describe la táctica de mirar por encima del hombro de alguien para observar lo que hay en la pantalla de su computadora o dispositivo y tratar de descubrir contraseñas u otra información confidencial.La versión de alta tecnología de esto es un ataque de intermediario. Las redes Wi-Fi públicas a menudo son frecuentadas por atacantes que usan herramientas fácilmente disponibles para monitorear el tráfico de la red y robar datos confidenciales, incluidas las credenciales de inicio de sesión de la cuenta, de quienes usan las redes.
A veces, los ciberdelincuentes crean sus propias redes Wi-Fi públicas diseñadas para que parezcan empresas legítimas, con el único propósito de robar datos de los usuarios. Las redes Wi-Fi públicas son intrínsecamente inseguras.
Cómo proteger mis contraseñas de la piratería en 10 pasos simples
Las siguientes son las estrategias que puede implementar fácilmente para proteger sus contraseñas, sus cuentas y su información confidencial:- Una regla general básica: obtenga un administrador/bóveda de contraseñas. Se trata de aplicaciones especialmente diseñadas para mantener segura tu contraseña. Con ellos, todo lo que tendrá que hacer es recordar una contraseña maestra (¡todavía siguiendo las reglas a continuación!)
- No incluyas palabras reales. Si es posible, invente sus propias palabras que sea poco probable que sean "adivinadas" (por ejemplo, "Radamabla")
- No utilice fechas de cumpleaños y otros datos fácilmente identificables sobre usted (p. ej., apellido)
- No utilice contraseñas débiles (simplistas). Sus contraseñas deben ser largas, complejas e incluir letras mayúsculas y minúsculas, números y caracteres especiales.
- Utilice una contraseña diferente para cada una de sus cuentas. Si una cuenta se ve comprometida, otras cuentas no estarán en peligro debido al uso de la misma credencial (especialmente, no repita las contraseñas en cuentas de correo electrónico y cuentas financieras)
- Utilice una 2FA (autenticación de dos factores) siempre que esté disponible. Esto agrega otro componente al proceso de inicio de sesión. En la mayoría de los casos, es un PIN que se envía a su dispositivo por mensaje de texto o correo electrónico. Si un atacante puede robar sus credenciales de inicio de sesión, aún no podrá completar el inicio de sesión sin este factor adicional.
- A menos que esté seguro de que puede confiar en la fuente de un mensaje de correo electrónico, de texto o de redes sociales y, especialmente, si hay algo inusual o sospechoso en el mensaje, debe evitar abrir archivos adjuntos o hacer clic en los enlaces incluidos.
- Cuando visite sitios web, asegúrese de que estén usando HTTPS. Debería aparecer un candado cerrado a la izquierda de la URL del sitio en la parte superior de su navegador que indica el uso de este protocolo de seguridad. Algunos delincuentes ahora han comenzado a usar HTTPS en sus sitios, por lo que este método no es 100% efectivo para proteger su información de los estafadores, pero seguir esta recomendación lo ayudará a evitar sitios maliciosos.
- Asegúrese de que los sistemas operativos de sus dispositivos estén actualizados y configurados para descargar e instalar actualizaciones automáticamente. Además, asegúrese de que todos sus dispositivos estén ejecutando aplicaciones antimalware/antivirus.
- Evite usar Wi-Fi público a menos que su dispositivo también esté equipado con una aplicación de red privada virtual (VPN) y esa aplicación esté en uso. Las VPN encriptan los datos que viajan hacia y desde su dispositivo. Incluso si es interceptado por un mal actor, los datos no se pueden decodificar ni leer. Si no tiene una VPN y debe usar Wi-Fi público, evite iniciar sesión en cualquier cuenta o enviar información confidencial a través de servicios de mensajería.
Pensamientos finales
Durante más de diez años, las publicaciones tecnológicas han estado pronosticando el final de la contraseña, pero todavía está aquí.De hecho, la cantidad de contraseñas en uso continúa aumentando, al igual que la cantidad de atacantes que intentan robarlas activamente. La protección con contraseña debe tomarse en serio, así que siga adelante e implemente tantos de estos consejos como pueda.