Comprender las técnicas de descifrado de contraseñas que usan los piratas informáticos para abrir sus cuentas en línea es una excelente manera de asegurarse de que nunca le suceda.

Las diez principales técnicas de descifrado de contraseñas utilizadas por los piratas informáticos

Sin duda, siempre necesitará cambiar su contraseña y, a veces, con más urgencia de lo que cree, pero mitigar el robo es una excelente manera de mantenerse al tanto de la seguridad de su cuenta. Siempre puede dirigirse a  www.haveibeenpwned.com para verificar si está en riesgo, pero simplemente pensar que su contraseña es lo suficientemente segura como para no ser pirateada es una mala mentalidad.

Entonces, para ayudarlo a comprender cómo los piratas informáticos obtienen sus contraseñas, seguras o no, hemos elaborado una lista de las diez técnicas principales para descifrar contraseñas utilizadas por los piratas informáticos. Algunos de los métodos a continuación ciertamente están desactualizados, pero eso no significa que no se sigan utilizando. Lea atentamente y aprenda contra qué mitigar.

Las diez técnicas principales para descifrar contraseñas utilizadas por los piratas informáticos

1. suplantación de identidad

contraseña_cracking_-_phishing

Hay una manera fácil de piratear, pídale al usuario su contraseña. Un correo electrónico de phishing lleva al lector desprevenido a una página de inicio de sesión falsificada asociada con cualquier servicio al que el hacker quiera acceder, generalmente solicitando al usuario que solucione algún problema terrible con su seguridad. Esa página luego roza su contraseña y el hacker puede usarla para su propio propósito.

¿Por qué molestarse en descifrar la contraseña cuando el usuario te la dará felizmente de todos modos?

2. Ingeniería Social

La ingeniería social lleva todo el concepto de "preguntar al usuario" fuera de la bandeja de entrada en la que el phishing tiende a apegarse al mundo real.

Uno de los favoritos del ingeniero social es llamar a una oficina haciéndose pasar por un técnico de seguridad de TI y simplemente pedir la contraseña de acceso a la red. Te sorprendería la frecuencia con la que esto funciona. Algunos incluso tienen las gónadas necesarias para ponerse un traje y una placa de identificación antes de entrar a un negocio para hacerle la misma pregunta a la recepcionista cara a cara.

Una y otra vez, se ha demostrado que muchas empresas no cuentan con una buena seguridad o que las personas son demasiado amigables y confiadas cuando no deberían serlo, como cuando les dan acceso a las personas a lugares sensibles debido a un uniforme o una historia triste.

3. Malware

El malware viene en muchas formas, como un registrador de teclas, también conocido como raspador de pantalla, que registra todo lo que escribe o toma capturas de pantalla durante un proceso de inicio de sesión, y luego envía una copia de este archivo a la central de piratas informáticos.

Algunos programas maliciosos buscarán la existencia de un archivo de contraseñas del cliente del navegador web y lo copiarán, el cual, a menos que se cifre correctamente, contendrá contraseñas guardadas fácilmente accesibles desde el historial de navegación del usuario.

4. Ataque de diccionario

El ataque de diccionario utiliza un archivo simple que contiene palabras que se pueden encontrar en un diccionario, de ahí su nombre bastante sencillo. En otras palabras, este ataque usa exactamente el tipo de palabras que muchas personas usan como contraseña.

Agrupar inteligentemente palabras como "déjame entrar" o "superadministrador" no evitará que tu contraseña sea descifrada de esta manera, bueno, no por más de unos segundos adicionales.

5. Ataque de mesa arcoíris

Las mesas arcoíris no son tan coloridas como su nombre lo indica, pero para un pirata informático, su contraseña bien podría estar al final. De la manera más sencilla posible, puede reducir una tabla de arcoíris a una lista de hashes precalculados: el valor numérico que se usa al cifrar una contraseña. Esta tabla contiene hashes de todas las posibles combinaciones de contraseñas para cualquier algoritmo hash dado. Las tablas Rainbow son atractivas ya que reducen el tiempo necesario para descifrar un hash de contraseña a simplemente buscar algo en una lista.

Sin embargo, las mesas arcoíris son cosas enormes y difíciles de manejar. Requieren una gran potencia informática para ejecutarse y una tabla se vuelve inútil si el hash que está tratando de encontrar ha sido "salado" mediante la adición de caracteres aleatorios a su contraseña antes de codificar el algoritmo.

Se habla de tablas de arco iris saladas que existen, pero serían tan grandes que serían difíciles de usar en la práctica. Es probable que solo funcionen con un conjunto predefinido de "caracteres aleatorios" y cadenas de contraseña de menos de 12 caracteres, ya que, de lo contrario, el tamaño de la tabla sería prohibitivo incluso para los piratas informáticos a nivel estatal.

6. Araña

Los piratas informáticos expertos se han dado cuenta de que muchas contraseñas corporativas están formadas por palabras que están conectadas con el negocio en sí. El estudio de la literatura corporativa, el material de ventas del sitio web e incluso los sitios web de los competidores y los clientes enumerados puede proporcionar la munición para crear una lista de palabras personalizada para usar en un ataque de fuerza bruta.

Los piratas informáticos realmente inteligentes han automatizado el proceso y han permitido que una aplicación de rastreo, similar a los rastreadores web empleados por los principales motores de búsqueda, identifique palabras clave y luego recopile y coteje las listas para ellas.

7. Crackeo fuera de línea

Es fácil imaginar que las contraseñas son seguras cuando los sistemas que protegen bloquean a los usuarios después de tres o cuatro conjeturas incorrectas, bloqueando las aplicaciones de conjetura automática. Bueno, eso sería cierto si no fuera por el hecho de que la mayoría de los hackeos de contraseñas se realizan fuera de línea, utilizando un conjunto de hashes en un archivo de contraseñas que se ha "obtenido" de un sistema comprometido.

A menudo, el objetivo en cuestión se ha visto comprometido a través de un ataque a un tercero, que luego proporciona acceso a los servidores del sistema y a esos archivos hash de contraseñas de usuario tan importantes. El descifrador de contraseñas puede tomar tanto tiempo como sea necesario para intentar descifrar el código sin alertar al sistema de destino o al usuario individual.

8. Ataque de fuerza bruta

Similar al ataque de diccionario, el ataque de fuerza bruta viene con una ventaja adicional para el hacker. En lugar de simplemente usar palabras, un ataque de fuerza bruta les permite detectar palabras que no están en el diccionario trabajando con todas las combinaciones alfanuméricas posibles desde aaa1 hasta zzz10.

No es rápido, siempre que su contraseña tenga más de un puñado de caracteres, pero eventualmente descubrirá su contraseña. Los ataques de fuerza bruta se pueden acortar lanzando potencia informática adicional, tanto en términos de potencia de procesamiento, incluido el aprovechamiento de la potencia de la GPU de su tarjeta de video, como de números de máquina, como el uso de modelos informáticos distribuidos como mineros de bitcoin en línea.

9. Surf de hombro

Otra forma de ingeniería social, “shoulder surfing”, tal como implica, consiste en mirar por encima de los hombros de una persona mientras ingresa sus credenciales, contraseñas, etc. Aunque el concepto es de muy baja tecnología, se sorprendería de cuántas contraseñas e información confidencial es robado de esta manera, así que manténgase al tanto de su entorno cuando acceda a cuentas bancarias, etc. mientras viaja.

Los piratas informáticos más confiados adoptarán la apariencia de un mensajero de paquetes, un técnico de servicio de aire acondicionado o cualquier otra cosa que les permita acceder a un edificio de oficinas. Una vez que están dentro, el “uniforme” del personal de servicio proporciona una especie de pase gratuito para deambular sin obstáculos y tomar nota de las contraseñas ingresadas por miembros genuinos del personal. También brinda una excelente oportunidad para observar todas esas notas post-it pegadas en la parte frontal de las pantallas LCD con inicios de sesión garabateados en ellas.

10. Adivina

El mejor amigo de los crackers de contraseñas, por supuesto, es la previsibilidad del usuario. A menos que se haya creado una contraseña verdaderamente aleatoria utilizando un software dedicado a la tarea, es poco probable que una contraseña "aleatoria" generada por el usuario sea algo por el estilo.

En cambio, gracias al apego emocional de nuestro cerebro a las cosas que nos gustan, es probable que esas contraseñas aleatorias se basen en nuestros intereses, pasatiempos, mascotas, familia, etc. De hecho, las contraseñas suelen estar basadas en todo lo que nos gusta charlar en las redes sociales e incluso incluir en nuestros perfiles. Es muy probable que los descifradores de contraseñas vean esta información y hagan algunas conjeturas (a menudo correctas) cuando intentan descifrar una contraseña de nivel de consumidor sin recurrir al diccionario o ataques de fuerza bruta.

Otros ataques a tener en cuenta

Si a los hackers les falta algo, no es creatividad. Usando una variedad de técnicas y adaptándose a protocolos de seguridad en constante cambio, estos intrusos continúan teniendo éxito.

Por ejemplo, es probable que cualquier persona en las redes sociales haya visto los divertidos cuestionarios y plantillas que le piden que hable sobre su primer automóvil, su comida favorita, la canción número uno en su cumpleaños número 14. Si bien estos juegos parecen inofensivos y ciertamente son divertidos de publicar, en realidad son una plantilla abierta para preguntas de seguridad y respuestas de verificación de acceso a la cuenta.

Al configurar una cuenta, tal vez intente usar respuestas que en realidad no le pertenecen, pero que puede recordar fácilmente. "¿Cuál fue su primer coche?" En lugar de responder con la verdad, pon el auto de tus sueños. De lo contrario, simplemente no publique ninguna respuesta de seguridad en línea.

Otra forma de obtener acceso es simplemente restablecer su contraseña. La mejor línea de defensa contra un intruso que restablece su contraseña es usar una dirección de correo electrónico que revise con frecuencia y mantener su información de contacto actualizada. Si está disponible, habilite siempre la autenticación de dos factores. Incluso si el pirata informático aprende su contraseña, no puede acceder a la cuenta sin un código de verificación único.

Mejores prácticas para protegerse de los piratas informáticos

  • Mantenga contraseñas seguras y únicas para todas sus cuentas, hay administradores de contraseñas disponibles.
  • No haga clic en enlaces ni descargue archivos en correos electrónicos de forma arbitraria, es mejor no hacerlo en absoluto, pero los correos electrónicos de activación lo impiden.
  • Busque y aplique actualizaciones de seguridad periódicamente. Es posible que la mayoría de las computadoras del trabajo no permitan esto, el administrador del sistema se encargará de estas cosas.
  • Cuando use una computadora o unidad nueva, considere usar encriptación. Puede cifrar un HDD/SSD con datos, pero puede llevar horas o días debido a la información adicional.
  • Use la noción de privilegio mínimo, lo que significa dar acceso solo a lo que se necesita. Básicamente, cree cuentas de usuario que no sean administradores para el uso casual de la computadora por parte de usted o sus amigos y familiares.

Preguntas frecuentes

¿Por qué necesito una contraseña diferente para cada sitio?

Probablemente sepa que no debe dar sus contraseñas y no debe descargar ningún contenido con el que no esté familiarizado, pero ¿qué pasa con las cuentas en las que inicia sesión todos los días? Suponga que usa la misma contraseña para su cuenta bancaria que usa para una cuenta arbitraria como Grammarly. Si se piratea Grammarly, el usuario también tiene su contraseña bancaria (y posiblemente su correo electrónico, lo que facilita aún más el acceso a todos sus recursos financieros).

¿Qué puedo hacer para proteger mis cuentas?

Usar 2FA en cualquier cuenta que ofrezca la función, usar contraseñas únicas para cada cuenta y usar una combinación de letras y símbolos es la mejor línea de defensa contra los piratas informáticos. Como se indicó anteriormente, hay muchas formas diferentes en que los piratas informáticos obtienen acceso a sus cuentas, por lo que otras cosas que debe asegurarse de hacer regularmente es mantener su software y aplicaciones actualizados (para parches de seguridad) y evitando cualquier descarga con la que no esté familiarizado.

¿Cuál es la forma más segura de guardar las contraseñas?

Mantenerse al día con varias contraseñas singularmente extrañas puede ser increíblemente difícil. Aunque es mucho mejor pasar por el proceso de restablecimiento de contraseña que tener sus cuentas comprometidas, lleva mucho tiempo. Para mantener sus contraseñas seguras, puede usar un servicio como Last Pass o KeePass para guardar todas las contraseñas de su cuenta.

También puede usar un algoritmo único para mantener sus contraseñas y hacerlas más fáciles de recordar. Por ejemplo, PayPal podría ser algo como hwpp+c832. Esencialmente, esta contraseña es la primera letra de cada corte en la URL (https://www.paypal.com) con el último número en el año de nacimiento de todos en su hogar (solo como ejemplo). Cuando vaya a iniciar sesión en su cuenta, vea la URL que le dará las primeras letras de esta contraseña.

Agregue símbolos para que su contraseña sea aún más difícil de piratear, pero organícelos para que sean más fáciles de recordar. Por ejemplo, el símbolo "+" puede ser para cualquier cuenta relacionada con el entretenimiento, mientras que el "!" puede usarse para cuentas financieras.

Practicar la seguridad en línea

En una era global en la que las comunicaciones pueden tener lugar en todo el mundo aparentemente en un instante, es importante recordar que no todo el mundo tiene buenas intenciones. Protéjase en línea administrando y actualizando activamente sus contraseñas y el conocimiento de fugas de información en las redes sociales. Compartir es cuidar, pero no información personal con el fin de convertirse en un blanco fácil para los ciberdelincuentes