Cómo protegerse contra los ataques con contraseña más comunes

Todos usamos contraseñas a diario pero no muchos de nosotros conocemos la historia detrás de esta medida de ciberseguridad. Las contraseñas se han utilizado desde la antigüedad, pero la persona a la que se le atribuye la invención de la contraseña del ordenador es un investigador nacido en Oakland, Fernando “Corby” Corbató.

Corbató lideró el desarrollo de uno de los primeros sistemas operativos del mundo, el Sistema Informático de Tiempo Compartido (CTSS). Permitió a varios programadores utilizar un ordenador al mismo tiempo, acelerando el ritmo de trabajo. Debido a que cada desarrollador necesitaba una cuenta privada para guardar y almacenar su trabajo, se introdujo el sistema de login y contraseña.

Fernando Corbató falleció en julio de 2019, dejando un legado de grandes avances en la informática. ¿Qué mejor manera de celebrar su invención de la contraseña que discutir cómo hacer que sus contraseñas sean más fuertes, mejores y más seguras que nunca?

A continuación se presentan los ataques más comunes de descifrado de contraseñas y las formas más eficaces de proteger sus cuentas contra ellos.

Nota: Aunque los consejos de este post son importantes para cualquiera que use internet, son especialmente importantes para los bloggers, comercializadores, freelancers y empresarios. Como todos trabajamos principalmente con Internet, tenemos más cuentas que mantener seguras que el usuario medio de Internet.

7 técnicas comunes de descifrado de contraseñas

A pesar de las representaciones cinematográficas, no todos los hackers son genios malvados y solitarios con planes brillantes en sus sótanos. Las técnicas de descifrado de contraseñas más comunes están bien documentadas y son fácilmente accesibles en línea, de modo que cualquier persona con conocimientos informáticos promedio puede seguirlas con éxito para descifrar contraseñas.

Antes de entrar en la seguridad de sus cuentas con mejores contraseñas, veamos de qué se está protegiendo.

1. Diccionario

Un ataque al diccionario es tan sencillo como suena. Los hackers usan un archivo con cada palabra encontrada en el diccionario y las prueban una tras otra hasta que entra.

Por supuesto, nadie hace esto manualmente. Un programa de computadora puede correr a través de millones de palabras en unas pocas horas.

Agrupar palabras de diccionario al azar no te salvará de este ataque, pero probablemente aumentará el tiempo necesario para descifrar tu contraseña.

El diccionario es típicamente la primera técnica que los hackers usan cuando intentan una grieta.

2. Híbrido

Si crees que estás siendo inteligente al combinar palabras del diccionario con números y caracteres, como “p@$$w0rd123” por ejemplo, piénsalo de nuevo. Un ataque con contraseña híbrida puede ver a través de ti.

Los ataques híbridos utilizan una combinación de palabras del diccionario con números que las preceden y las siguen, así como la sustitución de letras por números y caracteres especiales. Las contraseñas que escaparon marginalmente al ataque del diccionario con un simple truco como la adición de un dígito no tienen ninguna posibilidad contra un ataque híbrido.

Leer
¿Por qué WordPress es gratis? ¿Cómo gana dinero WordPress? (Video de YouTube)

3. Tabla del Arco Iris

La mayoría de los sistemas modernos ahora almacenan las contraseñas en un hash. Una función de hash es cuando una computadora toma una entrada de cualquier longitud y contenido (por ejemplo, letras, números y símbolos) y utiliza una fórmula matemática para producir una salida numérica de una longitud específica.

Así que si un hacker accede de alguna manera al archivo donde se almacenan las contraseñas del sitio web, entonces podrá acceder a las contraseñas encriptadas en forma de hash.

Suena agradable y seguro, ¿verdad? Desafortunadamente, las hachas pueden romperse. Una estrategia es simplemente hacer un hash de todas las palabras del diccionario y cruzarlas con las contraseñas del hash. Si hay una coincidencia, hay una gran posibilidad de que esa sea tu contraseña.

Los hackers también pueden utilizar una tabla que contiene los hashes de todas las contraseñas del diccionario para hacer el proceso aún más rápido y eficiente.

4. Fuerza bruta

La fuerza bruta suele ser el último recurso del hacker si las técnicas anteriores fallan simplemente porque es la que más tiempo consume. Sin embargo, tiene la ventaja de detectar palabras que no son de diccionario trabajando con todas las combinaciones alfanuméricas posibles.

La fuerza bruta no es un proceso rápido. Cuantos más caracteres haya en la contraseña, más tiempo tardará el desciframiento.

Los hackers pueden, sin embargo, acelerar las cosas añadiendo más potencia de cálculo. Todo depende en gran medida de su determinación y recursos.

5. Phishing

Algunos hackers intentarán descifrar tu contraseña con fuerza. Otros simplemente te engañarán para que se la des voluntariamente. ¿Cómo?

La respuesta es el phishing. El phishing es un ataque en el que el hacker se hace pasar por una institución o sitio web legítimo para atraerlo a proporcionar su información confidencial. Esto se hace típicamente a través de correo electrónico, texto o una llamada telefónica.

Un ejemplo de una práctica común de phishing sería un mensaje urgente que le pide que comparta la información de su tarjeta de crédito, como por ejemplo “Su tarjeta de crédito ha sido bloqueada”, o “Su cuenta ha sido hackeada”.

Otras son ofertas que suenan demasiado buenas para ser verdad, como “¡Eres el visitante número un millón de este sitio, ganaste un iPhone! Recójalo ahora”. Este tipo de mensajes puede incitar a la víctima a actuar rápido, lanzando toda la precaución al viento e incluso ignorando pequeñas banderas rojas.

6. Malware

Una forma común de robar la contraseña de los usuarios es plantar un virus en sus dispositivos. Hay varios mecanismos diferentes que pueden ayudar a los hackers a hacerlo. Los registradores de teclado, por ejemplo, toman un registro de todo lo que se escribe, mientras que los rascadores de pantalla toman capturas de pantalla del proceso de inicio de sesión.

Este tipo de software malicioso suele estar oculto en aplicaciones falsificadas. Los juegos para móviles, las aplicaciones de fitness e incluso las aplicaciones para linternas se hacen pasar por software legítimo cuando en realidad sólo son malware disfrazado. A menudo funcionan bien, sin dar ninguna señal de alarma a un usuario desprevenido.

Leer
6 formas a prueba de balas para construir una comunidad (y convertir a los seguidores casuales en fanáticos delirantes)

7. Ataque de hombre en el medio

La última forma de que los hackers accedan a tus contraseñas es espiar el tráfico de Internet. Esto no puede hacerse fácilmente en tu red doméstica protegida por contraseña. Sin embargo, el Wi-Fi público… Es una historia completamente diferente.

Las redes Wi-Fi abiertas, por ejemplo en cafés, hoteles o aeropuertos, suelen estar desencriptadas. Con la ayuda de software gratuito y ampliamente disponible, los hackers pueden espiar fácilmente su tráfico de Internet cuando navega en una Wi-Fi pública.

El hacker estaría interceptando el tráfico entre su dispositivo y el servidor, de ahí el nombre descriptivo de hombre en el medio del ataque.

Cada página que visitas, mensaje que envías y contraseña que introduces va directamente al atacante en lugar de al proveedor legítimo de Wi-Fi. De esta forma no sólo se pueden robar las contraseñas, sino también los datos de las tarjetas de crédito y otra información confidencial.

¿Cómo puedes protegerte?

El número de diferentes técnicas de descifrado de contraseñas es abrumador y, francamente, aterrador. Afortunadamente, no estás completamente indefenso contra ellas. Con una buena higiene de ciberseguridad y una conciencia básica de las amenazas comunes, es probable que escapes de cualquier situación desagradable.

Aquí hay seis reglas básicas que necesitas saber – y seguir – para estar seguro.

1. Usar un generador de contraseñas

Como ya sabes, un ataque al diccionario es una técnica común y eficiente para descifrar contraseñas. Eso es porque los humanos simplemente no son buenos para recordar cadenas aleatorias de letras y caracteres.

Cuando intentamos cumplir con los consejos de seguridad y añadir caracteres especiales a nuestras contraseñas, normalmente las colamos en una palabra del diccionario de todos modos. Y eso, como recuerdas, es un blanco fácil para un ataque híbrido.

En lugar de intentar hacer algo en lo que no somos buenos, subcontratémoslo a la tecnología. Hay un montón de generadores de contraseñas aleatorias gratuitas que harán el trabajo por ti. Simplemente elige la longitud de tu contraseña (cuanto más larga mejor) y cualquier requisito especial que tengas. La herramienta resolverá el resto.

2. Nunca uses la misma contraseña dos veces

Las violaciones de los datos son mucho más comunes de lo que mucha gente sospecha. Incluso los grandes sitios web, que se espera que tengan una seguridad de primera clase, sufren frecuentes ataques de hackers. Adobe, Tumblr y Facebook son sólo algunas de las empresas involucradas en las violaciones de datos.

Muchas violaciones de datos apuntan específicamente a las credenciales de acceso de los usuarios. ¿Por qué? Los hackers saben muy bien que usted recicla las contraseñas y lo más probable es que sólo use una o dos para todas sus cuentas. Los correos electrónicos y las combinaciones de contraseñas filtradas se venden en el mercado negro y se utilizan para acceder a otros sitios web.

Por eso es tan importante no usar nunca la misma contraseña para más de una cuenta. Y ahora que tienes un generador de contraseñas, no hay excusa. ¡Hace todo el trabajo por ti!

3. Descargue un gestor de contraseñas

Ningún humano puede recordar docenas y docenas de contraseñas únicas. Mucho menos si todas son de 15 caracteres de largo y sin sentido. Si quieres hacer bien la seguridad de las contraseñas, necesitas un administrador de contraseñas.

Leer
Cómo escribir entradas de blog que le gusten a tu público

Un administrador de contraseñas es un programa que mantiene almacenadas de forma segura todas sus credenciales de inicio de sesión y otra información confidencial. Todo lo que necesitas recordar es una llave maestra (con la que puedes hacer una excepción y hacerla realmente memorable) que desbloquea tus otras contraseñas.

LastPass , KeePass , y 1Password son las herramientas más populares del mercado. También puedes usarlas para fines comerciales y compartir las contraseñas con miembros seleccionados del equipo.

4. Saber cuando has sido “pwned”

La extraña palabra “pwned” proviene del término jerárquico “pwn”, que significa “comprometer o tomar el control, específicamente de otra computadora o aplicación”. Creado en 2013, Have I Been Pwned? es un sitio web que te permite rastrear las brechas de datos recientes y comprobar si tu correo electrónico estuvo involucrado en una filtración.

Es una buena idea inscribirse para recibir su notificación, así serás el primero en saber si tus credenciales de acceso fueron comprometidas. De esta manera, puedes cambiar inmediatamente tu contraseña y asegurar la cuenta afectada.

5. Activar la autenticación de dos factores

No importa cuán fuerte sea su contraseña, puede ser víctima de un determinado ataque de fuerza bruta o de phishing.

La mejor manera de mantenerse a salvo es añadir una capa extra de seguridad: la autenticación de dos factores. La autenticación de dos factores es una combinación de algo que conoces (tu contraseña) y algo que tienes (tu teléfono o clave de seguridad).

Sin embargo, no todos los métodos de autenticación de dos factores fueron creados iguales. Establecer los mensajes SMS como un segundo paso de autenticación se considera generalmente la estrategia más débil. Los hackers pueden usar la ingeniería social para redirigir los textos de la víctima a una tarjeta SIM diferente.

El uso de una aplicación de autenticación en tu teléfono o una clave de seguridad física es mucho más seguro ya que te protegen contra los ataques de ingeniería social.

6. Usar una VPN cuando se conecta a una Wi-Fi pública

Si no puedes evitar usar el Wi-Fi público, hay una medida de seguridad que puede protegerte de los hackers. Descargue una VPN en su dispositivo y manténgala encendida durante toda la sesión de navegación. La VPN, o una red privada virtual, encripta su tráfico de Internet para que terceros puedan espiar sus actividades en línea. De esta manera, sus contraseñas y otros datos valiosos permanecerán seguros.

Conclusión

Las contraseñas siguen siendo la medida de seguridad más común y en muchos sentidos la mejor que tenemos. Sin embargo, hoy en día se enfrentan a muchos más desafíos que cuando Fernando Corbató las introdujo por primera vez.

Ya no basta con asegurar su cuenta con cualquier palabra del diccionario. Los hackers disponen de tácticas y poder de cómputo para descifrar la mayoría, si no todas, nuestras contraseñas.

La buena noticia es que con una autenticación de dos factores y una buena higiene de ciberseguridad, estarás a salvo de la mayoría de los ataques.

Deja una respuesta