Nadie puede poner en duda el valor e importancia de las contraseñas, son la primera (y muchas veces única) línea de defensa de nuestras cuentas de usuario en internet y de nuestras aplicaciones, así como de la información confidencial que guardamos en nuestros dispositivos. Y eso las convierte en uno de los principales objetivos de los cibercriminales, que emplean diferentes técnicas para poder robarlas o superarlas. En este artículo vamos a ver las técnicas más usadas para el robo de contraseñas y qué medidas podemos tomar para prevenirlo.
En este artículo hablamos de:
¿Qué es el robo de contraseñas?
El robo de contraseñas consiste en una serie de técnicas empleadas por cibercriminales (o por cualquier persona que esté interesada en acceder la cuenta de usuario, de correo o cualquier información protegida por contraseña de otra) para hacerse con la clave que válida el acceso a cuentas de usuarios, cuentas de correo, cuentas empleado en una red interna, perfil en redes sociales, archivos cifrados, etc.
Por poco que usemos internet, todos tenemos alguna contraseña, la más habitual es la del correo electrónico, que protege nuestra información privada y confidencial. Pero además, las contraseñas, una vez averiguadas y superadas, pueden dar acceso a los cibercriminales a una gran cantidad de información personal, por no mencionar el poner en riesgo otras cuentas de usuario, incluidas las de aplicaciones bancarias, por esa mala costumbre que tenemos todavía de usar una misma contraseña, o pequeñas variaciones de la misma, para diferentes cuentas.
Por ello, muchas veces el robo de contraseñas y datos personales van de la mano y se han convertido en uno de los principales problemas de ciberseguridad para empresas y particulares.
¿Qué técnicas utilizan los atacantes para el robo de cuentas?
Como decíamos, el robo de contraseñas consiste en una serie de diferentes técnicas que los cibercriminales pueden emplear con mayor o menor éxito, para conseguir vulnerar nuestras contraseñas.
A continuación vamos a ver las técnicas utilizadas para robar contraseñas, de manera que podamos reconocer algunas de ellas y no ser víctimas de las mismas, así como evitar ponérselo fácil a los cibercriminales al conocer cómo llevan a cabo este tipo de ataques.
Los ataques de ingeniería social son muy habituales y prácticamente todos hemos sido objetivo de ellos. Emplean la manipulación y el engaño para tratar de hacerse con nuestras credenciales a través del envío de correos o SMS con algún motivo urgente, aunque no son la única forma de llevarlos a cabo.
- Phishing, smishing, vishing: Son de las técnicas más extendidas, puesto que muchas veces se usan a través de envíos masivos a víctimas potenciales, aunque su mayor peligro está cuando los ataques están más dirigidos, es decir, se escogen a las víctimas en base a la información que se tiene sobre ellas (como son otros datos personales, como el nombre, un servicio al que está suscrito, etc.). La técnica utilizada es muy similar en las tres, un mensaje que nos urge a tomar una acción (nos van a cancelar nuestra cuenta, hay una factura pendiente de pago, nos van a bloquear la tarjeta, etc.) y que incluye un enlace que nos llevará a un supuesto sitio oficial, donde tendremos que introducir nuestras credenciales, momento en que las capturan. La diferencia está en el medio, el phishing se lleva a cabo a través del correo electrónico, el smishing por SMS y el vishing mediante llamadas telefónicas.
- Warshipping: En el warshipping, la empresa recibe un supuesto regalo, que puede tomar cualquier forma, pero que en su interior incluye herramientas y dispositivos que los cibercriminales podrán usar para acabar haciéndose con las claves de la red interna de la empresa y acceder a ella. Es un tipo de ataque relativamente sofisticado, pero también cuenta con versiones más simples, como dejar al descuido un pendrive infectado con algún malware, que una vez conectado a un ordenador, permitirá al cibercriminal usar el malware y acceder a la información que busca.
- Shoulder surfing: O mirar por encima del hombro cuando alguien está en un espacio público y está introduciendo sus credenciales. Debemos ser conscientes de nuestro entorno cuando usamos nuestros dispositivos móviles o portátiles en público para acceder a nuestras cuentas (de la misma forma que tapamos el teclado del cajero cuando introducimos el PIN de nuestra tarjeta).
Ataques de fuerza bruta
Los ataques de fuerza bruta consisten en «intentar averiguar» contraseñas introduciendo diferentes combinaciones al tratar de entrar en un sistema. Existen programas específicos para llevar a cabo este tipo de ataques, que lo tienen más fácil cuando se usan contraseñas cortas, que emplean palabras o información personal del objetivo (como fechas de cumpleaños, nombres de mascotas o familiares, etc.).
No son los más sofisticados, pero en determinadas circunstancias y con ese tipo de contraseñas, pueden tener éxito.
- Ataque al diccionario: Es un tipo de ataque que se aprovecha de la costumbre de usar una palabra como contraseña, o una concatenación de palabras. Para ello se emplea un software específico que va introduciendo todas las palabras del diccionario hasta dar con una correspondencia.
- Relleno de credenciales: En este ataque se emplean credenciales robadas en brechas de seguridad, de manera automática se van probando pares de nombres de usuario y contraseña para entrar en cuentas online. Resulta útil cuando se emplean las mismas contraseñas para diferentes cuentas.
- Pulverización de contraseñas: Se emplean muchas contraseñas robadas (obtenidas, como en el caso anterior, de brechas de seguridad) en grupos de cuentas, como puede ser los correos corporativos de una empresa, para buscar coincidencias.
Keylogger
El keylogger es un tipo de malware que se emplea para registrar lo que se escribe con el teclado del ordenador, de manera que puede emplearse, en combinación con otros programas maliciosos, para capturar las contraseñas de un equipo infectado.
Se distribuye a través de correos fraudulentos, a través de descargas o incluso en pendrives infectados.
Man-in-the-Middle
En un ataque Man-in-the-Middle, el ciberdelincuente intercepta la comunicación entre dos o más interlocutores y suplanta la identidad de alguno de ellos, para poder ver la información que se intercambia y modificarla según el objetivo que tenga. Este tipo de ataque puede servir para robar contraseñas, pero también para otros fines, como la descarga de malware o conseguir alguna clase de beneficio económico.
¿Cómo evitar el robo de contraseñas?
Como nadie quiere recibir un mensaje tipo «esta contraseña ha aparecido en una filtración de datos», vamos a dejaros varios consejos para evitar que os roben vuestras contraseñas.
El primero de todos es que uséis una contraseña segura y diferente para cada una de vuestras cuentas de usuario. Es cierto que mucha gente emplea variaciones de una misma clave, para así poder recordarla con mayor facilidad, pero lo mejor es usar contraseñas siempre diferentes. Para crearlas podéis recurrir a combinaciones al azar de letras, símbolos, números, mayúsculas y minúsculas, siempre con una extensión de 12 o más caracteres (aquí podéis ver unos cuantos ejemplos de contraseñas seguras). O también podéis recurrir a un generador de contraseñas y/o un gestor de contraseñas.
Para evitar ser víctima de ataques de ingeniería social, debéis aplicar la precaución y el sentido común. Es cierto que algunos de los intentos de phishing y smishing son cada vez más sofisticados y puede resultar más fácil caer en ellos, pero siempre debéis dudar de correos o mensajes que os piden introducir credenciales siguiendo un enlace. En caso de duda, lo mejor es acceder a vuestra cuenta introduciendo vosotros la URL en el navegador o desde la propia aplicación.
En el caso de empresas, la formación a los empleados en materia de ciberseguridad, así como enseñarles a reconocer los signos de que puedan estar ante un intento de phishing o un ciberataque, es fundamental para evitar el robo de contraseñas, además de mejorar la seguridad en general. Así mismo, como empresa también se debe tener un protocolo de seguridad que incluye la renovación de contraseñas de forma periódica y la eliminación de cuentas de empleados que ya no estén en la empresa.
Tener el equipo y el software actualizado, evitará la explotación de vulnerabilidades y, en gran medida, la entrada de malware. Esta seguridad, además, debe reforzarse con antivirus y firewall.
Así mismo, activar la autenticación de dos factores, también dificultará el acceso a vuestras cuentas, aunque hayan conseguido robaros la contraseña.