Cuando escuchas la "brecha de seguridad", ¿qué viene a la mente? ¿Un pirata informático malévolo sentado frente a las pantallas con texto digital de Matrix bajando? ¿O un adolescente que vive en el sótano y que no ha visto la luz del día en tres semanas? ¿Qué tal un poderoso superordenador que intenta piratear todo el mundo?
La realidad es que todas esas situaciones pueden reducirse a una simple faceta: la humilde, pero vital, contraseña. Si alguien tiene tu contraseña, es esencialmente un juego terminado. Si su contraseña es demasiado corta o fácil de adivinar, se acabó el juego. Y cuando hay una brecha de seguridad, puedes adivinar qué gente nefasta busca en la red oscura. Está bien. Tu contraseña.
Hay siete tácticas comunes utilizadas para hackear contraseñas. Vamos a ver.
1. Diccionario
Primero en la guía de tácticas comunes para hackear contraseñas está el ataque del diccionario. ¿Por qué se llama ataque de diccionario? Porque automáticamente prueba cada palabra en un "diccionario" definido contra la contraseña. El diccionario no es estrictamente el que usaste en la escuela.
No. Este diccionario es en realidad un archivo pequeño que también contendrá las combinaciones de contraseñas más utilizadas. Eso incluye 123456, qwerty, contraseña, mynoob, princesa, béisbol y clásico de todos los tiempos, hunter2.
Pros: rápido, generalmente desbloqueará algunas cuentas protegidas lamentablemente.
Contras: incluso las contraseñas un poco más fuertes se mantendrán seguras.
Manténgase seguro al: use una contraseña sólida de un solo uso para cada cuenta, junto con una aplicación de administración de contraseñas. El administrador de contraseñas le permite almacenar sus otras contraseñas Cómo los administradores de contraseñas mantienen sus contraseñas seguras Cómo los administradores de contraseñas mantienen sus contraseñas seguras Las contraseñas que son difíciles de descifrar también son difíciles de recordar. ¿Quieres estar seguro? Necesitas un administrador de contraseñas Así es como funcionan y cómo te mantienen a salvo. Lea más en un repositorio. Luego, puede usar una contraseña única y ridículamente sólida para cada sitio. Aquí están nuestras opciones de aplicaciones de administración de contraseñas ¿Está seguro su administrador de contraseñas? 5 Servicios comparados ¿Es seguro su administrador de contraseñas? 5 Servicios comparados A menos que tenga una memoria increíble, no hay manera de que pueda recordar todos sus nombres de usuario y contraseñas. La opción sensata es usar un administrador de contraseñas, pero ¿cuál es el mejor? Lee mas .
2. Fuerza bruta
A continuación, consideramos un ataque de fuerza bruta, mediante el cual un atacante intenta todas las combinaciones de caracteres posibles. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, por ejemplo, una mayúscula, una minúscula, decimales de Pi, su pedido de pizzas, y así sucesivamente.
Un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más comunes. Estos incluyen las contraseñas previamente enumeradas, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop.
Pros: teóricamente descifrará la contraseña probando cada combinación.
Contras: dependiendo de la duración y la dificultad de la contraseña, podría tomar un tiempo extremadamente largo. Agregue algunas variables como $, &, {, o], y la tarea se vuelve extremadamente difícil.
Manténgase seguro mediante: utilice siempre una combinación variable de caracteres y, cuando sea posible, introduzca símbolos adicionales para aumentar la complejidad. 6 Consejos para crear una contraseña irrompible que pueda recordar 6 consejos para crear una contraseña irrompible que pueda recordar Si sus contraseñas no son únicas y Irrompible, también podría abrir la puerta e invitar a los ladrones a almorzar. Lee mas .
3. Phishing
Esto no es estrictamente un "hack", pero caer preso de un intento de phishing o spear phishing generalmente terminará mal. Los correos electrónicos de phishing generales envían miles de millones a todo tipo de usuarios de Internet en todo el mundo.
Un correo electrónico de phishing generalmente funciona así:
- El usuario objetivo recibe un correo electrónico falso que pretende ser de una organización o negocio importante
- El correo falso implica atención inmediata, con un enlace a un sitio web
- El enlace al sitio web en realidad tiene enlaces a un portal de inicio de sesión falso, simulado para que parezca exactamente el mismo que el sitio legítimo.
- El usuario objetivo desprevenido ingresa sus credenciales de inicio de sesión y se le redirige o se le dice que intente de nuevo.
- Las credenciales de usuario son robadas, vendidas o utilizadas de manera nefasta (¡o ambas cosas!).
A pesar de que algunas botnets extremadamente grandes se desconectaron durante 2016, antes de fin de año la distribución de correo no deseado se había multiplicado por cuatro [IBM X-Force PDF, Registration]. Además, los archivos adjuntos maliciosos aumentaron a un ritmo sin precedentes, según la imagen a continuación.
Y, de acuerdo con el informe sobre amenazas de Internet 2017 de Symantec, las facturas falsas son el señuelo # 1 de phishing.
Pros: el usuario literalmente entrega su información de inicio de sesión, incluida la contraseña. Tasa de aciertos relativamente alta, adaptada fácilmente a servicios específicos (las ID de Apple son el objetivo n. ° 1).
Contras: los correos electrónicos no deseados se filtran fácilmente y los dominios no deseados se incluyen en la lista negra.
Manténgase a salvo por: hemos cubierto cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Cómo detectar un correo electrónico de phishing Capturar un correo electrónico de phishing es difícil. Los estafadores se hacen pasar por PayPal o Amazon, tratando de robar su contraseña y la información de su tarjeta de crédito, su engaño es casi perfecto. Le mostramos cómo detectar el fraude. Leer más (al igual que vishing y smishing Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Nuevas técnicas de phishing para tener en cuenta: Vishing y Smishing Vishing y smishing son nuevas variantes de phishing peligrosas. ¿Qué debería estar buscando? ¿Conoces un intento de vishing o smishing cuando llega? ¿Y es probable que seas un objetivo? Leer más). Además, aumente su filtro de spam a su configuración más alta o, mejor aún, use una lista blanca proactiva. Utilice un verificador de enlaces para determinar 5 sitios rápidos que le permiten verificar si los enlaces son seguros 5 sitios rápidos que le permiten verificar si los enlaces son seguros Cuando recibe un enlace, debe verificar para asegurarse de que no sea una fuente de malware o un frente para phishing, y estos enlaces pueden ayudar a los inspectores. Lea más si un enlace de correo electrónico es legítimo antes de hacer clic.
4. Ingeniería Social
La ingeniería social es algo similar al phishing en el mundo real, lejos de la pantalla. Lea mi ejemplo breve y básico a continuación (y aquí hay algunos más a tener en cuenta). Cómo protegerse de estos 8 ataques de ingeniería social Cómo protegerse de estos 8 ataques de ingeniería social ¿Qué técnicas de ingeniería social usaría un hacker y cómo protegería usted? usted mismo de ellos? Echemos un vistazo a algunos de los métodos más comunes de ataque. ¡Lea más!).
Una parte central de cualquier auditoría de seguridad es medir lo que toda la fuerza de trabajo entiende. En este caso, una compañía de seguridad llamará al negocio que está auditando. El "atacante" le dice a la persona por teléfono que es el nuevo equipo de soporte técnico de la oficina y necesita la contraseña más reciente para algo específico. Una persona desprevenida puede entregar las llaves del reino sin una pausa para pensar.
Lo aterrador es la frecuencia con la que esto realmente funciona. La ingeniería social ha existido por siglos. Ser un tipo de duplicidad para obtener acceso al área segura es un método común de ataque, y uno que solo se protege contra la educación. Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un plomero o un electricista falso que piden ingresar a un edificio seguro, y así sucesivamente.
Pros: ingenieros sociales capacitados pueden extraer información de alto valor de una serie de objetivos. Se puede implementar contra casi cualquier persona, en cualquier lugar. Extremadamente sigiloso.
Contras: una falla puede levantar sospechas sobre un ataque inminente, incertidumbre sobre si se obtiene la información correcta.
Manténgase a salvo por : esto es complicado. Un ataque de ingeniería social exitoso se completará cuando se dé cuenta de que algo anda mal. La conciencia de la educación y la seguridad es una táctica central de mitigación. Evite publicar información personal que pueda usarse posteriormente en su contra.
5. Tabla del arco iris
Una tabla de arcoiris suele ser un ataque de contraseña sin conexión. Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están encriptados. La contraseña encriptada es hash. Todo sitio web seguro lo hace con su contraseña Todo sitio web seguro lo hace con su contraseña ¿Alguna vez se ha preguntado cómo los sitios web mantienen su contraseña a salvo de las violaciones de datos? Lee mas . Esto significa que se ve completamente diferente de la contraseña original. Por ejemplo, su contraseña es (¡afortunadamente no!) Logmein. El hash MD5 conocido para esta contraseña es "8f4047e3233b39e4444e1aef240e80aa".
Gibberish para usted y para mí. Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto sin formato a través de un algoritmo de hashing, comparando los resultados con un archivo de contraseñas encriptadas. En otros casos, el algoritmo de cifrado es vulnerable, y la mayoría de las contraseñas ya están descifradas, como MD5 (de ahí que sepamos el hash específico para "logmein").
Aquí donde la mesa del arcoíris realmente se hace más suya. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla rainbow es un gran conjunto de valores hash específicos de algoritmo precalculados. Usar una tabla de arcoíris reduce drásticamente el tiempo que se tarda en descifrar una contraseña hash, pero no es perfecta. Los piratas informáticos pueden comprar tablas precargadas con millones de combinaciones posibles.
Pros: puede descifrar una gran cantidad de contraseñas difíciles en un corto período de tiempo, otorga a los hackers una gran cantidad de poder sobre ciertos escenarios de seguridad.
Contras: requiere una gran cantidad de espacio para almacenar la enorme mesa arcoiris (a veces terabytes). Además, los atacantes están limitados a los valores que figuran en la tabla (de lo contrario, deben agregar otra tabla completa).
Manténgase a salvo por: esto es complicado. Las tablas Rainbow ofrecen una amplia gama de posibilidades de ataque. Evite cualquier sitio que use SHA1 o MD5 como algoritmo de hashing de contraseña. Evite cualquier sitio que lo limite a contraseñas cortas, o restrinja los caracteres que puede usar. Siempre use una contraseña compleja.
6. Malware / Keylogger
Otra forma segura de perder sus credenciales de inicio de sesión es no tener acceso al malware. El malware está en todas partes, con el potencial de causar daños masivos. Si la variante de malware tiene un registrador de teclas Su computadora portátil HP puede estar registrando cada golpe de teclado Su computadora portátil HP puede registrar sus golpes de teclado Si posee una computadora portátil o tableta HP, es posible que haya registrado y almacenado todo lo que ha escrito en ella tu disco duro Lo cual es bueno. Lea más, puede encontrar todas sus cuentas comprometidas.
Alternativamente, el malware podría apuntar específicamente a datos privados o introducir un troyano de acceso remoto para robar sus credenciales.
Pros: miles de variantes de malware, algunas personalizables, con varios métodos de entrega fáciles. Buena probabilidad de que un gran número de objetivos sucumba al menos a una variante. Puede pasar desapercibido, lo que permite una mayor recopilación de datos privados y credenciales de inicio de sesión.
Contras: posibilidad de que el malware no funcione o se ponga en cuarentena antes de acceder a los datos, no hay garantía de que los datos sean útiles
Manténgase seguro al : instalar y actualizar periódicamente su software antivirus y antimalware. Considerar cuidadosamente las fuentes de descarga. No hacer clic a través de paquetes de instalación que contienen bundleware, y más. Manténgase alejado de sitios nefastos (lo sé, es más fácil decirlo que hacerlo). Use herramientas de bloqueo de scripts para detener scripts maliciosos.
7. Spidering
Spidering ata en el ataque de diccionario que cubrimos antes. Si un pirata informático está apuntando a una institución o negocio específico, puede probar una serie de contraseñas relacionadas con el negocio en sí. El pirata informático podría leer y cotejar una serie de términos relacionados, o usar una araña de búsqueda para hacer el trabajo por ellos.
Es posible que haya escuchado el término "araña" antes. Estas arañas de búsqueda son muy similares a las que se rastrean a través de Internet, indexando contenido para los motores de búsqueda. La lista de palabras personalizada se usa luego contra cuentas de usuario con la esperanza de encontrar una coincidencia.
Pros: potencialmente puede desbloquear cuentas para individuos de alto rango dentro de una organización. Relativamente fácil de armar, y agrega una dimensión extra a un ataque de diccionario.
Contras: bien podría terminar sin éxito si la seguridad de la red organizacional está bien configurada.
Manténgase a salvo por: una vez más, solo use contraseñas sólidas de un solo uso compuestas de cadenas aleatorias: nada que vincule a su persona, empresa, organización, etc.
Fuerte, único, de uso único
Entonces, ¿cómo evitar que un hacker robe tu contraseña? La respuesta realmente corta es que no se puede estar 100% seguro . Pero puedes mitigar tu exposición a la vulnerabilidad.
Una cosa es segura: el uso de contraseñas fuertes y únicas para un solo uso nunca perjudica a nadie, y definitivamente se han ahorrado ayuda en más de una ocasión.
¿Cuál es su rutina de protección con contraseña? ¿Siempre usas contraseñas sólidas de un solo uso? ¿Cuál es tu administrador de contraseñas de elección? ¡Déjanos saber tus pensamientos abajo!
Crédito de la imagen: SergeyNivens / Depositphotos