Cinco técnicas que usan los ciberdelincuentes para robar tus contraseñas
La contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros del usuario, por ello son en la actualidad uno de los principales objetivos de sus prácticas criminales.
Estas claves son el talón de Aquiles de la vida digital de muchas personas, sobre todo porque hoy en día el usuario medio tiene que recordar cien credenciales de acceso, y la cifra no ha hecho más que aumentar en los últimos años.
La compañía de ciberseguridad ESET ha recopilado cuáles son las cinco técnicas más extendidas que utilizan los cibercriminales para hacerse con las contraseñas de acceso de las personas a sus cuentas.
'Phishing' e ingeniería social
La técnica de ataque más utilizada aprovecha la tendencia del ser humano a tomar decisiones equivocadas, en especial cuando deciden de forma apresurada. Los ciberdelincuentes se aprovechan de estas debilidades mediante la ingeniería social, un truco de estafa psicológica diseñado para lograr que las personas hagan algo que no deberían.
El 'phishing' es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha entablado negocios, etc.
Estos correos electrónicos o textos parecerán auténticos, pero incluyen un enlace o un archivo adjunto malicioso que, si se pulsa, descargará 'malware' o llevará a una página para facilitar los datos personales.
Malware
Otra forma popular de hacerse con contraseñas es a través del 'malware' o programa malicioso. Los correos electrónicos de 'phishing' son un vector principal para este tipo de ataque, aunque también se puede ser víctima al hacer clic en un anuncio malicioso ('malvertising'), o incluso al visitar un sitio web comprometido ('drive-by-download').
Como ha destacado ESET, el 'malware' puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.
Existen diversas variedades de 'malware' para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que el usuario pulsa en el teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.
Fuerza bruta
Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25 por ciento interanual en 2020. Muchas personas utilizan contraseñas fáciles de recordar y las reutilizan en múltiples sitios, pero esto puede abrir la puerta a las llamadas técnicas de fuerza bruta.
Uno de los ataques más comunes es la comprobación de credenciales. En este caso, los atacantes introducen grandes volúmenes de combinaciones de nombres de usuario y contraseñas previamente robadas en un 'software' automatizado.
A continuación, la herramienta las prueba en un gran número de sitios, con la esperanza de encontrar una coincidencia. De este modo, los delincuentes pueden desbloquear varias cuentas con una sola contraseña.
Según una estimación, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Una de las víctimas más notables ha sido recientemente el gobierno canadiense.
Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los 'hackers utilizan' un 'software' automatizado para probar una lista de contraseñas de uso común contra una cuenta.
Adivinanzas
Aunque los ciberdelincuentes disponen de herramientas automatizadas para forzar la deducción de las contraseñas, a veces ni siquiera son necesarias: incluso las simples conjeturas -en contraposición al enfoque más sistemático utilizado en los ataques de fuerza bruta- pueden lograr el objetivo.
La contraseña más común de 2020 fue '123456', seguida de '123456789'. En el cuarto puesto se encuentra la propia palabra 'password', contraseña en inglés.
'Mirar por encima del hombro'
Aunque hay muchas formas de robar una contraseña de forma virtual, vale la pena recordar que siguen existiendo formas de conocer una contraseña en el mundo físico que suponen un riesgo.
Es el caso de lo que se conoce en inglés como 'shoulder surfing', denominado simplemente 'mirar por encima del hombro' en español. Esto no solo afecta al pin de la tarjeta de crédito, y ESET ha realizado experimentos que muestran la facilidad con la que puede averiguarse una contraseña de Snapchat mediante este sistema.
Medidas de protección
Para ayudar a protegerse a los internautas, ESET ha compartido una serie de recomendaciones para que los usuarios no acaben sufriendo robos de sus contraseñas.
Algunos de estos consejos son recurrentes, como utilizar solo contraseñas o frases fuertes y únicas en todas las cuentas, especialmente en las bancarias, de correo electrónico y de redes sociales. Esto incluye evitar reutilizar credenciales.
Otra recomendación pasa por activar la autenticación de dos factores (2FA) o usar un gestor de contraseñas, que almacenará contraseñas fuertes y únicas para cada sitio y cuenta. También es importante cambiar de contraseña inmediatamente si un proveedor avisa de un robo de datos.
Los usuarios deben concienciarse y utilizar únicamente sitios HTTPS para iniciar sesión, no hacer clic ni abrir adjuntos en correos electrónicos no solicitados y descargar solo aplicaciones de tiendas oficiales.
Conviene también usar un 'software' de ciberseguridad, utilizar siempre sistema operativos y aplicaciones actualizados, tener cuidado con posibles 'mirones' en espacios públicos y nunca conectarse a cuentas desde redes WiFi públicas, en las que se recomienda el uso de herramientas VPN.