La frase “Me hackearon el Facebook” es muy conocida a nivel mundial, le ha pasado a políticos, actores, grandes empresarios, pero también a millones de personas comunes, incluso es posible que usted conozca a alguna persona que ha pasado por esto, no solo con Facebook sino con cualquier cuenta en linea (correo electrónico, redes sociales, almacenamiento en la nube, servicios de música y vídeo, cuentas laborales y cuentas bancarias).

Lo cierto es que en la mayoría de los casos los ciberdelincuentes toman posesión de estas cuentas utilizando la contraseña real de propietario, por esto a continuación se enlistan 6 formas en las que te pueden robar la contraseña y como prevenirlo.

1) Credenciales compradas

Consiste en comprar bases de datos con credenciales (usuarios y contraseñas), recopiladas de sitios web y plataformas o comercios que han sido hackeados. Este es un método muy utilizado por ciberdelincuentes debido a su simpleza, suele ser efectivo porque muchas personas utilizan la misma contraseña en diversos servicios.

Prevención

  1. Utilizar diferentes contraseñas en diferentes sitios y aplicaciones pues si se da el caso de que roban las contraseñas de uno de ellos, no se ven comprometidas las cuentas en otros servicios.
  2. Cambiar periódicamente la contraseña, puesto que habitualmente existe un tiempo considerable entre el robo de una base de datos y la utilización de los datos robados para ingresar en las cuentas de los afectados, si se acostumbra a cambiar la contraseña periódicamente es muy posible que la información robada ya no sea valida al momento en que el atacante intente utilizarla.

Adicional

Puede revisar si alguna de sus cuentas ha sido robada de una base de datos en este sitio web:

https://haveibeenpwned.com/ 

 

2) Phishing

Esta técnica es muy extendida porque no requiere tener conocimientos de hacking. Se trata de enviar correos electrónicos, mensajes de texto o llamadas telefónicas prometiendo a la víctima un beneficio o reportando una irregularidad de cualquier tipo, llevándole así a iniciar sesión en un sitio web falso, algunas personas por miedo o curiosidad terminan cayendo y revelan sus credenciales.

Prevención

  1. Revisar la dirección en la barra del navegador, solo debe ingresar el usuario y la contraseña cuando tenga completa seguridad de que esta dirección corresponde al sitio oficial donde desea iniciar sesión, cualquier otro sitio se trata de una phishing.
  2. Estar alerta ante correos o llamadas demasiado buenas para ser verdad o con carácter de urgencia, pues la estrategia de no dejar pensar con claridad a las víctimas es clave en este tipo de engaños.

 

3) Registro de pulsaciones

Esta es una técnica mas compleja y por tanto menos utilizada, pero aún así relativamente habitual. Se trata de un malware (software malicioso) que el usuario instala en su dispositivo por cualquier medio y se encarga de registrar y transmitir todo lo que se escribe en un teclado hacia un atacante. El ciberdelincuente realiza una análisis de los datos capturados y puede encontrar las contraseñas escritas para cualquier servicio o sistema utilizado por la víctima.

Prevención

  1. Mantener el antivirus actualizado es la barrera más importante ante este tipo de malware, debido a su popularidad los antivirus actuales cuentan con mecanismos que permiten su fácil detección y deshabilitación.
  2. No abrir cuentas de usuario en dispositivos públicos, de dueños desconocidos o de poca confianza, pues estos equipos pueden estar infectados con este malware, capturando nuestras credenciales sin darnos cuenta.

 

4) Reconocimiento físico

Como su nombre lo indica es un método físico laborioso y por ende menos utilizando, sin embargo suele ser muy efectivo. Se trata de localizar cuadernos, bloc de notas, libretas o cualquier papel donde se escribiera alguna contraseña de la víctima.

Este método también provee de información adicional al atacante que puede parece inocente como listas telefónicas, calendarios u organigramas pero que son utilizadas para ayudar al ciberdelincuente en sus labores de ingeniería social.

Prevención

  1. Nunca escriba sus contraseñas físicamente y mucho menos lo haga dejándolas después en un lugar cercano a la computadora.
  2. Tenga precausión con la información personal que tiene en su área de trabajo, los ciberdelincuente aprovecharán cualquier dato que puedan obtener de usted en su contra.

 

5) Spray de contraseñas

El 16% de los ataques de hackers a nivel mundial son de este tipo lo que indica que se trata de un método que da buenos resultados para los atacantes. Consiste en probar de forma masiva, utilizando software, la misma contraseña en un gran numero de nombres de usuario. Por lo general la mayoría de los atacantes utilizan un juego de 10 contraseñas aunque podrían usar hasta 50.

La efectividad de estos ataques radica en que muchas personas utilizan contraseñas simples de teclear y recordar, entonces al probar las mismas contraseñas sencillas en miles o millones de cuentas termina dando con alguna vulnerable.

Algunas de las contraseñas más utilizadas para hacer estos ataques son:

  • 123456
  • password
  • 000000
  • 1qaz2wsx
  • a123456
  • abc123
  • abcd1234
  • 1234qwer
  • qwe123
  • 123qwe

Prevención

  • Utilizar contraseñas que se alejen de los patrones sencillos o que aparecen en el teclado de forma consecutiva. En estos ataques la contraseña solo puede ser comprometida si se encuentra un una lista de contraseñas sencillas.

 

6) Ataque de fuerza bruta

Se da cuando un atacante utiliza malware para probar una gran cantidad de combinaciones de contraseñas hasta dar con la que corresponde con la cuenta de la víctima. Este tipo de ataques suelen requerir una cantidad distinta de tiempo según la complejidad de la contraseña que se utilice.

Prevención

  1. Utilizar contraseñas largas y poco predecibles, puesto que la cantidad de tiempo que se dura para adivinar una contraseña de forma aleatoria se incrementa de forma exponencial entre más larga sea la contraseña. Se recomienda incluso la utilización de “frases de seguridad” en lugar de una sola palabra, por ejemplo “Saludando el barco #81” requiere millones de años para ser “adivinada” aleatoriamente, mientras que la contraseña “diego123” solo requiere de un minuto.
  2. Utilizar símbolos en la contraseña, esto porque muchos de los algoritmos utilizados para “adivinar” las contraseñas de forma aleatoria los omiten dado que un gran número de personas no los utilizan y esto facilita la generación aleatoria.

Adicional

Puede evaluar cuanto tiempo duraría un ataque de fuerza bruta en conseguir su contraseña en el siguiente sitio (No se recomienda probar contraseñas reales únicamente para pruebas de referencia):

https://howsecureismypassword.net/

Consejo extra

Un gran aliado para proteger nuestras cuentas en linea es el segundo factor de autenticación como lo puede ser un soft token o cualquier otro método que sea requerido para iniciar sesión, además de la contraseña, esto complica la labor de los cibercriminales y posiblemente pierdan interés en atacar su cuenta puesto que existen muchas otras personas que no se preocupan por tener activo este segundo factor y es más sencillo atacarles.

 

 

Referencias

Filtración de bases de datos:

https://www.lanacion.com.ar/tecnologia/una-filtracion-base-datos-expuso-235-millones-nid2427064

Informe sobre Phishin:

https://retruster.com/blog/2019-phishing-and-email-fraud-statistics.html

Keyloggers:

https://latam.kaspersky.com/resource-center/definitions/keylogger

Técnicas para robar contraseñas:

https://as.com/meristation/2019/07/24/betech/1564001471_042620.html

Ataques de fuerza bruta:

https://www.welivesecurity.com/la-es/2020/06/24/que-es-ataque-fuerza-bruta-como-funciona/