LA CLAVE ES LA CONTRASEÑA

Cuando intentamos proteger nuestros datos de los ciberdelincuentes, la manera de hacerlo es a través de las contraseñas. Las contraseñas, que protegen datos privados, datos bancarios o archivos confidenciales, son el objetivo de cualquier delincuente y por ello es imprescindible que no sean vulnerables ya que existen diversas formas de ataque.

Según el Informe Specops sobre contraseñas vulnerables de 2022, el 48% de las personas tiene que recordar 11 o más contraseñas para el trabajo y la mayoría (alrededor del 34%) utiliza contraseñas formadas únicamente por letras minúsculas y números. Asimismo, sólo el 1,57% utiliza una contraseña que incluye minúsculas, mayúsculas, caracteres especiales y números a la vez. Y, aunque ninguna contraseña es suficientemente segura, es imprescindible utilizar una contraseña distinta para cada una de las cuentas, optar por frases de contraseña fáciles de recordar, pero difíciles de adivinar y llevar un registro de todas las credenciales que se utiliza.

Para los ciberdelincuentes, las credenciales de inicio de sesión son un bien muy lucrativo, y las empresas son muy conscientes de ello. Para proteger la privacidad, las empresas deben esforzarse continuamente por hacer más complejas las restricciones de seguridad, por ejemplo, exigiendo a sus empleados contraseñas cada vez más complicadas.

Aun así, algunos trabajadores siguen subestimando a los ciberdelincuentes, creyendo que a menos que utilicen contraseñas inseguras, cortas y sencillas (como «contraseña123»), están a salvo de las amenazas, incluidos los ataques de fuerza bruta.

Nada más lejos de la realidad. Durante los ataques de fuerza bruta, los ciberdelincuentes intentan adivinar u obtener credenciales de usuario y acceder a las cuentas de sus víctimas y, como muestran las estadísticas, en estos incidentes se suelen utilizar contraseñas sorprendentemente complejas. Del mismo informe[1] se desprende que el 93% de las contraseñas utilizadas en ataques de fuerza bruta tienen 8 caracteres o más, el 41% de las contraseñas utilizadas en ataques de fuerza bruta tienen 12 caracteres o más y el 68% de las contraseñas utilizadas en ataques incluyen al menos dos tipos de caracteres.

Como sugieren las cifras, los ciberdelincuentes son conscientes de la evolución de la seguridad de las contraseñas, y adaptan fácilmente sus tácticas para lograr el éxito. Con todo, ESET ha listado los distintos tipos existentes de esta amenaza con el objetivo de reducir las posibilidades de convertirnos en víctima.

1) Ataque simple de fuerza bruta:

En un ataque simple de fuerza bruta, los ciberdelincuentes intentan adivinar la contraseña sin utilizar ningún software o base de datos especializados. Pueden, por ejemplo, probar las combinaciones de contraseñas más comunes, o hacer uso de la información accesible en línea, por ejemplo, en las redes sociales de la víctima.

2) Pulverización de contraseñas:

Durante los ataques de pulverización de contraseñas, los ciberdelincuentes utilizan una lista de las contraseñas y frases de contraseña más frecuentes y, empleando un software especial de pulverización o un conjunto de herramientas, prueban («pulverizan») una contraseña en muchas cuentas diferentes. Como resultado, las políticas de bloqueo pueden no advertir el ataque y, además, un ataque puede llevar a los hackers a obtener acceso a decenas o incluso cientos de cuentas diferentes.

3) Ataque de diccionario:

Durante un ataque de diccionario, los hackers prueban diferentes combinaciones y variaciones de palabras de uso común. Los ataques no suelen ejecutarse manualmente: los hackers suelen utilizar un programa que trabaja con extensas listas y diccionarios de contraseñas comunes (como insinúa el nombre del ataque) e introducen las numerosas combinaciones de contraseñas posibles en el sistema seleccionado.

4) Relleno de credenciales:

Si un atacante posee una lista de credenciales filtradas o comprometidas, puede utilizar un software especial para introducir («rellenar») las combinaciones de nombre de usuario y contraseña en muchos sitios web diferentes. En caso de que el usuario afectado haya reciclado sus datos de acceso para varios sitios diferentes los delincuentes pueden obtener acceso a varias cuentas con una sola combinación de credenciales.

5)Ataque de fuerza bruta inverso:

A veces, los ciberdelincuentes ya tienen la contraseña y lo único necesitan es encontrar al usuario adecuado. Haciendo uso de las listas de contraseñas filtradas en anteriores filtraciones de datos, los delincuentes pueden buscar en diferentes plataformas y bases de datos, probando las credenciales en varias cuentas.