7 Maneras en que los Hackers Robar Sus Contraseñas

Una manera o de otra, las contraseñas siempre en las noticias. Están siendo robados en violaciones de datos, o burlados por ser demasiado simples; ridiculizados como inútiles, o lamentados por ser tecnológicamente atrasados. Sin embargo, no importa qué opinión tengamos sobre las contraseñas, una cosa es indiscutible: las usaremos hoy, mañana y en el futuro previsible., A diferencia de las tecnologías de reconocimiento táctil o facial, las contraseñas se usan en todas partes porque son baratas de implementar y fáciles de usar. Para los usuarios finales, son tan de baja tecnología como la tecnología de seguridad nunca consigue. Por supuesto, esa ubicuidad y simplicidad es precisamente lo que hace que las contraseñas sean atractivas para los ladrones. En este post, echamos un vistazo a cómo los hackers roban nuestras contraseñas y qué podemos hacer para detenerlas.

Credential Stuffing

nivel de riesgo: alto

se estima que decenas de millones de cuentas son probadas diariamente por hackers usando credential stuffing.,

¿Qué Es?

El relleno de credenciales, también conocido como limpieza de listas y repetición de violaciones, es un medio para probar bases de datos o listas de credenciales robadas, es decir, contraseñas y nombres de usuario, contra varias cuentas para ver si hay una coincidencia.

¿Cómo funciona?

los sitios con poca seguridad se vulneran de forma regular, y los ladrones apuntan activamente a eliminar las credenciales de los usuarios de dichos sitios para que puedan venderlas en la red oscura o en foros subterráneos., Como muchos usuarios usarán la misma contraseña en diferentes sitios, los delincuentes tienen una probabilidad estadísticamente buena de encontrar que el usuario ha utilizado la misma contraseña en . Las herramientas para automatizar las pruebas de una lista de credenciales robadas en varios sitios permiten a los hackers violar rápidamente nuevas cuentas incluso en sitios que practican una buena seguridad e higiene de contraseñas.

¿cómo puede mantenerse seguro?

la clave para no ser víctima del relleno de credenciales es simple: cada contraseña para cada sitio debe ser única., Por supuesto, eso no evitará que su contraseña sea robada para una cuenta en un sitio con poca seguridad, pero significa que cualquier compromiso de sus credenciales no lo afectará en ningún otro lugar en internet. Si estás jadeando ante la idea de crear y recordar contraseñas únicas para cada sitio que uses, consulta nuestra sección de consejos cerca del final de la publicación.

Phishing

nivel de riesgo: alto

Más del 70% de todos los delitos informáticos comienzan con un ataque de phishing o spear-phishing., A los Hackers les encanta usar técnicas de phishing para robar credenciales de usuario, ya sea para su propio uso o, más comúnmente, para venderlas a delincuentes en la red oscura.

¿Qué Es?

El Phishing es un truco de ingeniería social que intenta engañar a los usuarios para que proporcionen sus credenciales a lo que creen que es una solicitud genuina de un sitio o proveedor legítimo.

¿Cómo funciona?

normalmente, pero no siempre, el phishing se produce a través de correos electrónicos que contienen enlaces fraudulentos a sitios web clonados o un archivo adjunto malicioso., En algún lugar a lo largo de la cadena de eventos que comienza con el usuario mordiendo el anzuelo, los estafadores presentarán un formulario de inicio de sesión falso para robar el nombre de inicio de sesión y la contraseña del usuario. Los estafadores también usarán alguna forma de interceptación entre un usuario y una página de inicio de sesión genuina, como un ataque man-in-the-middle para robar credenciales.

¿cómo puede mantenerse seguro?

Use autenticación de 2 factores o multifactor. Aunque los investigadores han desarrollado trucos para superarlos, en la naturaleza aún no se han reportado casos. La precaución es su defensa número uno contra el phishing., Ignore las solicitudes para iniciar sesión en los servicios desde los enlaces de correo electrónico y vaya siempre directamente al sitio del proveedor en su navegador. Revise cuidadosamente los correos electrónicos que contienen archivos adjuntos. La mayoría de los correos electrónicos de phishing contienen errores ortográficos u otros errores que no son difíciles de encontrar si se toma un momento para inspeccionar el mensaje cuidadosamente.

Password Spraying

nivel de riesgo: alto

se ha estimado que quizás el 16% de los ataques a contraseñas provienen de ataques de pulverización de contraseñas.

¿Qué Es?,

La pulverización de contraseñas es una técnica que intenta utilizar una lista de contraseñas de uso común contra un nombre de cuenta de usuario, como 123456, password123, 1qaz2wsx, letmein, batman y otros.

¿Cómo funciona?

algo así como el relleno de credenciales, la idea básica detrás de la pulverización de contraseñas para tomar una lista de cuentas de usuario y probarlas contra una lista de contraseñas. La diferencia es que con el relleno de credenciales, las contraseñas son todas contraseñas conocidas para usuarios particulares., La pulverización de contraseñas es más contundente. El estafador tiene una lista de nombres de usuario, pero no tiene idea de la contraseña real. En su lugar, cada nombre de usuario se prueba contra una lista de las contraseñas más utilizadas. Este puede ser el top 5, 10 o 100, dependiendo de cuánto tiempo y recursos tiene el atacante. La mayoría de los sitios detectarán intentos repetidos de contraseña desde la misma IP, por lo que el atacante necesita usar varias IP para extender el número de contraseñas que puede probar antes de ser detectado.

¿cómo puede mantenerse seguro?

asegúrese de que su contraseña no esté en la lista de las 100 contraseñas más utilizadas.,

Keylogging

nivel de riesgo: medio

Keylogging es a menudo una técnica utilizada en ataques dirigidos, en el que el hacker conoce a la víctima (cónyuge, colega, pariente) o está particularmente interesado en la víctima (corporativo o espionaje del estado nación).

¿Qué Es?

los Keyloggers registran los trazos que escribe en el teclado y pueden ser un medio particularmente efectivo para obtener credenciales para cosas como cuentas bancarias en línea, billeteras criptográficas y otros inicios de sesión con formularios seguros.,

¿Cómo funciona?

El Keylogging es más difícil de llevar a cabo que el relleno de credenciales, el Phishing y la pulverización de contraseñas porque primero requiere el acceso o el compromiso de la máquina de la víctima con el malware keylogging. Dicho esto, hay muchos kits de post-explotación disponibles públicamente que ofrecen a los atacantes keyloggers listos para usar, así como herramientas de spyware comerciales supuestamente para el monitoreo de padres o empleados.

¿cómo puede mantenerse seguro?

necesita ejecutar una buena solución de seguridad que pueda detectar infecciones y actividad de keylogging., Este es uno de los pocos tipos de técnicas de robo de contraseñas donde la fuerza o singularidad de su contraseña realmente no hace ninguna diferencia. Lo que cuenta es qué tan bien está protegido su endpoint contra infecciones y si su software de seguridad también puede detectar actividad maliciosa si el malware encuentra un camino más allá de sus funciones de protección.

fuerza bruta

nivel de riesgo: bajo

sorprendentemente no tan frecuente como la gente tiende a pensar, forzar contraseñas es difícil, consume mucho tiempo y costoso para los delincuentes.

¿Qué Es?,

es el tipo de cosas sobre las que a los investigadores de seguridad les gusta escribir, o que pueden ver en programas de televisión: un hacker ejecuta un algoritmo contra una contraseña cifrada y en 3 2 2 1 1 the el algoritmo rompe la contraseña y la revela en texto plano.

¿Cómo funciona?

hay muchas herramientas como «Aircrack-ng», «John the Ripper» y «DaveGrohl» que intentan forzar contraseñas brutalmente. Generalmente hay dos tipos de grietas disponibles. El primero es algún tipo de ataque de «diccionario» – así llamado porque el atacante solo intenta cada palabra en el diccionario como la contraseña., Programas como los mencionados anteriormente pueden ejecutar y probar un diccionario completo en cuestión de segundos. El otro tipo de técnica se utiliza cuando el hacker ha adquirido (a través de una violación de datos) el hash de la contraseña de texto sin formato. Dado que estos no se pueden revertir, el objetivo es hash tantas contraseñas de texto plano como sea posible y tratar de encontrar una coincidencia. Existen tablas Rainbow que listan los hashes de frases de contraseña comunes para acelerar este proceso.,

una de las razones por las que el descifrado de contraseñas no es una técnica tan viable como algunas de las otras que hemos mencionado es que las contraseñas cifradas generalmente usan una sal. Estos son algunos datos aleatorios utilizados en el proceso de Cifrado que garantiza que no haya dos contraseñas de texto sin formato que produzcan el mismo hash. Sin embargo, los errores cometidos por los administradores del sitio al usar o almacenar sales y contraseñas pueden hacer posible que algunas contraseñas cifradas se descifren.

¿cómo puede mantenerse seguro?

la clave para mantenerse a salvo de ataques de fuerza bruta es asegurarse de que utiliza contraseñas de longitud suficiente., Cualquier cosa de 16 caracteres o más debería ser suficiente dada la tecnología actual, pero idealmente prepárate para el futuro usando una frase de contraseña que sea tan larga como el máximo permitido por el servicio al que te estás registrando. Evite usar cualquier servicio que no le permita crear una contraseña de más de 8 o 10 caracteres. ¿Preocupado por cómo recordarías una contraseña súper larga? Vea la sección de consejos a continuación.,

Local Discovery

nivel de riesgo: bajo

principalmente una técnica que solo se usaría en un ataque dirigido, ya sea por un conocido, pariente, colega o policía.

¿Qué Es?

El descubrimiento Local ocurre cuando escribes o usas tu contraseña en algún lugar donde se pueda ver en texto sin formato. El atacante encuentra la contraseña y la usa, a menudo sin que usted sepa que la contraseña se ha filtrado.

¿Cómo funciona?,

¿has visto esas películas donde los policías revisan la basura del malo en busca de pistas sobre lo que ha estado haciendo? Sí, bucear en un contenedor de basura es una forma válida de obtener una contraseña a través del descubrimiento local. ¿Tiene una nota Post-It en el monitor, o un diario en el cajón del escritorio con sus credenciales de Paypal? Sin embargo, hay medios más encubiertos de detección local, como rastrear comunicaciones bluetooth o encontrar contraseñas de texto sin formato en registros o URL. El Shoulder-surfing no es Desconocido, también., Eso puede ser cualquier cosa, desde un colega subrepticiamente rondando detrás de su escritorio cuando inicia sesión, hasta CCTV en cafeterías y otras áreas públicas que podrían capturar videos de los usuarios mientras escriben sus credenciales de inicio de sesión en un sitio web en sus computadoras portátiles.

¿cómo puede mantenerse seguro?

no hay necesidad de ser paranoico, pero tenga la cantidad adecuada de precaución. Si bien el riesgo es bajo en general, si te conviertes en la fruta más fácil al dejar registros fácilmente detectables de tu contraseña por ahí, no te sorprendas si alguien se aprovecha de eso.,

Extorsión

Nivel de Riesgo: Bajo

Probablemente el más bajo en la escala de riesgo, pero no imposible.

¿Qué Es?

alguien exige que le des tus credenciales. No hay subterfugios involucrados. El trato es que renuncies a tu contraseña o ellos harán algo que no te gustará.

¿Cómo funciona?

técnica de chantaje directa que depende de la naturaleza de la relación entre el atacante y el objetivo., Alguien puede exigir su contraseña si tiene los medios para dañarlo o avergonzarlo si no cumple, como revelar información confidencial, imágenes o videos sobre usted, o amenazar su seguridad física o la de sus seres queridos. El malware de rata que permite a los hackers espiarte a través de una web o una cámara de video puede exponerte a este tipo de extorsión.

¿Cómo Se Puede estar Seguro?

como las víctimas del ransomware se están dando cuenta casi a diario, no hay un libro de reglas sobre cómo lidiar con las demandas de extorsión., Es un intercambio entre el valor de lo que quieren versus el valor del daño que podrían hacer. Tenga en cuenta que en algunas jurisdicciones y en ciertas circunstancias, ceder a una demanda de extorsión podría hacerlo sujeto a enjuiciamiento bajo la ley.

¿las contraseñas importan?

algunos piensan que no, pero sí lo hacen. Las contraseñas seguras lo protegerán de técnicas como la pulverización de contraseñas y los ataques de fuerza bruta, mientras que las contraseñas únicas lo protegerán del relleno de credenciales, asegurando que el daño causado por una fuga en un sitio no lo afectará negativamente en otro lugar.,

consejos para crear contraseñas fuertes y únicas

una de las principales razones por las que el relleno de credenciales y la pulverización de contraseñas son tan exitosos es porque a la gente no le gusta crear y recordar contraseñas complejas. La buena noticia, que realmente no debería ser noticia, ya que ha sido cierto durante bastante tiempo, es que los administradores de contraseñas le ahorrarán el esfuerzo. Estos están fácilmente disponibles y Algunos navegadores incluso tienen sugerencias de contraseñas incorporadas. Por supuesto, es cierto que estos no son infalibles., Por lo general, se basan en una contraseña maestra que, si se ve comprometida, expone todos los huevos en su cesta individual. Sin embargo, las posibilidades de ser víctima de robo de contraseñas si utiliza un administrador de contraseñas son significativamente menores en comparación con si no lo hace. sugerimos que los beneficios de los administradores de contraseñas superan enormemente los riesgos, y los recomendamos como una práctica básica de seguridad 101.

conclusión

Las contraseñas no desaparecerán pronto, e incluso hay buenos argumentos para sugerir que no deberían., Si bien los datos biométricos, el escaneo facial y de huellas dactilares tienen un papel en ayudar a garantizar el acceso a los servicios, la belleza primordial de una contraseña es que es «algo que sabes» y no «algo que tienes». Este último puede ser quitado de usted, en algunos casos legalmente, pero el primero no puede, siempre y cuando se asegure de que es lo suficientemente complejo, único y secreto. Combine eso con la autenticación de dos factores o múltiples factores y sus posibilidades de sufrir pérdida de datos a través de la piratería de contraseñas son extremadamente bajas y, lo que es más importante, muy limitadas., Si un sitio inseguro filtra sus credenciales, puede estar seguro de que no lo afectará más allá de ese servicio en particular.

¿te gusta este artículo? Síguenos en LinkedIn, Twitter, YouTube o Facebook para ver el contenido que publicamos.

Leer más sobre Ciberseguridad

  • ¿Qué es OSINT? (¿Y Cómo Se Usa?)
  • profesionales de la seguridad! 5 maneras de hacer que tu jefe escuche tus necesidades
  • 11 malos hábitos que destruyen tus esfuerzos de ciberseguridad
  • ¿Qué es Threat Hunting? (¿ Y Es Realmente Necesario?)
  • Ocultar código dentro de las imágenes: cómo el Malware utiliza la esteganografía

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *