Los ataques de fuerza bruta y de diccionario ponen las contraseñas en peligro

RECOMENDADOS: Tecnologías que dan al dato el protagonismo que merece (WEBINAR)  Cinco retos de la innovación en cloud Informe IT Trends 2019: La realidad digital de la empresa española Mejores prácticas para implementar una plataforma ágil Robo de credenciales: prioriza la seguridad de tus apps Instalación de Redes WiFi y LAN en Hoteles

Ayer se celebró el Día Mundial de las Contraseñas, una efeméride que busca concienciar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos, y que los usuarios y empresas eviten el robo de sus contraseñas y, por tanto, el acceso a sus datos personales e información confidencial.

Para poder tomar las precauciones necesarias, es importante conocer qué técnicas son las más empleadas por parte de los ciberdelincuentes y qué errores de los usuarios les facilita la tarea. Según expertos de Entelgy Innotec Security los ataques más comunes son seis:

--Fuerza bruta. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como “123456”, “zxcvbnm” o “qwertyuiop”. Si esto no funciona, tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, tan solo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad.

--Ataque de diccionario. Un programa informático prueba cada palabra de un “diccionario” previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.

--Ataque keylogger. El usuario instala inconscientemente un malware, conocido como keylogger, al acceder a un enlace o descargar un archivo de internet. Una vez instalado, éste captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. Es especialmente peligroso ya que registra todo lo que el usuario escribe.

--Phishing. Los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al clicar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.

--Ingeniería social. La práctica conocida como “shoulder surfing”, es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología. De hecho, una práctica muy común es dejar la contraseña apuntada en un post-it alrededor del equipo, lo cual es totalmente desaconsejable.

--Spidering. Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. En esta técnica se emplea una “araña” de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Se trata de un ataque especialmente efectivo contra grandes empresas, pues disponen de más información online, así como para obtener contraseñas de redes Wi-Fi, generalmente relacionadas con la propia compañía.

“Contar con contraseñas seguras es un factor fundamental tanto para organizaciones empresariales como para el usuario. Es mucha e importante la información que hay detrás de una clave por ello, a la hora de crear una contraseña tiene que ser la más segura y robusta posible”, explica Félix Muñoz, CEO de Entelgy Innotec Security.