Estos son algunos de los métodos más comunes y efectivos para robar contraseñas. Parte 1: Las 12 principales técnicas de descifrado de contraseñas utilizadas por los hackers.
Durante muchos años, las contraseñas se consideraron una forma aceptable de proteger la privacidad en lo que respecta al mundo digital. Sin embargo, a medida que la criptografía y la biometría comenzaron a estar más disponibles, las fallas en este método simple de autenticación se hicieron más notorias.
Vale la pena tener en cuenta el papel de una contraseña filtrada en una de las mayores historias de seguridad cibernética de los últimos dos años, el hackeo a SolarWinds. Se reveló que «solarwinds123» una contraseña creada y filtrada por un interno, había sido públicamente accesible a través de un repositorio privado de GitHub desde junio de 2018. Esto permitió a los piratas informáticos planificar y llevar a cabo el ataque masivo a la cadena de suministro.
Parte 1: Las 12 principales técnicas de descifrado de contraseñas utilizadas por los hackers
A pesar de esto, incluso si la contraseña no se hubiera filtrado, no habría sido difícil para los atacantes adivinarla. En palabras de la política estadounidense Katie Porter, la mayoría de los padres utilizan una contraseña más segura para evitar que sus hijos «vean demasiado YouTube en su iPad».
No debería sorprender que las contraseñas sean la peor pesadilla de un experto en ciberseguridad. Hemos reunido las 12 principales técnicas de descifrado de contraseñas utilizadas por los atacantes para que usted y su empresa estén mejor preparados. En esta primera parte, os mostraremos las seis primeras para no alargar el post.
1. Suplantación de identidad
El phishing es una de las técnicas de robo de contraseñas más comunes actualmente en uso y se usa a menudo para otros tipos de ataques cibernéticos. Está arraigado en tácticas de ingeniería social. Su éxito se basa en poder engañar a una víctima con información aparentemente legítima mientras actúa con intenciones maliciosas.
Las empresas son muy conscientes de los intentos generalizados de phishing en sus empleados. A menudo, realizan ejercicios de capacitación sobre phishing. El phishing normalmente se lleva a cabo a través del correo electrónico. Sin embargo, también puede lograrse con otras formas de comunicación, como los mensajes de texto SMS, conocidos como «smishing».
El phishing generalmente implica enviar un correo electrónico a un destinatario e incluir tantos elementos dentro del correo electrónico como sea posible para que parezca legítimo. Es decir, firmas de la empresa, ortografía y gramática correctas y ataques más sofisticados con hilos de correos existentes.
A partir de ahí, los atacantes intentarán animar al usuario a descargar y abrir un documento malicioso u otro tipo de archivo, generalmente malware, para lograr lo que el atacante desea. Esto podría ser robar contraseñas, infectarlas con ransomware o incluso permanecer oculto sigilosamente en el entorno de la víctima para actuar como una puerta trasera para futuros ataques realizados de forma remota.
2. Ingeniería social
Generalmente se refiere al proceso de engañar a los usuarios para que crean que el hacker es un agente legítimo. Una táctica común es que los piratas informáticos llamen a una víctima y se hagan pasar por soporte técnico, solicitando cosas como contraseñas de acceso a la red para brindar asistencia. Esto puede ser igual de efectivo si se hace en persona, usando un uniforme y credenciales falsos, aunque eso es mucho menos común en estos días.
Los ataques exitosos de ingeniería social pueden ser increíblemente convincentes y muy lucrativos, como sucedió cuando el director ejecutivo de una empresa de energía con sede en el Reino Unido perdió 201.000 libras a manos de hackers. Esto ocurrió después de que lo engañasen con la herramienta de IA que imitaba la voz de su asistente.
3. Malware
Los keyloggers, los raspadores de pantalla y una gran cantidad de otras herramientas maliciosas caen bajo el paraguas del malware. Esto es un software malicioso diseñado para robar datos personales. Junto con el software malicioso altamente disruptivo como el ransomware, que intenta bloquear el acceso a un sistema completo, también existen familias de malware altamente especializadas que se dirigen específicamente a las contraseñas.
Los keyloggers y los de su clase, registran la actividad de un usuario, ya sea a través de pulsaciones de teclas o capturas de pantalla, que luego se comparten con un hacker. Algunos programas maliciosos incluso buscarán proactivamente en el sistema de un usuario diccionarios de contraseñas o datos asociados con los navegadores web.
4. Ataque de fuerza bruta
Los ataques de fuerza bruta involucran a los piratas informáticos que utilizan una variedad de métodos, generalmente a base de prueba y error, para adivinar su camino hacia la cuenta de un usuario. Esto podría hacer que los atacantes simplemente intenten usar contraseñas de uso común como ‘contraseña123’ contra un nombre de usuario conocido, por ejemplo.
Son algo similares a los ataques de diccionario, pero a menudo carecen de la sofisticación, la automatización y la complejidad computacional asociadas.
5. Ataque de diccionario
Los ataques de diccionario son similares a los métodos de fuerza bruta, pero involucran a piratas informáticos que ejecutan secuencias de comandos automatizadas que toman listas de nombres de usuario y contraseñas conocidas y las ejecutan contra un sistema de inicio de sesión secuencialmente para obtener acceso a un servicio. Significa que cada nombre de usuario tendría que verificarse con cada contraseña posible antes de que el próximo nombre de usuario pueda intentarse con cada contraseña posible.
El método es computacionalmente exigente y, como resultado, a menudo requiere bastante tiempo. Con los estándares de encriptación de contraseñas más fuertes, el tiempo para realizar un ataque de diccionario aumenta a menudo hasta un nivel insostenible.
6. Mask Attack
Mientras que los ataques de diccionario usan listas de todas las combinaciones posibles de frases y palabras, los ataques de máscara son mucho más específicos en su alcance, a menudo refinando las conjeturas basadas en caracteres o números, generalmente basados en el conocimiento existente.
Por ejemplo, si un pirata informático sabe que una contraseña comienza con un número, podrá adaptar la máscara para probar solo ese tipo de contraseñas. La longitud de la contraseña, la disposición de los caracteres, si se incluyen caracteres especiales o cuántas veces se repite un solo carácter son solo algunos de los criterios que se pueden utilizar para configurar la máscara.
El objetivo aquí es reducir drásticamente el tiempo que lleva descifrar una contraseña y eliminar cualquier procesamiento innecesario.