¿Cómo consiguen los ciberdelincuentes las contraseñas de los usuarios?

  • Actualidad

Los especialistas de Fortinet han reunido los siete ataques que utilizan los ciberdelincuentes para acceder a las contraseñas de los usuarios y a sus datos críticos. Junto con esta selección sobre el 'modus operandi', la firma ofrece una serie de recomendaciones para trabajadores y empresas.

Recomendados: 

Anatomía del ataque a una cuenta privilegiada Leer

Seis razones para proteger Salesforce con una solución de terceros Leer 

Una de las claves para evitar ver nuestra información comprometida es entender cómo los ciberdelincuentes intentan acceder a los datos críticos:

- Ataques de ingeniería social: suplantación de identidad a través de correos electrónicos y mensajes de texto, en los que se engaña a los usuarios para que proporcionen sus credenciales, hagan clic en enlaces o archivos adjuntos maliciosos, o vayan a sitios web maliciosos.

- Ataques que emplean palabras comunes: el atacante utiliza una lista de palabras comunes, propias de un diccionario, para intentar acceder a las contraseñas en previsión de que los usuarios hayan utilizado palabras comunes o contraseñas cortas. Su técnica también incluye la adición de números antes y/o después de las palabras comunes ya que mucha gente piensa que el simple hecho de añadir números antes y/o después hace que la contraseña sea más compleja de adivinar.

- Ataques de fuerza bruta: los ciberdelincuentes generan aleatoriamente contraseñas y conjuntos de caracteres para adivinar, por insistencia y repetición, las contraseñas y cotejarlas con el hash criptográfico disponible de la contraseña. 

- Pulverización de contraseñas: una forma de ataque de fuerza bruta que tiene como objetivo múltiples cuentas. En un ataque de fuerza bruta tradicional, los adversarios intentan adivinar, por repetición, la contraseña de una sola cuenta, lo que suele llevar al bloqueo de la misma. Con la pulverización de contraseñas, el adversario sólo prueba algunas de las contraseñas más comunes en múltiples cuentas, tratando de identificar a esa persona que está usando una contraseña por defecto o fácil de adivinar y así evitar el escenario de bloqueo de la cuenta.

- Uso de keyloggers: mediante la instalación de un software keylogger en el portátil o dispositivo de la víctima a través, normalmente, de algún tipo de ataque de phishing por email, el cibercriminal puede capturar las pulsaciones de las teclas de la víctima para hacerse con su nombre de usuario y las contraseñas de sus distintas cuentas.

- Interceptación de tráfico: los delincuentes utilizan software como los rastreadores de paquetes para supervisar y capturar el tráfico de red que contiene información sobre las contraseñas. Si el tráfico no está cifrado o utiliza algoritmos de cifrado débiles, consiguen las contraseñas con cierta facilidad.

- Man-in-the-middle: el cibercriminal se sitúa entre el usuario y el sitio web o la aplicación que éste utiliza, normalmente suplantando la identidad de dicha web o app. Así, captura el nombre de usuario y la contraseña que el usuario introduce en el site falso. A menudo, los ataques de phishing por correo electrónico llevan a las víctimas desprevenidas a este tipo de sites.

Los usuarios pueden adoptar una serie de medidas para asegurar que los cibercriminales no puedan comprometer su información personal como, por ejemplo, crear contraseñas imposibles de olvidar y difíciles de adivinar con al menos 10 caracteres y que combinen mayúsculas, minúsculas, número y caracteres, evitar contraseñas débiles, no utilizar la misma contraseña para varias cuentas o cambiar la contraseña cada tres meses para disminuir la probabilidad de que la cuenta se vea comprometida. También es útil emplear un gestor de contraseñas.

Medidas adicionales para empresas

Los expertos de Fortinet aconsejan adoptar las siguientes medidas adicionales para detener ciberataques avanzados:

- Autenticación multi-factor (MFA): confirma la identidad de los usuarios añadiendo un paso adicional al proceso de autenticación, ya sea mediante tokens físicos o basados en aplicaciones móviles. Esto garantiza que, incluso si una contraseña se ve comprometida, los ciberdelincuentes no pueden acceder a la información.

- Single Sign-On (SSO): permite a los usuarios utilizar un único nombre de usuario y contraseña seguros en varias aplicaciones de una organización.

- Formación y educación en ciberseguridad: a medida que las ciberamenazas evolucionan y los criminales desarrollan nuevas técnicas para sus ataques, los usuarios deben tomar conciencia de la ciberseguridad e informarse sobre el estado del panorama de las amenazas.