Día Mundial de la Contraseña 2021: ¿Cuántas se robarán este año?

Ya sabes lo que se dice de las contraseñas... Estás a solo una contraseña débil de una brecha. A pesar de la creciente sofisticación de las tecnologías y herramientas de los hackers, el paso más fácil de un hackeo sigue siendo descifrar la contraseña. De hecho, es tan fácil que muchas veces ni siquiera hay que adivinarla. Lo más aterrador de todo esto es que, independientemente de lo segura que sea su contraseña, basta con que un colega tenga una contraseña débil para que todo el sistema de su empresa corra el riesgo de sufrir una brecha.

Estas estadísticas ayudan a explicar por qué las contraseñas son una de las principales vulnerabilidades de las empresas:

• • El 81% del número total de brechas aprovechó contraseñas robadas o débiles - Informe de Verizon sobre Investigaciones de Brechas de Datos de 2020
• • 1 millón de contraseñas son robadas cada semana - Breach Alarm, 2019
• • 1,3 millones de dólares es el coste medio de una brechas de datos - 2017 Ponemon Institute, Estudio del Coste de las Brechas de Datos, 2017

• El descargador de contraseñas es uno de los malwares más comunes - Informe de Investigaciones de Brechas de Datos de Verizon, 2020

Y estos son los métodos de hacking de contraseñas más comunes:

Keyloggers

Los keyloggers son programas de software que permiten a los hackers acceder a los datos personales registrando todas las pulsaciones del teclado. Las contraseñas y los números de tarjetas de crédito que se escriben, las páginas web que se visitan... todo ello registrando las pulsaciones del teclado.

Ingeniería social

Este enfoque tiene varios estilos, todos ellos basados en la idea de engañar o manipular a las personas para que divulguen su información o realicen una determinada acción. Los métodos de ingeniería social más comunes para robar contraseñas incluyen el phishing y el uso de un ataque con troyanos. Un método menos común es el shoulder surfing, técnica que consiste en mirar por encima del hombro para obtener información de un usuario concreto. Aquí el hacker simplemente observa a un usuario teclear su contraseña.

Ataque de diccionario

Los hackers intentan adivinar una contraseña escribiendo una lista común de palabras de un "diccionario" de contraseñas. Los diccionarios de contraseñas más avanzados incluyen listas de las palabras más utilizadas en las contraseñas. Se trata de un método relativamente sencillo, pero que resulta eficaz para adivinar contraseñas menos complejas. Si utiliza palabras reales en cualquiera de sus contraseñas, sus credenciales están en peligro.

Ataque de fuerza bruta

Si bien no es tan eficiente como un ataque de diccionario, un ataque de fuerza bruta es más efectivo para adivinar una contraseña. Con este método, los hackers utilizan herramientas para probar repetidamente todas las combinaciones posibles de letras, números y símbolos de contraseña hasta que se descifra la contraseña. Un enfoque similar es el ataque de fuerza bruta inverso, en el que un hacker prueba una contraseña contra muchos nombres de usuario.

Ataque Arcoíris

Este método utiliza un recurso llamado tabla arcoíris para descifrar los hashes de las contraseñas (esencialmente contraseñas revueltas almacenadas en las bases de datos del sistema) de una manera mucho más eficiente y efectiva que los ataques de fuerza bruta o de diccionario.

Ataque de relleno de credenciales

Dado que muchas personas utilizan las mismas contraseñas o variaciones de contraseñas en todas las cuentas, los hackers encontraron una manera de ejecutar automáticamente listas de bases de datos de combinaciones de nombre de usuario/contraseñas violadas contra el inicio de sesión de un sitio web objetivo. Según Shape Security, el 90% de los intentos de inicio de sesión en los comercios online provienen de este tipo de ataque y este método es efectivo para los hackers alrededor del 3% de las veces.

Así que, para celebrar el Día Mundial de la Contraseña, sugerimos que se busquen formas más inteligentes de proteger las credenciales de los usuarios. La autenticación multifactor (MFA) debería ser el primer paso para habilitar la defensa de la autenticación de los usuarios. Añade una capa de seguridad a los inicios de sesión más allá de un simple nombre de usuario y contraseña y ayuda a garantizar que los hackers no puedan acceder a sus sistemas incluso si una de las contraseñas de sus empleados se ve comprometida.

¿Se pregunta si las credenciales de correo electrónico de los empleados han sido expuestas a la dark web? Busque el dominio de su empresa aquí para averiguarlo.

Sam Manjarres, directora de marketing de producto de WatchGuard Technologies