Seis tipos de ataques a contraseñas: Métodos de ataque y contramedidas

En el presente post te explico los tipos de ataques a contraseñas de uso frecuente y las contramedidas adecuadas con las que puedes evitar o al menos minimizar estos ataques. Recuerda que en la web existen usuarios maliciosos que implementan acciones para obtener tus datos y sacar provecho de ellos.

¿Qué es una contraseña?

Una contraseña es una cadena coherente de caracteres que se utiliza para autenticar si el usuario tiene permiso para interactuar con un sistema informático, correo electrónico,  aplicaciones web, entre otros.
Para asegurar que alguien que ingresa un nombre de usuario es realmente esa persona, debe ingresar la contraseña como un segundo criterio de identificación, que solo puede ser conocido por el usuario y el sistema. Una contraseña generalmente consta de cuatro a 16 caracteres, dependiendo de cómo esté configurado el sistema.
Para elegir o configurar una contraseña, se deben cumplir varios criterios:

  • ·         No elijas una contraseña que alguien pueda adivinar fácilmente, por ejemplo, fechas de cumpleaños, nombres y apellidos personales, etc.
  • ·         No elijas una palabra que esté en un diccionario, ya que hay programas informáticos capacitados para hallar el término.
  • ·         No utilices una contraseña basada en eventos recientes.
  • ·         No uses una contraseña similar a la anterior.
  • ·         Procura usar una combinación de letras y al menos un número.
Tipos de ataques a contraseñas

A continuación, te explico los tipos de ataques a contraseñas:
– Ataque de diccionario
Este método de ataque aprovecha el hecho de que las contraseñas suelen ser demasiado cortas o contienen palabras comunes. Los piratas informáticos utilizan una lista de esas palabras, por lo general, las prueban en combinación con algunos dígitos antes y / o después del nombre de usuario de la empresa.
– Fuerza bruta
Con la ayuda de un programa, se generan y prueban contraseñas probables o simplemente cadenas aleatorias utilizando el método del mazo. El ataque comienza con contraseñas débiles de uso frecuente, como Password123, y luego se intensifica. Las variaciones con letras mayúsculas y minúsculas también se prueban automáticamente.

– Hombre en el medio
El software del hacker no solo monitorea los datos transmitidos en la red, sino que también participa activamente en la interacción con el usuario. Para ello, suele disfrazarse de un sitio web o una aplicación de confianza para inducir al usuario a introducir sus datos de acceso y otra información confidencial (números de cuenta, números de seguridad social, etc.).

– Registrador de teclas
Los ciberdelincuentes instalan software en el sistema del usuario que registra cada pulsación de tecla. De esta manera, los delincuentes no solo averiguan el nombre de usuario y la contraseña, sino que también consultan inmediatamente a qué sitio web o aplicación se aplican los datos de acceso. Este tipo de ataque suele requerir una agresión previa en el que se instala el malware keylogger en la computadora del usuario.

– Ingeniería social
La ingeniería social es una serie de métodos de manipulación que se utilizan para extraer información confidencial de los usuarios. Las tácticas comunes incluyen:

·         Phishing: los correos electrónicos, mensajes de texto  fraudulentos están diseñados para engañar a los usuarios para que ingresen sus credenciales, visiten sitios web falsos o hagan clic en un enlace que desencadena la instalación de malware.

·         Spear Phishing: comparable al phishing, pero los correos electrónicos y SMS se formulan con más cuidado aquí, y con la ayuda de información que ya se ha encontrado, se adaptan más al usuario respectivo. Por ejemplo, si el pirata informático ya sabe que su víctima tiene una cuenta en un determinado banco, puede diseñar el diseño y el logotipo del correo electrónico al estilo del banco para que parezca más auténtico.

·         Cebos: los atacantes dejan memorias USB u otros dispositivos comprometidos en lugares públicos o en la empresa con la esperanza de que los empleados los utilicen sin sospechar nada. Por lo tanto, ingenuamente infecten a sus computadoras de programas maliciosos.

·         Quid pro quo: el atacante finge ser una persona de confianza, por ejemplo, un empleado de la mesa de ayuda, e interactúa con el usuario para obtener de él la información deseada.

Defensa contra ataques a contraseñas
Las contraseñas seguras son mucho menos susceptibles a los tipos de ataque mencionados anteriormente. Las pautas actuales del NIST (Directrices de seguridad digital) recomiendan contraseñas que sean fáciles de recordar, pero difíciles de adivinar. Se recomienda una buena combinación de letras mayúsculas y minúsculas, números y caracteres especiales. También se debe evitar palabras y frases comunes.

Además, tu contraseña nunca debe contener palabras que estén directamente relacionadas con el sitio web o la aplicación, por ejemplo, el nombre de la aplicación en la que inicia sesión con la contraseña. Según NIST, las contraseñas se deben comparar con listas de palabras que contienen contraseñas débiles típicas.

La instrucción de todos los empleados también es importante. Si los usuarios saben cómo funciona la ingeniería social y se les reconoce, las estrategias del hacker son prácticamente ineficaces.

Desafortunadamente, las contraseñas seguras y los usuarios inteligentes ya no son suficientes hoy en día. Las computadoras cada vez más poderosas permiten a los hackers ejecutar programas sofisticados que pueden usarse para espiar o probar grandes cantidades de datos de acceso.

Es por eso que NIST aconseja no depender únicamente de las contraseñas. En particular, las empresas deben implementar herramientas como el inicio de sesión único (SSO) y la autenticación multifactor (MFA, también conocida como autenticación de dos factores).

SSO reduce la avalancha de contraseñas y permite a los empleados iniciar sesión en todos sus sitios web y aplicaciones con un solo conjunto de datos de acceso. Entonces, todo lo que tienes que hacer es recordar una contraseña segura.

El MFA requiere que se proporcione una segunda prueba de identidad, como una huella digital o un PIN generado por una aplicación como OneLogin Protect, al iniciar sesión. Esto hace que sea mucho más difícil para los ciberdelincuentes hacerse pasar por usuarios legítimos.

 

Post a Comment

Comuníquese vía WhatsApp
1