Los cinco trucos más usados para robar contraseñas

Desde echar un vistazo por detrás de tu cogote a los sistemas de fuerza bruta. Te contamos todos los trucos que emplean los malos para robar contraseñas.

Guardar

Malware/troyano ladrón de información
Malware/troyano ladrón de información

Hay muchos sistemas para robar contraseñas, la a veces fina película, demasiado fina,  que nos protege de los ciberdelincuentes que quieren hacerse con nuestros datos bancarios, o de la persona malintencionada que quiere saber nuestros secretos con no se sabe que obscuras intenciones.  La empresa de  seguridad ESET ha elaborado un listado con cinco de los trucos más usados para robar contraseñas. 

1.-Phishing e Ingeniería social

Se trata de la técnica de ataque más extendida, utiliza la inevitable tendencia del ser humano a tomar decisiones equivocadas cuando tiene prisa. Las prisas, no se cansan los ciberexpertos y las fuerzas del orden de decirlo, son las mejores aliadas de los ciberdelincuentes. Y sacan partido de ello mediante la ingeniería social, un truco que consiste en lograr hacer lo que otro quiere mediante la ingeniería social, que recurre a la psicología. 

El 'phishing' es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha entablado negocios, etc. Lo explica perfectamente la Policía Nacional en este vídeo grabado para Escudo Digital.

 

Los correos electrónicos en los que se utilizan todo tipo de señuelos  parecen auténticos, pero llevan aparejado un enlace o un archivo adjunto malicioso que, al ser pulsado, descargará un malware o nos conducirá a una página en la que daremos nuestros datos personales y se harán con nuestras contraseñas.

2.-Malware escondido en diversos sitios

El malware es un programa malicioso, que incluye muchas tipologías. No solo los correos electrónicos de phishing son un vector importante para este tipo de ataques,  también se puede ser víctima al hacer clic en un anuncio malicioso ('malvertising'), o incluso al visitar un sitio web comprometido ('drive-by-download'). Como manifiesta ESET en su informe, el 'malware' puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.

Existen diversas variedades de 'malware' para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que el usuario pulsa en el teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.

3.-Ataque de Fuerza Bruta 

Todo el mundo sabe que conviene utilizar contraseñas robustas, que no suelen ser fáciles de recordar. Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25 % interanual en 2020. Muchas personas recurren al truco de usar las mínimas posibles en varios sitios, con lo cual " se lo ponen en bandeja" a los atacantes que utilizan las técnicas de Fuerza Bruta. ¿Qué es un ataque de fuerza bruta? Una comprobación de credenciales mediante un programa que introduce una inmensa cantidad de comprobaciones de contraseñas mediante un software automatizado.

Según la complejidad de la contraseña, si utiliza mayúsculas o minúsculas, símbolos y números, etc, o simplemente e el típo 1234, la "maquinita" puede tardar unos segundos o incluso muchos años en descifrarla. Por eso conviene también cambiar las contraseñas de cuando en cuando. Y es que los ciberladrones no se desaniman. Hay contraseñas que pueden tener tanto valor como para que un ciberdelincuente tenga encendido día y noche el sistema para descifrarla durante mucho tiempo. 

Según una estimación, el año pasado se produjeron 193.000 millones de intentos de ataques de este tipo en todo el mundo. Una de las víctimas más importantes, destaca ESETm ha sido recientemente el gobierno canadiense.

Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los 'hackers utilizan' un 'software' automatizado para probar una lista de contraseñas de uso común contra una cuenta.

4.-Mirar por encima del hombro o "Shoulder Surfing"

Shoulder surfing o el viejo truco de cotillear por encima del hombro, en castellano,
shoulder surfing
 

Aunque hay muchas formas de robar una contraseña de forma virtual, conviene ser conscientes de que siguen existiendo formulas para conocer una contraseña en el mundo físico, desde mirar a la persona que la está tecleando en el momento oportuno, o fijarse en sus post-it. Es muy común en el caso de las tarjetas de crédito, por eso los camareros y los dependientes suelen darse la vuelta cuando lo tecleas o miran para otro lado. Porque un compinche podría robarnos la tarjeta, y con la clave, hacer compras o retirar dinero hasta que nos demos cuenta y la cancelemos. Merece la pena resaltar que ESET ha hecho experimentos que demuestran la facilidad con la que se puede conseguir una contraseña de snapchat con el sistema de mirar por encima del hombro, o shoulder surfing, como ses denomina a este truco tan viejo en inglés.  conocido como  la pena recordar que siguen existiendo formas de conocer una contraseña en el mundo físico que suponen un riesgo.

5. Adivina, adivinanza

Aunque los ciberdelincuentes disponen de herramientas automatizadas para forzar la deducción de las contraseñas, a veces ni siquiera son necesarias: incluso las simples conjeturas -en contraposición al enfoque más sistemático utilizado en los ataques de fuerza bruta- pueden lograr el objetivo.

La contraseña más común de 2020 fue '123456', seguida de '123456789'. En el cuarto puesto se encuentra la propia palabra 'password', contraseña en inglés.

Como protegerse de los ladrones de contraseñas

Para ayudar a protegerse a los internautas, ESET ha compartido una serie de recomendaciones para que los usuarios no acaben sufriendo robos de sus contraseñas.

  1. Algunos de estos consejos son recurrentes, como utilizar solo contraseñas o frases fuertes y únicas en todas las cuentas, especialmente en las bancarias, de correo electrónico y de redes sociales. Esto incluye evitar reutilizar credenciales.
  2. Otra recomendación pasa por activar la autenticación de dos factores (2FA)
  3. Usar un gestor de contraseñas, que almacenará contraseñas fuertes y únicas para cada sitio y cuenta.
  4. También es importante cambiar de contraseña inmediatamente si un proveedor avisa de un robo de datos
  5. Los usuarios deben concienciarse y utilizar únicamente sitios HTTPS para iniciar sesión, no hacer clic ni abrir adjuntos en correos electrónicos no solicitados y descargar solo aplicaciones de tiendas oficiales.
  6. Conviene también usar un 'software' de ciberseguridad
  7.  Utilizar siempre sistema operativos y aplicaciones actualizados
  8.  Tener cuidado con posibles 'mirones' en espacios públicos y nunca conectarse a cuentas desde redes WiFi públicas, en las que se recomienda el uso de herramientas VPN.