Comprender las técnicas de descifrado de contraseñas utilizadas por los piratas informáticos para explotar sus cuentas en línea es una excelente manera de asegurarse de que esto nunca le suceda.
Definitivamente, siempre necesitará cambiar su contraseña y, a veces, con más urgencia de lo que cree, pero combatir el robo es una excelente manera de mantenerse al tanto de la seguridad de su cuenta. Siempre puede dirigirse a www.haveibeenpwned.com para verificar si está en riesgo, pero solo pensar que su contraseña es lo suficientemente segura como para no ser pirateada es una mala mentalidad.
Entonces, para ayudarlo a comprender cómo los piratas informáticos obtienen sus contraseñas, seguras o no, hemos compilado una lista de las diez principales técnicas de descifrado de contraseñas utilizadas por los piratas informáticos. Algunos de los métodos a continuación definitivamente están desactualizados, pero eso no significa que todavía no se usen. Lea atentamente y aprenda qué mitigar.
Las diez técnicas principales para descifrar contraseñas que utilizan los piratas informáticos
1. Ataque de diccionario
El ataque de diccionario utiliza un archivo simple que contiene palabras que se pueden encontrar en un diccionario, de ahí su nombre bastante simple. En otras palabras, este ataque usa exactamente el tipo de palabras que muchas personas usan como contraseñas.
Agrupar inteligentemente palabras como "déjame entrar" o "chico superadministrador" no evitará que tu contraseña sea descifrada de esta manera, bueno, no más de unos segundos adicionales.
2. Ataque de fuerza bruta
Similar al ataque de diccionario, el ataque de fuerza bruta viene con una ventaja adicional para el hacker. En lugar de usar solo palabras, un ataque de fuerza bruta les permite detectar palabras que no están en el diccionario usando todas las combinaciones alfanuméricas posibles desde aaa1 hasta zzz10.
No es rápido, siempre que su contraseña tenga más de un puñado de caracteres, pero finalmente descubrirá su contraseña. Los ataques de fuerza bruta se pueden acortar agregando poder de cómputo adicional, en términos de poder de procesamiento, incluido el aprovechamiento del poder de la GPU de su tarjeta de video, y la cantidad de máquinas, como el uso de plantillas de computación distribuida como mineros de bitcoin en línea.
3. Ataque de mesa arcoíris
Las mesas Rainbow no son tan coloridas como sugiere su nombre, pero para un pirata informático, su contraseña podría estar al final. De la forma más sencilla posible, puede reducir una tabla de arcoíris a una lista de hashes precalculados: el valor numérico utilizado al cifrar una contraseña. Esta matriz contiene hashes de todas las posibles combinaciones de contraseñas para un algoritmo hash determinado. Las tablas Rainbow son atractivas porque reducen el tiempo que lleva descifrar un hash de contraseña a solo buscar algo en una lista.
Sin embargo, las mesas arcoíris son cosas enormes y difíciles de manejar. Requieren una potencia informática significativa para operar, y una tabla se vuelve inútil si el hash que está tratando de encontrar ha sido "salado" agregando caracteres aleatorios a su contraseña antes del hash del algoritmo.
Se habla de tablas salty rainbow existentes, pero estas serían tan grandes que serían difíciles de usar en la práctica. Probablemente solo funcionarían con un conjunto predefinido de "caracteres aleatorios" y cadenas de contraseña de menos de 12 caracteres, ya que el tamaño de la tabla sería prohibitivo incluso para los piratas informáticos a nivel estatal.
4. Suplantación de identidad
Hay una manera simple de hackear, pedirle al usuario su contraseña. Un correo electrónico de phishing lleva al lector desprevenido a una página de inicio de sesión falsa asociada con el servicio al que el pirata informático desea acceder, y generalmente le pide al usuario que solucione algún problema terrible con su seguridad. Esta página luego lee su contraseña y el hacker puede usarla para sus propios fines.
¿Por qué molestarse en descifrar la contraseña cuando el usuario estará feliz de dártela de todos modos?
5. Ingeniería social
La ingeniería social saca todo el concepto de "preguntar al usuario" de la bandeja de entrada en la que el phishing tiende a quedarse y lo lleva al mundo real.
Una de las favoritas del ingeniero social es llamar a una oficina haciéndose pasar por un técnico de seguridad informática y simplemente pedir la contraseña de acceso a la red. Te sorprendería la frecuencia con la que funciona. Algunos incluso tienen las gónadas para ponerse un traje y una etiqueta con su nombre antes de entrar a un negocio para hacerle la misma pregunta cara a cara a la recepcionista.
6. Software malicioso
Un malware que registra todo lo que escribe o toma capturas de pantalla durante un proceso de inicio de sesión puede instalar un keylogger, o screen scraper, y luego envía una copia de ese archivo a Hacker Central.
Algunos programas maliciosos buscarán la existencia de un archivo de contraseñas del cliente del navegador web y lo copiarán, el cual, a menos que se cifre correctamente, contendrá contraseñas guardadas fácilmente accesibles desde el historial de navegación del usuario.
7. Grietas fuera de línea
Es fácil imaginar que las contraseñas son seguras cuando los sistemas que protegen bloquean a los usuarios después de tres o cuatro conjeturas falsas, lo que detiene las aplicaciones de conjetura automática. Bueno, eso sería cierto si no fuera por el hecho de que la mayor parte del descifrado de contraseñas se realiza fuera de línea, utilizando un conjunto de hashes en un archivo de contraseñas que se "obtuvo" de un sistema comprometido.
A menudo, el objetivo en cuestión se ha visto comprometido a través de un ataque a un tercero, que luego proporciona acceso a los servidores del sistema y a los archivos hash de contraseñas de usuario tan importantes. El descifrador de contraseñas puede entonces tomarse el tiempo necesario para intentar descifrar el código sin alertar al sistema de destino o al usuario individual.
8. Hombro surfeando
Otra forma de ingeniería social, la exploración del hombro, tal como lo implica, es mirar por encima del hombro de una persona mientras escribe sus credenciales, contraseñas, pases, etc. Aunque el concepto es muy rudimentario, te sorprendería la cantidad de contraseñas e información confidencial. es robado de esta manera, así que esté atento a su entorno cuando acceda a cuentas bancarias, etc. en tus viajes
Los piratas informáticos más confiados asumirán la apariencia de un mensajero de paquetes, un técnico de servicio de aire acondicionado o cualquier otra cosa que les dé acceso a un edificio de oficinas. Una vez dentro, el personal de servicio "uniformado" proporciona una especie de pase gratuito para caminar sin obstáculos y anotar las contraseñas ingresadas por miembros reales del personal. También brinda una gran oportunidad para mirar todas esas notas adhesivas pegadas al frente de las pantallas LCD con identificaciones garabateadas en ellas.
9. Araña
Los piratas informáticos expertos se han dado cuenta de que muchas contraseñas corporativas están formadas por palabras relacionadas con la propia empresa. El estudio de la literatura corporativa, los materiales de ventas del sitio web e incluso los sitios web de los competidores y clientes enumerados puede proporcionar la munición necesaria para crear una lista de palabras personalizada para usar en un ataque de fuerza bruta.
Piratas informáticos muy expertos han automatizado el proceso y han dejado una aplicación de rastreo, similar a los rastreadores web utilizados por los principales motores de búsqueda, para identificar palabras clave, recopilar y ensamblar los listados para ellas.
10. Adivina
El mejor amigo de un descifrador de contraseñas, por supuesto, es la previsibilidad del usuario. A menos que se haya creado una contraseña verdaderamente aleatoria utilizando un software dedicado a la tarea, es poco probable que una contraseña "aleatoria" generada por el usuario sea de este tipo.
En cambio, gracias al apego emocional de nuestro cerebro a las cosas que amamos, es probable que estas contraseñas aleatorias se basen en nuestros intereses, pasatiempos, mascotas, familia, etc. De hecho, las contraseñas suelen basarse en lo que nos gusta comentar en las redes sociales e incluso incluir en nuestros perfiles. Es muy probable que los descifradores de contraseñas vean esta información y hagan algunas conjeturas informadas, a menudo correctas, cuando intentan descifrar una contraseña de nivel de consumidor sin recurrir al diccionario o ataques de fuerza bruta.
Otros ataques a tener en cuenta
Si algo les falta a los hackers, no es creatividad. Mediante el uso de una variedad de técnicas y la adaptación a los protocolos de seguridad en constante cambio, estos intrusos continúan teniendo éxito.
Por ejemplo, cualquier persona en las redes sociales probablemente haya visto los divertidos cuestionarios y modelos que le piden que hable sobre su primer automóvil, su comida favorita, la canción número uno en su cumpleaños número 14. Si bien estos juegos parecen inofensivos y ciertamente son divertidos de publicar, en realidad son un modelo abierto para preguntas de seguridad y respuestas de verificación de acceso a la cuenta.
Al crear una cuenta, tal vez intente usar respuestas que realmente no se aplican a usted, pero que recordará fácilmente. "¿Cuál fue su primer coche? En lugar de responder honestamente, ponte el auto de tus sueños. De lo contrario, simplemente no publique ninguna respuesta de seguridad en línea.
Otra forma de acceder es simplemente restablecer su contraseña. La mejor línea de defensa contra un intruso que restablece su contraseña es usar una dirección de correo electrónico que revise con frecuencia y actualice su información de contacto. Si está disponible, habilite siempre la autenticación de dos factores. Incluso si el pirata informático descubre su contraseña, no puede acceder a la cuenta sin un código de verificación único.
Preguntas fréquemment posées
¿Por qué necesito una contraseña diferente para cada sitio?
Probablemente sepa que no debe divulgar sus contraseñas y no debe cargar ningún contenido que no conozca, pero ¿qué pasa con las cuentas en las que inicia sesión todos los días? Suponga que usa la misma contraseña para su cuenta bancaria que usa para una cuenta arbitraria como Grammarly. Si se piratea Grammarly, el usuario también tiene su contraseña bancaria (y posiblemente su correo electrónico, lo que facilita aún más el acceso a todos sus recursos financieros).
¿Qué puedo hacer para proteger mis cuentas?
Usar 2FA en todas las cuentas que ofrecen esta función, usar contraseñas únicas para cada cuenta y usar una combinación de letras y símbolos es la mejor línea de defensa contra los piratas informáticos. Como se indicó anteriormente, hay muchas maneras diferentes para que los piratas informáticos obtengan acceso a sus cuentas, por lo que debe asegurarse de actualizar regularmente su software y aplicaciones (para parches de seguridad) y evitar las descargas que no conoce.
¿Cuál es la forma más segura de almacenar contraseñas?
Mantenerse al día con varias contraseñas particularmente extrañas puede ser increíblemente difícil. Si bien pasar por el proceso de restablecimiento de contraseña es mucho mejor que comprometer sus cuentas, lleva tiempo. Para proteger sus contraseñas, puede usar un servicio como Last Pass o KeePass para guardar todas las contraseñas de su cuenta.
También puede usar un algoritmo único para mantener sus contraseñas seguras y hacerlas más fáciles de recordar. Por ejemplo, PayPal podría ser algo como hwpp+c832. Esencialmente, esta contraseña es la primera letra de cada corte en la URL (https://www.paypal.com) con el último dígito del año de nacimiento de cada persona en su hogar (como ejemplo). Cuando vaya a iniciar sesión en su cuenta, vea la URL que le dará las primeras letras de esta contraseña.
Agrega símbolos para que tu contraseña sea aún más difícil de descifrar, pero organízalos para que sean más fáciles de recordar. Por ejemplo, el símbolo "+" puede ser para todas las cuentas relacionadas con el entretenimiento, mientras que el símbolo "! puede usarse para cuentas financieras.