Las diez t√©cnicas principales para descifrar contrase√Īas que utilizan los piratas inform√°ticos

Comprender las t√©cnicas de descifrado de contrase√Īas utilizadas por los piratas inform√°ticos para explotar sus cuentas en l√≠nea es una excelente manera de asegurarse de que esto nunca le suceda.

Definitivamente, siempre necesitar√° cambiar su contrase√Īa y, a veces, con m√°s urgencia de lo que cree, pero combatir el robo es una excelente manera de mantenerse al tanto de la seguridad de su cuenta. Siempre puede dirigirse a www.haveibeenpwned.com para verificar si est√° en riesgo, pero solo pensar que su contrase√Īa es lo suficientemente segura como para no ser pirateada es una mala mentalidad.



Entonces, para ayudarlo a comprender c√≥mo los piratas inform√°ticos obtienen sus contrase√Īas, seguras o no, hemos compilado una lista de las diez principales t√©cnicas de descifrado de contrase√Īas utilizadas por los piratas inform√°ticos. Algunos de los m√©todos a continuaci√≥n definitivamente est√°n desactualizados, pero eso no significa que todav√≠a no se usen. Lea atentamente y aprenda qu√© mitigar.

Las diez t√©cnicas principales para descifrar contrase√Īas que utilizan los piratas inform√°ticos

1. Ataque de diccionario

El ataque de diccionario utiliza un archivo simple que contiene palabras que se pueden encontrar en un diccionario, de ah√≠ su nombre bastante simple. En otras palabras, este ataque usa exactamente el tipo de palabras que muchas personas usan como contrase√Īas.

Agrupar inteligentemente palabras como "d√©jame entrar" o "chico superadministrador" no evitar√° que tu contrase√Īa sea descifrada de esta manera, bueno, no m√°s de unos segundos adicionales.

2. Ataque de fuerza bruta

Similar al ataque de diccionario, el ataque de fuerza bruta viene con una ventaja adicional para el hacker. En lugar de usar solo palabras, un ataque de fuerza bruta les permite detectar palabras que no están en el diccionario usando todas las combinaciones alfanuméricas posibles desde aaa1 hasta zzz10.



No es r√°pido, siempre que su contrase√Īa tenga m√°s de un pu√Īado de caracteres, pero finalmente descubrir√° su contrase√Īa. Los ataques de fuerza bruta se pueden acortar agregando poder de c√≥mputo adicional, en t√©rminos de poder de procesamiento, incluido el aprovechamiento del poder de la GPU de su tarjeta de video, y la cantidad de m√°quinas, como el uso de plantillas de computaci√≥n distribuida como mineros de bitcoin en l√≠nea.

3. Ataque de mesa arcoíris

Las mesas Rainbow no son tan coloridas como sugiere su nombre, pero para un pirata inform√°tico, su contrase√Īa podr√≠a estar al final. De la forma m√°s sencilla posible, puede reducir una tabla de arco√≠ris a una lista de hashes precalculados: el valor num√©rico utilizado al cifrar una contrase√Īa. Esta matriz contiene hashes de todas las posibles combinaciones de contrase√Īas para un algoritmo hash determinado. Las tablas Rainbow son atractivas porque reducen el tiempo que lleva descifrar un hash de contrase√Īa a solo buscar algo en una lista.

Sin embargo, las mesas arco√≠ris son cosas enormes y dif√≠ciles de manejar. Requieren una potencia inform√°tica significativa para operar, y una tabla se vuelve in√ļtil si el hash que est√° tratando de encontrar ha sido "salado" agregando caracteres aleatorios a su contrase√Īa antes del hash del algoritmo.

Se habla de tablas salty rainbow existentes, pero estas ser√≠an tan grandes que ser√≠an dif√≠ciles de usar en la pr√°ctica. Probablemente solo funcionar√≠an con un conjunto predefinido de "caracteres aleatorios" y cadenas de contrase√Īa de menos de 12 caracteres, ya que el tama√Īo de la tabla ser√≠a prohibitivo incluso para los piratas inform√°ticos a nivel estatal.



4. Suplantación de identidad

Hay una manera simple de hackear, pedirle al usuario su contrase√Īa. Un correo electr√≥nico de phishing lleva al lector desprevenido a una p√°gina de inicio de sesi√≥n falsa asociada con el servicio al que el pirata inform√°tico desea acceder, y generalmente le pide al usuario que solucione alg√ļn problema terrible con su seguridad. Esta p√°gina luego lee su contrase√Īa y el hacker puede usarla para sus propios fines.

¬ŅPor qu√© molestarse en descifrar la contrase√Īa cuando el usuario estar√° feliz de d√°rtela de todos modos?

5. Ingeniería social

La ingeniería social saca todo el concepto de "preguntar al usuario" de la bandeja de entrada en la que el phishing tiende a quedarse y lo lleva al mundo real.

Una de las favoritas del ingeniero social es llamar a una oficina haci√©ndose pasar por un t√©cnico de seguridad inform√°tica y simplemente pedir la contrase√Īa de acceso a la red. Te sorprender√≠a la frecuencia con la que funciona. Algunos incluso tienen las g√≥nadas para ponerse un traje y una etiqueta con su nombre antes de entrar a un negocio para hacerle la misma pregunta cara a cara a la recepcionista.

6. Software malicioso

Un malware que registra todo lo que escribe o toma capturas de pantalla durante un proceso de inicio de sesión puede instalar un keylogger, o screen scraper, y luego envía una copia de ese archivo a Hacker Central.

Algunos programas maliciosos buscar√°n la existencia de un archivo de contrase√Īas del cliente del navegador web y lo copiar√°n, el cual, a menos que se cifre correctamente, contendr√° contrase√Īas guardadas f√°cilmente accesibles desde el historial de navegaci√≥n del usuario.



7. Grietas fuera de línea

Es f√°cil imaginar que las contrase√Īas son seguras cuando los sistemas que protegen bloquean a los usuarios despu√©s de tres o cuatro conjeturas falsas, lo que detiene las aplicaciones de conjetura autom√°tica. Bueno, eso ser√≠a cierto si no fuera por el hecho de que la mayor parte del descifrado de contrase√Īas se realiza fuera de l√≠nea, utilizando un conjunto de hashes en un archivo de contrase√Īas que se "obtuvo" de un sistema comprometido.

A menudo, el objetivo en cuesti√≥n se ha visto comprometido a trav√©s de un ataque a un tercero, que luego proporciona acceso a los servidores del sistema y a los archivos hash de contrase√Īas de usuario tan importantes. El descifrador de contrase√Īas puede entonces tomarse el tiempo necesario para intentar descifrar el c√≥digo sin alertar al sistema de destino o al usuario individual.

8. Hombro surfeando

Otra forma de ingenier√≠a social, la exploraci√≥n del hombro, tal como lo implica, es mirar por encima del hombro de una persona mientras escribe sus credenciales, contrase√Īas, pases, etc. Aunque el concepto es muy rudimentario, te sorprender√≠a la cantidad de contrase√Īas e informaci√≥n confidencial. es robado de esta manera, as√≠ que est√© atento a su entorno cuando acceda a cuentas bancarias, etc. en tus viajes

Los piratas inform√°ticos m√°s confiados asumir√°n la apariencia de un mensajero de paquetes, un t√©cnico de servicio de aire acondicionado o cualquier otra cosa que les d√© acceso a un edificio de oficinas. Una vez dentro, el personal de servicio "uniformado" proporciona una especie de pase gratuito para caminar sin obst√°culos y anotar las contrase√Īas ingresadas por miembros reales del personal. Tambi√©n brinda una gran oportunidad para mirar todas esas notas adhesivas pegadas al frente de las pantallas LCD con identificaciones garabateadas en ellas.

9. Ara√Īa

Los piratas inform√°ticos expertos se han dado cuenta de que muchas contrase√Īas corporativas est√°n formadas por palabras relacionadas con la propia empresa. El estudio de la literatura corporativa, los materiales de ventas del sitio web e incluso los sitios web de los competidores y clientes enumerados puede proporcionar la munici√≥n necesaria para crear una lista de palabras personalizada para usar en un ataque de fuerza bruta.

Piratas inform√°ticos muy expertos han automatizado el proceso y han dejado una aplicaci√≥n de rastreo, similar a los rastreadores web utilizados por los principales motores de b√ļsqueda, para identificar palabras clave, recopilar y ensamblar los listados para ellas.

10. Adivina

El mejor amigo de un descifrador de contrase√Īas, por supuesto, es la previsibilidad del usuario. A menos que se haya creado una contrase√Īa verdaderamente aleatoria utilizando un software dedicado a la tarea, es poco probable que una contrase√Īa "aleatoria" generada por el usuario sea de este tipo.

En cambio, gracias al apego emocional de nuestro cerebro a las cosas que amamos, es probable que estas contrase√Īas aleatorias se basen en nuestros intereses, pasatiempos, mascotas, familia, etc. De hecho, las contrase√Īas suelen basarse en lo que nos gusta comentar en las redes sociales e incluso incluir en nuestros perfiles. Es muy probable que los descifradores de contrase√Īas vean esta informaci√≥n y hagan algunas conjeturas informadas, a menudo correctas, cuando intentan descifrar una contrase√Īa de nivel de consumidor sin recurrir al diccionario o ataques de fuerza bruta.

Otros ataques a tener en cuenta

Si algo les falta a los hackers, no es creatividad. Mediante el uso de una variedad de t√©cnicas y la adaptaci√≥n a los protocolos de seguridad en constante cambio, estos intrusos contin√ļan teniendo √©xito.

Por ejemplo, cualquier persona en las redes sociales probablemente haya visto los divertidos cuestionarios y modelos que le piden que hable sobre su primer autom√≥vil, su comida favorita, la canci√≥n n√ļmero uno en su cumplea√Īos n√ļmero 14. Si bien estos juegos parecen inofensivos y ciertamente son divertidos de publicar, en realidad son un modelo abierto para preguntas de seguridad y respuestas de verificaci√≥n de acceso a la cuenta.

Al crear una cuenta, tal vez intente usar respuestas que realmente no se aplican a usted, pero que recordar√° f√°cilmente. "¬ŅCu√°l fue su primer coche? En lugar de responder honestamente, ponte el auto de tus sue√Īos. De lo contrario, simplemente no publique ninguna respuesta de seguridad en l√≠nea.

Otra forma de acceder es simplemente restablecer su contrase√Īa. La mejor l√≠nea de defensa contra un intruso que restablece su contrase√Īa es usar una direcci√≥n de correo electr√≥nico que revise con frecuencia y actualice su informaci√≥n de contacto. Si est√° disponible, habilite siempre la autenticaci√≥n de dos factores. Incluso si el pirata inform√°tico descubre su contrase√Īa, no puede acceder a la cuenta sin un c√≥digo de verificaci√≥n √ļnico.

Preguntas fréquemment posées

¬ŅPor qu√© necesito una contrase√Īa diferente para cada sitio?

Probablemente sepa que no debe divulgar sus contrase√Īas y no debe cargar ning√ļn contenido que no conozca, pero ¬Ņqu√© pasa con las cuentas en las que inicia sesi√≥n todos los d√≠as? Suponga que usa la misma contrase√Īa para su cuenta bancaria que usa para una cuenta arbitraria como Grammarly. Si se piratea Grammarly, el usuario tambi√©n tiene su contrase√Īa bancaria (y posiblemente su correo electr√≥nico, lo que facilita a√ļn m√°s el acceso a todos sus recursos financieros).

¬ŅQu√© puedo hacer para proteger mis cuentas?

Usar 2FA en todas las cuentas que ofrecen esta funci√≥n, usar contrase√Īas √ļnicas para cada cuenta y usar una combinaci√≥n de letras y s√≠mbolos es la mejor l√≠nea de defensa contra los piratas inform√°ticos. Como se indic√≥ anteriormente, hay muchas maneras diferentes para que los piratas inform√°ticos obtengan acceso a sus cuentas, por lo que debe asegurarse de actualizar regularmente su software y aplicaciones (para parches de seguridad) y evitar las descargas que no conoce.

¬ŅCu√°l es la forma m√°s segura de almacenar contrase√Īas?

Mantenerse al d√≠a con varias contrase√Īas particularmente extra√Īas puede ser incre√≠blemente dif√≠cil. Si bien pasar por el proceso de restablecimiento de contrase√Īa es mucho mejor que comprometer sus cuentas, lleva tiempo. Para proteger sus contrase√Īas, puede usar un servicio como Last Pass o KeePass para guardar todas las contrase√Īas de su cuenta.

Tambi√©n puede usar un algoritmo √ļnico para mantener sus contrase√Īas seguras y hacerlas m√°s f√°ciles de recordar. Por ejemplo, PayPal podr√≠a ser algo como hwpp+c832. Esencialmente, esta contrase√Īa es la primera letra de cada corte en la URL (https://www.paypal.com) con el √ļltimo d√≠gito del a√Īo de nacimiento de cada persona en su hogar (como ejemplo). Cuando vaya a iniciar sesi√≥n en su cuenta, vea la URL que le dar√° las primeras letras de esta contrase√Īa.

Agrega s√≠mbolos para que tu contrase√Īa sea a√ļn m√°s dif√≠cil de descifrar, pero organ√≠zalos para que sean m√°s f√°ciles de recordar. Por ejemplo, el s√≠mbolo "+" puede ser para todas las cuentas relacionadas con el entretenimiento, mientras que el s√≠mbolo "! puede usarse para cuentas financieras.

A√Īade un comentario de Las diez t√©cnicas principales para descifrar contrase√Īas que utilizan los piratas inform√°ticos
¡Comentario enviado con éxito! Lo revisaremos en las próximas horas.