Consejos HC

7 formas de robarte tus contraseñas… y cómo evitarlo

El robo de contraseñas es un problema muy común. Y no hay una única forma por la que los crackers pueden hacerse con las tuyas. Estas son las más destacadas... y lo que tienes que hacer para evitarlo.

Robo de contraseñas: imagen de la pantalla de una tablet con un menú de inicio de sesión
Foto: Piqsels.

Las contraseñas son uno de los bienes más preciados de nuestra vida digital. Constituyen una puerta que bloquea el acceso a información relevante o servicios valiosos. Incluso a nuestras cuentas bancarias. Si un cracker lograse hacerse con alguna de nuestras contraseñas, podría causarnos un grave problema.

Y no hay un único método para que nos las roben.

Desde Sentinel One avisan de 7 métodos que tienen los ciberdelincuentes para hacerse con tus credenciales, ya sean de correo electrónico o cualquier clave que tengas para acceder a alguna plataforma.

1. Relleno de credenciales

Consiste en probar las contraseñas y nombres de usuarios extraídos de bases de datos robadas en varias cuentas para ver si hay coincidencia y se permite el acceso.

Esta es una práctica bastante habitual. Las bases de datos alojadas en sitios con poca seguridad se violan de forma regular para venderse en la internet oscura. El beneficio para los crackers está en que muchos usuarios repiten las mismas credenciales -usuario y contraseña- en múltiples plataformas, por lo que hay muchas posibilidades de acceder a varios sitios con las mismas claves.

Evidentemente, este proceso no se hace de forma manual, ya que sería muy poco eficiente. Por eso, los ciberdelincuentes han desarrollado programas informáticos que funcionan por fuerza bruta. Es decir, una sucesión infinita de ensayo/error que prueban combinaciones de contraseñas y correos para ver cuáles abren la puerta a una plataforma.

Debido a la automatización del proceso, el riesgo de sufrirlo es elevado: los piratas prueban diariamente millones de credenciales.

Para evitar ser víctima de este ataque, lo mejor es tener una contraseña única para cada sitio. Si cumples esta regla, dará igual que se filtre tu contraseña: solo sufrirás las consecuencias en una plataforma, por lo que minimizarás las consecuencias.

Candado con contraseña
Imagen de Gino Crescoli en Pixabay

2. Phishing

El phishing es uno de los ciberataques más habituales. Se trata de una técnica utilizada para obtener información confidencial o personal de forma fraudulenta. El estafador utiliza un mensaje y un canal que parecen seguros para la víctima. El delincuente explica en su mensaje que la víctima necesita proporcionarle determinados datos personales o pagar inmediatamente una cantidad de dinero. De esta manera, podría hacerse con los nombres de usuario y las contraseñas de su víctima.

Este ataque es complicado de detectar. Los piratas informáticos se toman muchas molestias en suplantar adecuadamente la imagen visual de los sitios a los que imitan para hacer más creíble el engaño.

Lo principal no fiarse nunca de un mensaje en Internet que te pida que proporciones tus datos personales. Ninguna empresa solicitará datos bancarios o financieros por ese canal, así que, si te lo piden, sospecha. Si quieres entrenar para estar preparado para diferenciar un correo electrónico de phishing de uno genuino, puedes practicar con estas 8 pruebas que te propone Google. Además, contar con una autenticación en dos factores también ayuda a disminuir el riesgo.

3. Pulverización de contraseñas

123456, password… Parece mentira, pero todavía hay gente que sigue confiando en contraseñas tan evidentes. Los crakers lo saben y, mediante ensayo/error -igual que pasaba en el relleno de credenciales-, van probando para ver si alguna de ellas encaja con los nombres de usuarios a los que han logrado acceder.

¿Qué puedes hacer para evitarlo? No tener una contraseña fácil de adivinar. Puedes aprender a hacer una clave segura con las claves que te dábamos en este artículo.

4. Registro de teclas

Los registradores de teclas son programas informáticos que guardan las pulsaciones que hace el usuario sobre su teclado. De esta forma, pueden copiar todo lo que este haya escrito en su ordenador. Gracias a ellos, los ciberdelincuentes podrían saber cuál es tu contraseña de banca online, tus claves de correo electrónico y de todo a lo que accedas a través del ordenador.

A diferencia de los anteriores ataques, el registro de teclas no se puede hacer de forma masiva, sino dirigida a una víctima en concreto. Además, también es más difícil de llevar a cabo.

Para defenderse de estos registradores de teclas, hay que aplicar soluciones de seguridad para detectar software malicioso. No sirve de nada construir una clave fuerte y segura, ya que quedará registrada igualmente en estos programas informáticos.

5. Fuerza bruta

Son algoritmos que prueban múltiples combinaciones de caracteres hasta dar con una que es una contraseña real.

Lo logran mediante herramientas de software que prueban numerosas combinaciones al mismo tiempo para encontrar alguna combinación válida mediante varias técnicas. La más llamativa es el ataque de diccionario, que consiste en usar cada palabra del diccionario para ver si alguna de ellas es una clave válida.

Es raro que una contraseña contenga únicamente palabras evidentes y no incluyan algún carácter aleatorio. Por eso, el riesgo de que se produzca un ataque de estas características es bajo. Si quieres evitar este tipo de incidentes, tan solo debes asegurarte de tener una contraseña lo suficientemente segura.

6. Descubrimiento local

Es una técnica empleada para atacar a una víctima conocida o a la que se tiene acceso.

Se trata de algo tan sencillo como dejar visible tu contraseña sin ningún tipo de cifrado, ya sea apuntada en un papel o en un documento en el ordenador, de forma que cualquiera cercano a ti podría consultarla.

El riesgo de sufrir este ataque es bajo, pero conviene ser precavidos y no dejar nuestros datos personales al alcance de cualquiera.

Teclado de ordenador rodeado por una cadena cerrada por un candado
Imagen de succo en Pixabay

7. Extorsión

Se trata, básicamente, de un chantaje. Esta técnica consiste en exigirte que entregues tus credenciales o, en caso contrario, sufrirás consecuencias desagradables. Puede ser mediante una amenaza a la seguridad física o mediante la revelación de información sensible, como imágenes o vídeos privados.

La posibilidad de que suceda este ataque es baja, pero no por ello debe ser descartable. No hay una regla clara para lidiar con este tipo de amenazas.

¿Cómo puedes saber si tienes una contraseña segura?

Lo más importante para evitar que te roben la contraseña es contar con una clave larga y fuerte. En este artículo, el consultor de Presencia Digital y Reputación Online Pablo F. Iglesias te daba algunos consejos para construir una contraseña robusta:

  • Que sea fácil de recordar. A priori, parece contraproducente, pero una contraseña es un sistema de identificación basado en el conocimiento, y por tanto, tiene que ser fácilmente recordable por nosotros.
  • Que sea larga. Mientras más larga, mejor, ya que más entropía incluyes en la ecuación. Por ejemplo, «mypassword» es una contraseña que llevaría 59 minutos a un sistema de fuerza bruta tradicional descubrirla. Sin embargo «mypasswordisgood» es igual de sencilla y llevaría a la máquina 35.000 años.
  • Mezcla de caracteres. A igual número de caracteres, una contraseña con solo minúsculas, y otra que incluya mayúsculas y números ha demostrado ser muchísimo más segura. En el caso anterior con «mypassword» teníamos una clave débil, que en una hora se podía descubrir con pura fuerza bruta. Si en vez de esa contraseña ponemos«MyP4ssword», aún siendo todavía bastante débil, forzaríamos a esa máquina a trabajar durante 8 meses para obtenerla.
  • Nada personal. Un error muy habitual es utilizar para las contraseñas fechas, nombres o datos personales nuestros y/o de nuestros familiares. Recuerda que aunque aquí estamos hablando de la robustez de una contraseña basándonos en su propia estructura y caracteres, si incluimos datos personales facilitamos que terceros que nos conozcan lo tengan infinitamente más fácil para robárnoslas.
  • El truco español. En nuestro idioma tenemos una particularidad extra que por sencilla que parezca nos permite crear una contraseña mucho más segura: nuestra querida «Ñ». Simplemente por incluir este carácter en nuestra clave, y puesto que la mayoría de estas herramientas de fuerza bruta genéricas están creadas para un mercado global, pasamos por ejemplo de esos 59 minutos que tiene «contrasena» a los 500 años que me nos daría un «contraseña».

¿Crees que ya tienes una clave a prueba de crackers? Puedes ponerla a prueba en HowSecureIsMyPassword, un servicio gratuito que permite calcular cuánto tiempo le llevaría a un cracker adivinar nuestra clave usando un programa de fuerza usando..

J.M. de la Torre
He estudiado Periodismo para aprender cada día algo nuevo y Humanidades para pensar por mí mismo. Después de ponerme tras los micrófonos de COPE, estoy dispuesto a pasar página en el periodismo del motor. Desde bien pequeñito, los coches han estado en el centro de mis intereses y (según cuentan mis padres) ya con 3 años dejaba alucinada a la gente porque sabía reconocer la marca y el modelo de los coches que veía. La curiosidad es algo fundamental para un periodista, y ¡cómo no iba a sentir curiosidad por los coches del futuro y las tecnologías que los harán posibles!

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.