Estos son algunos de los trucos más comunes utilizados para robar contraseñas y explica cómo evitarlos.
Las contraseñas funcionan como un candado de seguridad que te ayudará a proteger tus cuentas con datos personales y financieros. No obstante, los ciberdelincuentes siempre estarán buscando la forma de robar o descifrar estos inicios de sesión.
Debido a que una persona en promedio tiene 100 credenciales de inicio de sesión para recordar, es común que se elija repetir o acortar la seguridad en las contraseñas y, como resultado, la seguridad sufra las consecuencias.
Es por este motivo que ESET advierte sobre las 5 formas más comunes en que los cibercriminales roban contraseñas, para estar mejor preparado para minimizar los riesgos de convertirse en víctima y proteger así las cuentas en línea.
Las contraseñas son las llaves virtuales del mundo digital, ya que proporcionan acceso a servicios de banca en línea, correo electrónico y redes sociales, cuentas como Netflix o Uber, así como a todos los datos alojados en el almacenamiento en la nube. Al obtener los inicios de sesión, un cibercriminal podría:
- Robar información de identidad personal y venderla a otros delincuentes en foros.
- Vender el acceso a la cuenta en sí. Los sitios criminales de la dark web comercializan rápidamente estos inicios de sesión. Los compradores podrían utilizar el acceso para obtener desde traslados en taxi gratuitos y streaming de video, hasta viajes con descuento desde cuentas con millas aéreas comprometidas.
- Utilizar las contraseñas para desbloquear otras cuentas en las que use la misma clave.
Las 5 técnicas más utilizadas para robar contraseñas:
1. Phishing e ingeniería social: En este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas, etc.
El correo electrónico o texto que se reciba se verá auténtico, pero incluirá un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará malware o llevará a una página que solicitará que ingreses datos personales.
Afortunadamente, hay muchas maneras de detectar las señales de advertencia de un ataque de phishing. Los estafadores incluso utilizan llamadas telefónicas para obtener directamente inicios de sesión y otra información personal de sus víctimas, a menudo fingiendo ser ingenieros de soporte técnico. Esto se conoce como vishing (phishing basado en voz).
2. Malware: Los usuarios de internet pueden llegar a ser victimas de un malware al hacer clic en un anuncio malicioso o de publicidad maliciosa, incluso al visitar un sitio web previamente comprometido (drive-by-download).
Como ha demostrado muchas veces el investigador de ESET, Lukas Stefanko, el malware podría incluso ocultarse en una aplicación móvil de apariencia legítima, que a menudo se encuentra en tiendas de aplicaciones de terceros.
Existen múltiples variedades de malware que roban información, pero algunos de los más comunes están diseñados para registrar las pulsaciones de teclas o tomar capturas de pantalla de un dispositivo y enviarlas a los atacantes. Entre ellos, los keyloggers.
3. Ataques de fuerza bruta: El uso de contraseñas fáciles de recordar en diferentes sitios y servicios puede ser un gran error al navegar por internet. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas.
Uno de los tipos de fuerza bruta más comunes es el credential stuffing. En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado. Luego, la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia. De esta manera, los cibercriminales podrían desbloquear varias cuentas con una sola contraseña.
4. Por deducción: Aunque los cibercriminales cuentan con herramientas automatizadas para realizar los ataques de fuerza bruta y descubrir contraseñas, a veces ni siquiera las necesitan: incluso las conjeturas simples, a diferencia del enfoque más sistemático utilizado en los ataques de fuerza bruta, pueden servir para hacer el trabajo.
La contraseña más común de 2021 fue “123456”, seguida de “123456789”. Y si se recicla la misma contraseña o se usa un derivado cercano para acceder a varias cuentas, entonces se le facilita la tarea a los atacantes, sumando un riesgo adicional de robo de identidad y fraude.
5. Mirar por encima del hombro (Shoulder surfing): Vale la pena recordar algunas de las técnicas para escuchar de manera oculta también representan un riesgo. Esta no es la única razón por la que las miradas indiscretas por encima del hombro de los usuarios siguen siendo un riesgo.
Una versión más de alta tecnología, conocida como un ataque “man-in-the-middle” (hombre en el medio) involucra escuchas de Wi-Fi, y puede permitir a los criminales informáticos dentro de conexiones Wi-Fi públicas espiar la contraseña mientras se la ingresa si está conectado a la misma red.
Hay muchas maneras de bloquear estas técnicas, ya sea agregando una segunda forma de autenticación, administrando las contraseñas de manera más efectiva o tomando medidas para detener el robo en primer lugar. ESET acerca los siguientes consejos para proteger las credenciales de inicio de sesión.
Te puede interesar: ¿Cómo proteger mis redes sociales de los hackers?