Las cuatro tácticas comunes que usan los ciberdelincuentes para descifrar contraseñas: ¿cómo protegernos?

Existen distintas formas en que los ciberdelincuentes pueden descifrar las contraseñas, ya que se valen de una variedad de técnicas para lograr su cometido. Incluso, pueden comprar credenciales en la dark web o engañar al usuario para que revele sus claves en un ataque de phishing.

Estudios coinciden en que una contraseña de cuatro o cinco caracteres que incluya letras mayúsculas, minúsculas, números y símbolos puede ser hackeada de forma instantánea, mientras que aquella con hasta 8 caracteres puede descubrirse hasta en ocho horas. Es decir, entre más caracteres se utilicen, la seguridad mejora exponencialmente. Lo ideal sería tener una clave con un mínimo de 12 caracteres, pues los ciberdelincuentes tardarían 2.000 años en averiguarla.

MIRA: Cómo cambiar el PIN de tu tarjeta SIM para evitar el robo de tus datos

De acuerdo con Oswaldo Palacios, senior account executive de Guardicore, las contraseñas siempre han sido un eslabón frágil en la cadena de seguridad, y los ciberdelincuentes no dudarán en explotar esa debilidad. Muchos usuarios que navegan por la red utilizan contraseñas que son poco robustas y fáciles de adivinar para los atacantes.

El 2021 Data Breach Investigations Report de Verizon reveló que el uso de tácticas de ingeniería social incrementó de forma alarmante, junto al robo de credenciales (casi en 61%). Las credenciales de configuración predeterminadas, robadas o vulnerables son ampliamente explotadas en la web, sobre todo en el lado de los usuarios y clientes, las cuales dieron paso a masivas brechas de seguridad en múltiples aplicaciones web, así como en servicios de la nube.

MIRA: Microsoft identifica varios ciberataques a su sistema debido a dos vulnerabilidades

A fin de evitar que los usuarios sean hackeados por la utilización de contraseñas débiles, Palacios resalta la importancia de conocer las cuatro tácticas que los hackers utilizan para descifrar las contraseñas.

• Ingeniería social. Los ciberdelincuentes se hacen pasar por entidades legítimas como amigos, familiares, instituciones públicas y empresas conocidas. Los correos electrónicos o mensajes de texto recibidos parecerán genuinos, pero contendrán un enlace o archivo adjunto malicioso que, si se hace clic, descargará malware o lo llevará a una página que le pedirá que ingrese datos personales. A medida que las personas se vuelven más cautelosas con los correos electrónicos, algunos hackers han comenzado a usar técnicas de phishing en mensajes de texto.
• Ataques de fuerza bruta. Es un método de prueba y error utilizado para decodificar datos confidenciales. El atacante suele utilizar una computadora de alto rendimiento, que realiza una gran cantidad de cálculos por segundo y, en consecuencia, puede probar un gran número de combinaciones en el menor tiempo posible. Para ello llevan a cabo múltiples intentos de forma indiscriminada, sin embargo su éxito dependerá de la longitud y complejidad de la contraseña.

MIRA: Nueva forma de ciberataque podría destruir tus archivos más importantes

• Ataques de diccionario. Es un método empleado para romper la seguridad de los sistemas basados en contraseñas en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta.
• Ataque keylogger. Este procedimiento es similar al phishing o suplantación de identidad y, por regla general, comienzan con una infección de malware. La víctima descarga un malware en su computadora al hacer clic en un enlace o archivo adjunto de un email. Una vez instalado el keylogger, este programa informático registra toda la actividad en Internet y envía esta información (credenciales incluidas) a los servidores de los ciberdelincuentes.

MIRA: Hackers roban información confidencial del Ejército de México

¿Cómo podemos proteger nuestras contraseñas de los ciberdelincuentes?

Palacios recomendó una combinación de letras mayúsculas y minúsculas, números y símbolos u otros caracteres especiales, sin repetir el mismo carácter tres o más veces. Preferentemente debe ser una contraseña larga, ya que las combinaciones posibles crecen exponencialmente.

Además, agregó que no es aconsejable usar la misma contraseña para diferentes servicios, ya que si un hacker consiguiera descifrar una, pondría en riesgo el resto. También se deberá intentar cambiar las contraseñas una vez cada seis meses. Adicional a lo anterior, en lugar de una sola contraseña, se sugiere usar una frase, también conocida como frase de contraseña. Esto implica combinar varias palabras en una cadena larga de al menos 15 caracteres.

MIRA: ¿Cómo puedo mantener mi privacidad en las redes sociales?

Una buena seguridad de contraseña implica más que solo crear claves difíciles de adivinar. Por ello, se aconseja asegurarse de los siguiente:

• Autenticación de dos factores: no solo necesitamos una contraseña, sino que hay un paso más que nos protege en caso de que alguien nos haya intentado hackear. Puede variar pero generalmente nos permitirá tener una contraseña y después debemos confirmar con un código de seis dígitos que recibimos a través de SMS o de una aplicación específica y que debemos introducir en la web o aplicación para poder acceder a nuestra cuenta.
• Acceder a sitios que comiencen con ‘https’: asegúrese de que cualquier sitio web donde ingrese las credenciales comience con “https:” en lugar de “http:”, y si un sitio es seguro, se mostrará un pequeño candado en la barra de direcciones.
• Evitar WiFi públicos: si alguien con malas intenciones se conecta a esa red, podrá aprovecharse de otros usuarios rápidamente. Cuando esté en un WiFi público, utilice una red privada virtual que establezca un “túnel” seguro y encriptado para sus transferencias de datos y haga que sea casi imposible de interceptar.

“Los profesionales de la seguridad han advertido durante mucho tiempo los riesgos de la reutilización de contraseñas, sin embargo la mayoría de las personas lo llevan a cabo. Por ello, la mejor manera de generar contraseñas seguras y únicas sin tener que recordarlas es usar un administrador de contraseñas, el cual cifrará y almacenará las credenciales de inicio de sesión”, finalizó Palacios.