Ahora que vivimos en plena era de la información, el principal objetivo de los son las credenciales de acceso de una persona a las distintas cuentas que posee en el ámbito digital y en Internet, variando entre servicios como las redes sociales y el correo electrónico hasta la banca digital o plataformas financieras que manipulan dinero.

Muchas veces, las contraseñas conforman la única barrera entre un ciberdelincuente y la información privada de una persona, por lo que lograr hacerse con estas combinaciones de letras, números y símbolos es el enfoque de los ataques de estos malhechores. En la actualidad, existen varias modalidades para hurtar estos datos y cada año que pasa estas se van sofisticando más. Para evitar caer en las trampas de estos individuos, debemos conocer cuáles son estos modos de robo, sus características y lo que podemos hacer para combatirlas.

LEE TAMBIÉN: Ciberseguridad en 2022: ¿Qué amenazas y desafíos nos esperan en el mundo digital el próximo año?

Sofisticación de la ciberdelincuencia

En una , Jorge Zeballos, gerente general de ESET Perú, comentó que el uso de software malicioso y otras técnicas para apoderarse de los datos de las personas han evolucionado y se han convertido en servicios a disposición de malhechores que pretenden atacar a los usuarios con el objetivo de enriquecerse. Es así como ahora tenemos plataformas donde los programas y las modalidades son vendidas al mejor postor.

PUEDES VER: Ciberdelincuencia en 2022: ¿cómo han evolucionado las amenazas digitales y cómo podemos protegernos?

Cuando un ciberdelincuente logra vulnerar nuestras cuentas, este puede robar nuestra información personal y venderla a otros individuos que se dedican al crimen. Además, los accesos directos a los perfiles -usuarios y contraseñas- son publicados en foros de la Dark Web, parte de la Deep Web que está oculta en navegadores convencionales y a la que solo se puede entrar con uno especial.

Las cuentas vendidas en estas páginas son usadas por personas para aprovechar sus beneficios dependiendo de la plataforma en la que estén creadas. Por ejemplo, usuarios de Netflix o de alguna aerolínea podrían usarse para tener acceso gratuito a streaming de video o a las millas acumuladas aéreas acumuladas. Por supuesto, si el vulnerado es de aquellos que usan la misma contraseña o una muy similar para sus accesos, los hampones digitales pueden aprovechar esta debilidad para atacar a sus otras cuentas.

PUEDES VER: ¿Qué peligros acechan a mis niños en las redes sociales y qué puedo hacer como padre para protegerlos?

Lamentablemente, varios métodos comunes usados por ciberdelincuentes se han sofisticado en los últimos años a raíz de los avances tecnológicos del medio y a la aplicación de estas mejoras a las formas para delinquir. El uso de nuevas vertientes digitales y tecnológicas como el Deepfake -montaje ultrarrealista de imágenes, audios o videos usando Inteligencia Artificial- se han convertido en tendencias para modalidades cada vez más complejas.

“Este tipo de engaños evolucionan y estamos viendo casos donde se utiliza la inteligencia artificial, por ejemplo, para crear un vídeo de una persona que nos solicite los datos, o imitar la voz de una persona conocida solicitándonos información. Entonces, hay que estar muy seguros de dónde vamos a ingresar nuestros datos, verificar que sea el sitio legítimo, no compartir la contraseña con nadie, ni siquiera con personas conocidas”, mencionó Cecilia Pastorino, security researcher de ESET Latinoamérica, en una entrevista concedida a El Comercio.

Una contraseña segura debería constar de entre 12 a 20 caracteres, compuesto de letras minúsculas, letras mayúsculas, números y símbolos. (Foto: Eset)
Una contraseña segura debería constar de entre 12 a 20 caracteres, compuesto de letras minúsculas, letras mayúsculas, números y símbolos. (Foto: Eset)

Modalidades de robo de contraseñas más usadas

Zeballos indicó que el 23% de los ataques cibernéticos producidos por Ransomware en toda Latinoamérica se efectúan en Perú. Ante este descomunal volumen de incidencias, es importante saber reconocer a lo que nos enfrentamos para evitar ser víctimas de la ciberdelincuencia. A continuación, te indicamos las cinco modalidades más utilizadas para robar contraseñas:

1. Phishing e ingeniería social

¿Alguna vez te ha aparecido un correo electrónico o un mensaje de texto de una supuesta entidad legítima como un banco o una red social solicitándote que ingreses a un enlace para colocar tus datos? Si es así, es 99% probable de que hayas estado a punto de ser una víctima de phishing.

El phishing es un tipo de ingeniería social, un conjunto de recursos usados por los ciberdelincuentes para convencer al usuario de hacer algo que no debería como entregar sus credenciales de acceso voluntariamente. Para ello, estos criminales se hacen pasar por entidades legítimas o personas cercanas al entorno del afectado para que descargue un archivo malicioso o ingrese a un enlace que simula ser auténtico para robar la contraseña en cuestión. Con el pasar de los años, este tipo de estafa virtual ha evolucionado y ahora tiene otras variantes como el vishing, llamadas de voz de malhechores que simulan ser soporte técnico para continuar perjudicando a los usuarios.

El phishing es un tipo de ingeniería social, un conjunto de recursos usados por los ciberdelincuentes para convencer al usuario de hacer algo que no debería como entregar sus credenciales de acceso voluntariamente. (Foto: Pixabay)
El phishing es un tipo de ingeniería social, un conjunto de recursos usados por los ciberdelincuentes para convencer al usuario de hacer algo que no debería como entregar sus credenciales de acceso voluntariamente. (Foto: Pixabay)

2. Malware

¿Sabías que existen programas y aplicaciones que, una vez instaladas en tu equipo, pueden detectar las pulsaciones de tu teclado o tomar capturas de pantalla para registrar todo lo que has escrito y que este reporte llegue a manos de un ciberdelincuente? Estas son conocidos como Malware y son un auténtico dolor de cabeza para los usuarios.

Este software malicioso se descarga al equipo, ya sea una computadora o un celular, mediante publicidad de dudosa procedencia (malvertising), mediante la visita a un sitio web previamente comprometido e incluso a través de una app de apariencia legítima encontradas en tiendas de aplicaciones de terceros. Entre estos, encontramos a variantes que roban información del dispositivo escaneándolo por completo o los keyloggers, los cuales cumplen la función descrita anteriormente.

Malware como los Keyloggers pueden ser descargados al equipo con tan solo un malvertising o un enlace de dudosa procedencia. (Foto: Kaspersky)
Malware como los Keyloggers pueden ser descargados al equipo con tan solo un malvertising o un enlace de dudosa procedencia. (Foto: Kaspersky)

3. Ataques de fuerza bruta

Es bastante probable que más de uno haya intentado ingresar a una plataforma usando un usuario o una contraseña que recordaban vagamente para finalmente terminar siendo rechazada por no ser los datos exactos. Ahora, imagínate aplicar este proceso unas miles de millones de veces probando distintas combinaciones hasta dar con la correcta.

En esto último consisten los ataques de fuerza bruta. Dado que los internautas ahora deben recordar más credenciales de acceso para sus distintas cuentas, muchos optan por usar las mismas para todas, haciendo más fácil la tarea de los ciberdelincuentes. Algunos tipos de esta modalidad incluyen el credential stuffing, el cual consiste en llenar un software automatizado con volúmenes de credenciales previamente comprometidas y usarlo en distintas páginas hasta dar con coincidencias. Otro es el password spraying, en el cual los criminales usan un software automatizado para probar una lista de contraseñas de uso común contra una cuenta.

Las personas y empresas tienen un año bastante complicado por delante para protegerse de ciberdelincuentes. (Foto: Jefferson Santos/Unsplash)
Las personas y empresas tienen un año bastante complicado por delante para protegerse de ciberdelincuentes. (Foto: Jefferson Santos/Unsplash)

4. Deducción

En alguna ocasión, descubrir la contraseña de la computadora o del celular de un familiar o amigo que no está muy al tanto del mundo de la tecnología debe haber sido bastante sencillo: los infalibles “123456″ o “123456789″ siguen siendo las credenciales de acceso más usadas en todo el mundo y esto, pese a resultar un tanto cómico, es sumamente grave.

Tal como indica el nombre, los cibercriminales pueden llegar a adivinar las contraseñas de sus objetivos sin necesidad de usar un software especializado partiendo de conjeturas simples como el cumpleaños del usuario o de sus familiares o los antes mencionados. Lo realmente grave es cuando una persona decide emplear estos códigos tan comunes y fáciles de deducir en todas sus cuentas, facilitando el acceso de los ciberdelincuente a toda su información.

El usar contraseñas tan predecibles y sencillas como "123456" debería ser parte del pasado. (Foto: Difusión)
El usar contraseñas tan predecibles y sencillas como "123456" debería ser parte del pasado. (Foto: Difusión)

5. Shoulder surfing (mirar por encima del hombro)

Uno de los métodos más convencionales para dar con las credenciales de un usuario consistía en tratar de espiarlo mientras este las digitaba en su computadora o celular y, si bien sigue siendo usada, una versión tecnológica mucho más avanzada e intimidante ha surgido.

El ataque “man in the middle” consiste en configurar una red pública WiFi para que el ciberdelincuente puede espiar todos los movimientos de los equipos conectados, incluyendo el ingreso de contraseñas.

Conoce cómo saber quién te está robando la señal de WIFI (Foto: M2M Systems)
Conoce cómo saber quién te está robando la señal de WIFI (Foto: M2M Systems)

Consejos para protegernos

Para protegernos de las constantes amenazas de los ciberdelincuentes, expertos en seguridad tecnológica recomiendan tomar todas las medidas preventivas necesarias para mitigar los daños que pueden producir ataques de este tipo. La principal es, por supuesto, elaborar una contraseña con un alto nivel de seguridad. Cecilia Pastorino recomienda que esta tenga entre 12 y 20 caracteres como mínimo, por supuesto, dependiendo del nivel de importancia que tiene la cuenta a la que se le pondrá: si es una que maneja la cuenta bancaria o tarjetas de crédito del usuario, debería tener un grado mayor de dificultad.

Otro aliado indispensable es la verificación de dos pasos, el cual solicita una confirmación por parte del dueño de la cuenta a la que se ha ingresado o en la que se haya detectado actividad sospechosa a través de algún acceso enlazado como el correo electrónico.

“La mejor opción antes de ser víctima del robo es habilitar la autenticación de 2 pasos o el doble factor de autenticación, lo qué significa agregarles un factor extra a las contraseñas. Por ejemplo, un código de único uso, que muchas veces llega por SMS o se genera a través de una aplicación, un token electrónico, el uso de un certificado digital o el uso de una confirmación biométrica”, indicó Pastorino.

El uso de un gestor de contraseñas también puede sacarnos de más de un aprieto dado que, si somos de las personas que poseen una gran cantidad de claves para distintas cuentas, esta herramienta puede almacenarlas y administrarlas todas con fuertes filtros de seguridad. Algunas alternativas en celulares son Dashlane, Keeper o 1Password.

Cerciorarnos de que los sitios a los que entremos para ingresar información tan importante como las credenciales de nuestras cuentas bancarias también es trascendental. Siempre cerciórate de que la página inicie con “https”, el cual certifica que la página es segura y pertenece a la entidad correspondiente. Lo mismo se debe hacer con las apps, estas solo deben ser descargadas de tiendas oficiales y no de terceros o mediante un .apk del que no estemos totalmente convencidos.

Por supuesto, el invertir en un buen software de seguridad siempre vale la pena ya que nos ofrece más filtros que los ciberdelincuentes tendrán que sortear para dar con nuestra información. Asegurarse que tanto el sistema operativo de la PC o smartphone como los programas que usamos estén en su versión más reciente, ya que esto soluciona vulnerabilidades que los malhechores pueden aprovechar para atacar.

Finalmente, es importante que nunca ingresemos a nuestras sesiones en redes sociales, plataformas financieras o cualquier sitio web en Internet si estamos conectados a una red WiFi pública. El shoulder surfing está siendo más aplicado por los ciberdelincuentes en varias partes del mundo y algo que puede parecer tan inofensivo como conectarse a Internet en una plaza o un centro comercial puede traer sus consecuencias.

Generar una contraseña con un mayor nivel de seguridad puede ser decisivo en lo que a ser víctima de un robo informático se refiere. (Foto: Difusión)
Generar una contraseña con un mayor nivel de seguridad puede ser decisivo en lo que a ser víctima de un robo informático se refiere. (Foto: Difusión)

Dato

Si eres víctima del robo de tu contraseña, recuerda que puedes denunciar este hecho con la Policía. La mayoría de los países de Latinoamérica, incluyendo Perú, tienen el robo de identidad y también el acceso indebido a un sistema informático como delitos así que la denuncia puede proceder. El contribuir con las denuncias de estos atentados informáticos permitirá que se le brinde la debida atención por parte de las autoridades.

“Hay casos donde es capaz la policía de rastrear al atacante dependiendo del día en que se ha logeado la cuenta y las transacciones o los movimientos que hayan hecho. Sentar la denuncia nos va a servir para luego presentarla a la entidad donde nos hayan robado las contraseñas, especialmente aquellas que son un home banking o plataformas de pago, con la finalidad de que nos devuelvan la cuenta y poder anular cualquier otra acción que haya hecho el cibercriminal”, dijo Pastorino.

Invertir en un software de seguridad para la PC o el celular es una buena idea ahora que la criminalidad cibernética está en voga. (Foto: Difusión)
Invertir en un software de seguridad para la PC o el celular es una buena idea ahora que la criminalidad cibernética está en voga. (Foto: Difusión)

VIDEO RECOMENDADO

¿Cómo puedo proteger el equipo tecnológico de un niño contra contenidos dañinos y ciberdelincuentes? - LPD
Con las festividades de fin de año próximas a ocurrir, varios padres están comprando smartphones, tablets o PC a sus hijos. En este video, te brindamos una serie de recomendaciones a tomar en cuenta para blindar sus equipos tecnológicos de posibles problemas.

TE PUEDE INTERESAR:

Conforme a los criterios de

Trust Project
Saber más