El concepto de contraseña ha existido durante siglos y las contraseñas se introdujeron en la informática mucho antes de lo que la mayoría podemos recordar. Una de las razones por las que la popularidad de las contraseñas es tan duradera tiene que ver con que las personas saben instintivamente cómo funcionan. Pero también hay un problema: Las contraseñas son el talón de Aquiles en la vida digital de muchas personas, especialmente porque vivimos en una época en la que una persona promedio tiene 100 credenciales de inicio de sesión para recordar, y este número no ha hecho otra cosa que ir en aumento en los últimos años. Por lo tanto, no es de extrañar que elijan acortar caminos y, como resultado, su seguridad sufra las consecuencias.
Dado que la contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y los datos personales y financieros, los delincuentes están más que ansiosos por robar o descifrar estos inicios de sesión. Es por esta razón que deberíamos dedicar, mínimamente, la misma cantidad de esfuerzo en proteger nuestras cuentas en línea.
¿Qué puede hacer un hacker con mi contraseña?
Las contraseñas son las llaves virtuales de tu mundo digital, ya que proporcionan acceso a servicios de banca en línea, correo electrónico y redes sociales, cuentas como Netflix o Uber, así como a todos los datos alojados en el almacenamiento en la nube. Al obtener tus inicios de sesión, un cibercriminal podría:
- Robar tu información de identidad personal y venderla a otros delincuentes en foros
- Vender el acceso a la cuenta en sí. Los sitios criminales de la dark web comercializan rápidamente estos inicios de sesión. Los compradores sin escrúpulos podrían utilizar el acceso para obtener todo, desde viajes en taxi gratuitos y streaming de video hasta viajes con descuento desde cuentas con millas aéreas comprometidas.
- Utilizar las contraseñas para desbloquear otras cuentas en las que use la misma clave
¿Cómo roban las contraseñas los cibercriminales?
Conoce cuáles son las técnicas que más utilizan los ciberdelincuentes para robar contraseñas para estar mejor preparado para minimizar los riesgos de convertirte en víctima:
Phishing e ingeniería social
Los seres humanos son criaturas falibles y sugestionables. Además, somos propensos a tomar decisiones equivocadas cuando nos apresuramos. Los ciberdelincuentes explotan estas debilidades a través de la ingeniería social, un truco psicológico diseñado para convencernos de hacer algo que no deberíamos. El phishing es la forma de ingeniería social más conocida. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas, etc. El correo electrónico o texto que reciba se verá auténtico, pero incluirá un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará malware o te llevará a una página que solicitará que ingreses datos personales.
Afortunadamente, hay muchas maneras de detectar las señales de advertencia de un ataque de phishing, como explicamos aquí. Los estafadores incluso están utilizando llamadas telefónicas para obtener directamente inicios de sesión y otra información personal de sus víctimas, a menudo fingiendo ser ingenieros de soporte técnico. Esto se conoce como vishing (phishing basado en voz).
Malware
Otra forma popular de obtener contraseñas es a través de malware. Los correos electrónicos de phishing son el vector principal para este tipo de ataque, aunque también puede ser víctima de malware al hacer clic en un anuncio malicio (publicidad maliciosa o malvertising) o incluso al visitar un sitio web previamente comprometido (drive-by-download). Como ha demostrado muchas veces el investigador de ESET, Lukas Stefanko, el malware podría incluso ocultarse en una aplicación móvil de apariencia legítima, que a menudo se encuentra en tiendas de aplicaciones de terceros.
Existen múltiples variedades de malware que roban información, pero algunos de los más comunes están diseñados para registrar sus pulsaciones de teclas o tomar capturas de pantalla de su dispositivo y enviarlas a los atacantes. Entre ellos, los keyloggers.
Ataques de fuerza bruta
El número promedio de contraseñas que una persona tiene que administrar aumentó en un estimado del 25% interanual en 2020. Esto trae como consecuencia que la mayoría de las personas se incline por utilizar contraseñas fáciles de recordar (y de adivinar), y que cometa el error de utilizar las mismas contraseñas para acceder a múltiples sitios y servicios. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas. Uno de los tipos de fuerza bruta más comunes es el credential stuffing.
En este caso, los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado. Luego, la herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia. De esta manera, los cibercriminales podrían desbloquear varias de tus cuentas con una sola contraseña.
El año pasado hubo aproximadamente 193 billones de intentos de este tipo en todo el mundo, según una estimación. Recientemente, el gobierno canadiense ha sido una víctima notable de este ataque.
Otra técnica de fuerza bruta es el password spraying. En este caso, los criminales utilizan software automatizado para probar una lista de contraseñas de uso común contra tu cuenta.
Lectura recomendada: La mayoría de los ataques de fuerza bruta buscan descifrar contraseñas cortas
Por deducción
Aunque los cibercriminales cuentan con herramientas automatizadas para realizar los ataques de fuerza bruta y descubrir contraseñas, a veces ni siquiera las necesitan: incluso las conjeturas simples, a diferencia del enfoque más sistemático utilizado en los ataques de fuerza bruta, pueden servir para hacer el trabajo. La contraseña más común de 2021 fue “123456”, seguida de “123456789”.
Y si eres como la mayoría de las personas y reciclas la misma contraseña o usas un derivado cercano de ella para acceder a varias cuentas, entonces estás haciendo las cosas aún más fáciles para los atacantes, poniéndote en riesgo adicional de robo de identidad y fraude.
Mirar por encima del hombro (Shoulder surfing)
Todas las opciones para comprometer contraseñas que hemos explorado hasta ahora han sido virtuales. No obstante, vale la pena recordar que algunas técnicas para escuchar de manera oculta probadas-y-comprobadas también representan un riesgo. Esta no es la única razón por la que las miradas indiscretas por encima del hombro de los usuarios sigue siendo un riesgo, y el especialista de ESET Jake Moore recientemente realizó un experimento y demostró lo fácil que es comprometer una cuenta de Snapchat de alguien utilizando esta simple técnica de mirar por encima del hombro de alguien.
Una versión más de alta tecnología, conocida como un ataque “man-in-the-middle” (hombre en el medio) que involucra escuchas de Wi-Fi, puede permitir a los criminales informáticos dentro de conexiones Wi-Fi públicas espiar tu contraseña mientras la ingresas en caso de estar conectado a la misma red. Ambas técnicas han existido durante años, pero eso no significa que hayan dejado de ser una amenaza.
Como proteger tus credenciales de inicio de sesión
Hay muchas cosas que puede hacer para bloquear estas técnicas, ya sea agregando una segunda forma de autenticación, administrando sus contraseñas de manera más efectiva o tomando medidas para detener el robo en primer lugar. Considera las siguientes opciones:
- Utiliza solo contraseñas o frases de contraseña, seguras y únicas en todas tus cuentas en línea, especialmente en cuentas bancarias, de correo electrónico y de redes sociales
- Evita reutilizar tus credenciales de inicio de sesión en varias cuentas y cometer otro de los errores comunes de contraseña
- Activa la autenticación de doble factor (2FA) en todas tus cuentas
- Utiliza un gestor de contraseñas, que almacenará contraseñas seguras y únicas para cada sitio y cuenta, haciendo que los inicios de sesión sean simples y seguros
- Cambia tu contraseña inmediatamente si un proveedor te advierte que sus datos pueden haber sido comprometidos
- Usa solo sitios HTTPS para iniciar sesión
- No hagas clic en enlaces ni abras archivos adjuntos en correos electrónicos no solicitados
- Solo descarga aplicaciones de tiendas de aplicaciones oficiales
- Invierte en un software de seguridad de un proveedor de buena reputación para todos tus dispositivos
- Asegúrate de que todos los sistemas operativos y aplicaciones están actualizados en su última versión
- Cuidado con las miradas indiscretas por encima de tu hombro en espacios públicos
- Nunca inicies sesión en una cuenta si estás conectado a una red Wi-Fi pública; y si debes usar una red de este tipo, utiliza una VPN
La extinción de la contraseña ha sido predicha durante más de una década. Sin embargo, las alternativas a menudo tienen dificultades para reemplazar la contraseña en sí, lo cual implica que los usuarios deberán tomar el asunto en sus propias manos. Mantente alerta y cuida la seguridad de tus credenciales de inicio de sesión.