Published
2 años agoon
Vivimos en la era del formulario donde el password es “la llave que todo lo abre y todo lo cierra”. Un mundo donde los algoritmos mandan y en el que cada día debemos lidiar contra un mar de contraseñas que no siempre somos capaces de recordar.
Según una encuesta de Avast un 56% de los españoles reconoce saber la contraseña de otra persona. El mismo informe revela que solo un 50% de los usuarios ha cambiado sus datos de acceso una vez finalizada una relación amorosa y un 21% reconoce haber sufrido al menos un intento de robo de sus credenciales de acceso.
La reutilización de contraseñas se ha convertido en la principal vulnerabilidad. El tesidio que representa utilizar un password distinto para cada plataforma lleva a muchos usuarios a tener una misma contraseña para todas las cuentas. Los ciberdelincuentes explotan esta oportunidad al probar cada password robado en otros sitios web (Facebook, Twitter, Gmail, etc) donde probablemente la víctima tenga un account.
Según el Estudio de Robustez de Contraseñas de Panda solo un 33% de los usuarios utiliza contraseñas distintas para cada plataforma. Además, un 70% de los encuestados olvida su contraseña una vez al mes y realiza un promedio de 2,4 intentos antes de escribir sus datos de acceso correctos.
La simplificación de credenciales de acceso es otro talón de aquiles digital. Una investigación de NordPass efectuada a más de 275 millones de cuentas concluye en un listado con las 200 contraseñas más utilizadas en todo el mundo.
“Password” fue utilizada por 4.929.113 ususarios;”123456” por 1.523.113 personas o “guest” por 376.417. En el largo ránking llama la atención lo poco precavidos que son muchos usuarios al utilizar términos como “abc”, “abcd”, “iloveyou” o “11111”, “pokemon” o “superman”.
Los delincuentes utilizan metodologías de extracción. Intentan acceder el e-mail con el nombre o fecha de nacimiento, usan términos coloquiales, combinaciones de números y parte de los 100 passwords más utilizados por los usuarios a nivel global.
Otra de las técnicas más utilizadas son los “ataques de emanación acústica”. Mediante el sonido mecánico que generan las teclas es posible decodificar que texto se está escribiendo y llegar de esta manera a conocer el password.
Tampoco faltan keyloggers, se trata de programas que se instalan ilícitamente a través del malware. Obtienen una copia de todo aquello que pulsamos en el teclado y detectan cambios de ritmo y velocidad. Cuando tecleamos un password lo hacemos más lentamente, el programa detecta esa alteración en el ritmo de escritura y llega a la conclusión de que se trata de una contraseña.
¿Qué finalidad tiene el robo de contraseñas?
Entrar en tus cuentas de e-mail, obtener dinero mediante el acceso a la banca online, ciber extorsionarte, utilizar tu cuenta como antena para el Spam, cometer actos ilícitos o suplantar la identidad.
¿Qué son los ataques de fuerza bruta?
Se trata de programas que acceden a sitios web, generan miles de passwords buscando “la llave” que les de acceso a tu correo. Son conocidos como ataques de diccionario y su uso empezó en los albores de la red.
Otros programas más sofisticados entran en tus publicaciones, analizan el tipo de lenguaje que utilizas y deducen los passwords más probables. (Viajes, mascotas, nombres de seres queridos, gustos y preferencias).
¿Qué son los brokers de acceso inicial?
Se trata de grupos de cibercriminales. Se hacen con grandes paquetes con miles de passwords pertenecientes a usuarios de todo el mundo. Estos actores de amenazas venden la información en foros clandestinos. Los compradores los utilizarán para actividades ilícitas, minería de criptomonedas, publicación de comentarios falsos en la red, etc…
¿Qué son los ataques de pulverización de contraseñas?
Los formularios de correo suelen tener un máximo de 3 a 5 intentos para loguear. Los delincuentes conocen estos límites e intentan acceder en periodos diferenciados de 24 horas multiplicando sus probabilidades de acceder con éxito.
En otros casos se provoca el bloqueo de la cuenta al rebasar el límite de intentos. Cuando el usuario legítimo llega encuentra su correo bloqueado y decide cambiar a un password más fácil de recordar.
Robo mediante técnicas phishing e ingeniería social
Algunos delincuentes pueden sustraer tu password mediante técnicas tan creativas como el envío de e-mails publicitarios, supuestas llamadas telefónicas de tu entidad bancaria, llamadas de falsos servicios técnicos en los que se pide tu colaboración, etc…
Decálogo de consejos
– Evita elegir tu fecha de nacimiento ejemplo: 10111985 o cadenas muy simplificadas “11111”, “123456789”, nombres propios, de familiares, tu ciudad, etc…
– Evita conectarte a fuentes Wifi en lugares públicos (hoteles, parques públicos, cafeterías) algunos delincuentes crean falsas fuentes WiFi para confundirte, captar tus datos y lograr que te conectes al lugar erróneo.
– Guarda tu contraseña anotándola con lápiz y papel (evita guardarla en un Word, Excel o cualquier tipo de soporte electrónico).
– Jamás envíes tu password a otra persona mediante WhatsApp o correos electrónicos.
– Evita la reutilización de contraseñas y crea una distinta para cada cuenta.
– Nunca utilices términos excesivamente cortos.
– Puedes utilizar un generador de contraseñas, son de uso gratuito y permiten obtener cadenas clave fiables
– Cambia tus claves con cierta frecuencia (al menos cada 3 meses, idealmente cada 15 días).
– Utiliza la autenticación en dos pasos (password + envío de SMS a tu móvil).
– Revisa tu historial de actividad para comprobar si tus claves han sido cambiadas.-
– Robar una contraseña es un delito además de una violación de la privacidad. Denuncia ante las autoridades y reporta el incidente a tu proveedor de correo electrónico.