Guardicore da a conocer las cuatro tácticas que más utilizan los piratas informáticos para descifrar contraseñas empresariales y personales, así como recomendaciones para fortalecerlas
En el marco del mes de la ciberseguridad, Guardicore (ahora parte de Akamai) advierte a las organizaciones y a los usuarios que las contraseñas débiles son el blanco principal de los ciberataques. Existen distintas formas en que los piratas informáticos pueden descifrar las contraseñas, ya que se valen de una variedad de técnicas para lograr su cometido, incluso pueden comprar credenciales en la web oscura o engañar al usuario para que revele una contraseña en un ataque de phishing.
Estudios coinciden en señalar que una contraseña de 4 ó 5 caracteres que incluya letras mayúsculas, minúsculas, números y símbolos puede ser hackeada de forma instantánea, mientras que aquella con hasta 8 caracteres puede descubrirse hasta en ocho horas. Entre más caracteres se utilicen la seguridad mejora exponencialmente, lo ideal será tener una con un mínimo de 12 caracteres; los ciberdelincuentes tardarían nada menos que 2,000 años en averiguarla.
A decir de Oswaldo Palacios, Senior Account Executive para Guardicore (ahora parte de Akamai), las contraseñas siempre han sido un eslabón frágil en la cadena de seguridad, y los ciberdelincuentes no dudarán en explotar esa debilidad. Muchos usuarios que navegan por la red utilizan contraseñas que son poco robustas y fáciles de adivinar para los atacantes. Según el estudio anual 2021 de NordPass, los países más afectados en Latinoamérica por filtraciones de datos en función del número de contraseñas filtradas per cápita fueron Brasil (125.012.162), México (59.058.882), Colombia (29.071.696) y Chile (18.167.013).
Por su parte, el 2021 Data Breach Investigations Report de Verizon reveló que el uso de tácticas de ingeniería social incrementó de forma alarmante, junto al robo de credenciales (casi en 61%). Las credenciales de configuración predeterminadas, robadas o vulnerables son ampliamente explotadas en la web, sobre todo en el lado de los usuarios y clientes, las cuales dieron paso a masivas brechas de seguridad en múltiples aplicaciones web, así como en servicios de la nube.
A fin de evitar que los usuarios sean hackeados por la utilización de contraseñas débiles, Oswaldo Palacios resalta la importancia de conocer las 4 tácticas que los piratas informáticos utilizan para descifrar las contraseñas, las cuales se explican a continuación:
Ingeniería social. Los ciberdelincuentes se hacen pasar por entidades legítimas como amigos, familiares, instituciones públicas y empresas conocidas. Los correos electrónicos o mensajes de texto recibidos parecerán genuinos, pero contendrán un enlace o archivo adjunto malicioso que, si se hace clic, descargará malware o lo llevará a una página que le pedirá que ingrese datos personales. A medida que las personas se vuelven más cautelosas con los correos electrónicos, algunos piratas informáticos han comenzado a usar técnicas de phishing en SMS o mensajes de texto.
Ataques de fuerza bruta. Es un método de prueba y error utilizado para decodificar datos confidenciales. El atacante suele utilizar una computadora de alto rendimiento, que realiza una gran cantidad de cálculos por segundo y, en consecuencia, puede probar un gran número de combinaciones en el menor tiempo posible. Para ello llevan a cabo múltiples intentos de forma indiscriminada, sin embargo su éxito dependerá de la longitud y complejidad de la contraseña.
Ataques de diccionario. Es un método empleado para romper la seguridad de los sistemas basados en contraseñas en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático. Generalmente se emplean programas especiales que se encargan de ello. Este tipo de ataque suele ser más eficiente que un ataque de fuerza bruta.
Ataque keylogger. Este procedimiento es similar al phishing o suplantación de identidad y, por regla general, comienzan con una infección de malware. La víctima descarga un malware en su computadora al hacer clic en un enlace o archivo adjunto de un email. Una vez instalado el keylogger, este programa informático registra toda la actividad en Internet y envía esta información (credenciales incluidas) a los servidores de los ciberdelincuentes.
Contraseñas a prueba de todo
A fin de reforzar la seguridad en las contraseñas, Oswaldo Palacios recomendó una combinación de letras mayúsculas y minúsculas, números y símbolos u otros caracteres especiales, sin repetir el mismo carácter tres o más veces. Preferentemente debe ser unacontraseña larga, cuantos más caracteres más complicada, ya que las combinaciones posibles crecen exponencialmente.
Además, agregó el directivo, no es aconsejable usar la misma contraseña para diferentes servicios, ya que si un hacker consiguiera descifrar una, pondría en riesgo el resto. También se deberá intentar cambiar las contraseñas una vez cada seis meses. Adicional a lo anterior, en lugar de una sola contraseña, se sugiere usar una frase, también conocida como frase de contraseña. Esto implica combinar varias palabras en una cadena larga de al menos 15 caracteres.
Una buena seguridad de contraseña implica más que solo crear passwords difíciles de adivinar. En ese sentido, el directivo aconseja que es necesario seguir las siguientes acciones para no caer en las trampas de la ciberdelincuencia:
Autenticación de dos factores: no solo necesitamos una contraseña, sino que hay un paso más que nos protege en caso de que alguien nos haya intentado hackear. Puede variar, pero generalmentenos permitirá tener una contraseña y después debemos confirmar con un código de seis dígitos que recibimos a través de SMS o de una aplicación específica y que debemos introducir en la web o aplicación para poder acceder a nuestra cuenta.
Acceder a sitios que comiencen con https: Asegúrese de que cualquier sitio web donde ingrese las credenciales comience con «https:» en lugar de «http:», y si un sitio es seguro, se mostrará un pequeño candado en la barra de direcciones.
Evitar Wi-Fi públicos: Si alguien con malas intenciones se conecta a esa red, podrá aprovecharse de otros usuarios rápidamente. Cuando esté en un Wi-Fi público, utilice una red privada virtual que establezca un «túnel» seguro y encriptado para sus transferencias de datos y haga que sea casi imposible de interceptar.
“Los profesionales de la seguridad han advertido durante mucho tiempo los riesgos de reutilizar contraseñas, sin embargo la mayoría de las personas lo llevan a cabo. Por ello la mejor manera de generar contraseñas seguras y únicas sin tener que recordarlas es usar un administrador de contraseñas, el cual cifrará y almacenará las credenciales de inicio de sesión”, finalizó Oswaldo Palacios.