Las 3 grandes tecnológicas, Google, Apple y Microsoft, se han comprometido a acabar con el uso de contraseñas a partir de 2023. Mientras llega ese momento, las contraseñas siguen siendo la principal llave de acceso a nuestro email, cuentas bancarias, suscripciones y todo tipo de aplicaciones y bienes digitales.
Cuando se trata de robar contraseñas, los hackers y demás fauna de ciberdelincuentes cuentan con diferentes técnicas para hacerse con el ‘botín’ de la víctima. A continuación, repasamos algunos de los métodos más utilizados.
Los 8 métodos más usados por los hackers para robar contraseñas
Como se suele decir, “el conocimiento es poder”, y en este caso conocer las técnicas usadas por los hackers nos viene genial para prevenir estos delitos de manera mucho más eficiente. Un último consejo antes de empezar: activa la verificación en dos pasos en todas tus cuentas. Esto ayudará a que todo el peso de la seguridad de la cuenta no recaiga solo en la contraseña de acceso.
1- Diccionario de contraseñas frecuentes
Los hackers cuentan con listas que incluyen las contraseñas más utilizadas por los usuarios a lo largo de los años. Este tipo de listas se conocen como “diccionarios de ataque”, y básicamente se utilizan para ir probando una por una todas las contraseñas de la lista hasta dar con la contraseña correcta.
Contraseñas como “123456”, “qwerty”, “password”, “111111”, “abc123” y similares son algunas de las claves más comunes. No caigas en un fallo tan básico y utiliza contraseñas complejas (al menos 9 caracteres con mayúsculas, minúsculas, números y algún símbolo). En este artículo puedes ver una lista con las contraseñas más comunes de España en 2021.
2- Ataques de fuerza bruta
Los ataques de fuerza bruta consisten en probar todas las combinaciones posibles hasta dar con la contraseña correcta. Este tipo de ataques tienen en cuenta los requisitos de complejidad, por lo que no importa si la víctima utiliza mayúsculas, minúsculas, números, etc.
Al final todo es cuestión de tiempo. Cuanto más larga y compleja sea la contraseña más tiempo necesitará el hacker para dar con la clave correcta. Lo bueno es que si la contraseña es lo suficientemente compleja, el tiempo necesario para crackearla es tan elevado que en la práctica resultará casi imposible. De ahí la importancia de añadir siempre un par de símbolos a nuestra clave de acceso.
3- Tabla arcoíris
Este tipo de hackeos consisten en atacar una contraseña de forma offline. En casos así el ciberdelincuente habrá conseguido la contraseña de la víctima, pero estará encriptada. Por ejemplo, puede tener una clave encriptada que sea “ef24e1ae340e80aa8f40479e444233b3”.
Con esa clave no podrá acceder a ningún sitio. Para descubrir la clave lo que hará será probar diferentes contraseñas (normalmente a partir de un diccionario o lista preparada para la ocasión) y pasarlas por un algoritmo de encriptación hasta dar con el resultado “ef24e1ae340e80aa8f40479e444233b3”.
Este método de prueba y error puede llevar un gran tiempo, y ahí es donde entran en juego las tablas arcoíris. Este tipo de tablas contienen miles de contraseñas potenciales con sus respectivos hash de encriptación, lo que reduce muchísimo el tiempo necesario para romper el encriptado.
4- Keyloggers
Los keyloggers son un tipo de programa malicioso o malware que se encargan de registrar todo lo que el usuario escribe en el teclado de su dispositivo. Esto englobaría usuarios y contraseñas de acceso (además de conversaciones, URLs y cualquier otra cosa que se pueda escribir con un teclado), con el grave peligro de que estaríamos dejando expuestas no una sino todas nuestras contraseñas.
El peligro de los keyloggers es que pueden infiltrarse en nuestro sistema de diferentes maneras y con diversas variantes. Para evitar este tipo de virus tan dañino huye de apps piratas y cualquier otro software o contenido de dudosa procedencia.
5- Phising
Tanto los ataques de fuerza bruta como los diccionarios de ataque requieren tiempo y además solo son realmente eficaces con contraseñas débiles. Por ese motivo métodos como el ‘phising’ se han popularizado tanto en los últimos años.
El ‘phising’ consiste en suplantar la identidad de otra persona o empresa para que voluntariamente entreguemos nuestra contraseña al atacante. En la práctica esto suele traducirse en un falso email o SMS de nuestro banco, Paypal y similares informándonos de que debemos cambiar nuestra contraseña si queremos seguir usando la cuenta.
Acto seguido seremos redirigidos a una página con una supuesta apariencia de verosimilitud, utilizando los mismos diseños y logos de nuestro banco. Por supuesto, esta página estará controlada por el hacker con el único objetivo de conseguir nuestra contraseña.
En este post del antivirus Avast podemos ver algunas de las estafas de phishing más utilizadas en 2022.
6- Spidering
La técnica del ‘spidering’ es un tipo de ataque diccionario, pero personalizado específicamente para la víctima. En lugar de probar contraseñas por fuerza bruta los ataques de spidering utilizan contraseñas relacionadas que se pueden elaborar mediante un rastreo de términos asociados a la víctima.
Para conseguir ese diccionario personalizado los atacantes pueden utilizar ‘arañas web’ (spiders en inglés, de ahí el nombre) para rastrear internet en busca de esas palabras relacionadas que el usuario podría estar usando como contraseña.
Por ejemplo, si se trata de una empresa que hace batidos de chocolate, el hacker probablemente buscará contraseñas relacionadas como tipos de lácteos, cacao, etc.
Cabe destacar que este tipo de ataques normalmente suelen estar dirigidos contra instituciones o empresas.
7- Técnicas de ingeniería social
Cuando los expertos dicen que el factor humano es el eslabón más débil de la cadena de seguridad de nuestras cuentas online lo dicen por algo. Ya puedes tener la contraseña más compleja y los métodos de verificación más exhaustivos, que de nada te va a servir si te llama alguien por teléfono haciéndose pasar por el Banco Santander, Iberdrola o Vodafone, y le das tu contraseña de forma voluntaria.
El problema con este tipo de ataques es que son muy efectivos cuando nos pillan despistados o con la guardia baja. Para evitar ser víctima de este tipo de robos, recuerda que tu banco o entidad de confianza nunca te llamará por teléfono ni tocará el timbre de tu casa para pedirte datos personales o contraseñas.
8- La mirada por encima del hombro
Terminamos con el método más rudimentario de todos, y probablemente el más antiguo de toda la lista. Básicamente consiste en pasar por delante del ordenador o smartphone de la víctima y echar un vistazo al teclado/pantalla para ver la contraseña de primera mano.
Puede parecer un poco cutre, pero no deja de ser efectivo. Especialmente si estamos en una cafetería, biblioteca o bar con un aforo elevado y un gran flujo de gente.
