«Para proteger tus contraseñas una buena opción es agregar una autenticación de dos factores»
Ciudad de México, México │Por Ángel Ramírez│Escritor de LAGLvL
La mayoría de las personas cree que de forma generalizada y errónea que, para que los ciberdelincuentes roben tu contraseña debes cometer un error: descargar y ejecutar un archivo no verificado de Internet, abrir un documento de un remitente desconocido o introducir tus datos en algún sitio web sospechoso. Claro que todos esos patrones de comportamiento pueden facilitar el trabajo de los atacantes, pero también se dan otras situaciones. Por eso, hoy te diremos como proteger tus contraseñas y cuáles son los métodos más comunes que los ciberdelincuentes usan para acceder a tus cuentas:
Phishing
Este es uno de esos métodos de recopilación de datos que principalmente se basa en el error humano. Diario aparecen miles de correos electrónicos que llevan a cientos de sitios de phishing. Y si crees, por alguna razón, que jamás caerás en las redes del phishing, te equivocas. Este método es casi tan viejo como Internet, por lo que los ciberdelincuentes se han tomado el tiempo para desarrollar numerosos trucos de ingeniería social y estrategias para encubrirlo. Hasta los profesionales, en ocasiones, no son capaces de distinguir a simple vista un correo electrónico de phishing de uno real.
Malware
El malware es otro de los métodos más comunes para robar las datos. De acuerdo con nuestras estadísticas, gran parte del malware activo se forma de troyanos ladrones cuya principal meta es esperar a que un usuario inicie sesión en alguna web o servicio, copiar sus contraseñas y enviárselas a sus creadores. Si no utilizas soluciones de protección, los troyanos pueden ocultarse en tu computadora sin ser detectados durante años y no sabrás que algo está mal, porque no causan daños visibles, hacen su trabajo de forma silenciosa.
Y los troyanos ladrones no son el único malware que va en busca de contraseñas. A veces, los ciberdelincuentes inyectan skimmers en los sitios web y roban todos los datos que introducen los usuarios: credenciales, nombres, datos bancarios, etc.
Fugas de terceros
No obstante, el error puede no solo ser tuyo. Basta con que seas usuario de algún servicio de Internet con poca seguridad o cliente de una empresa de la que se haya filtrado la base de datos de sus clientes. Usualmente, las empresas que se toman en serio su ciberseguridad no guardan tus contraseñas o lo hacen de forma cifrada. Pero nunca se puede estar seguro de que las medidas necesarias han sido implementadas. Por ejemplo, la filtración de datos de SuperVPN que se produjo este año contenía los datos personales y de inicio de sesión de 21 millones de usuarios.
Además, algunas empresas no pueden evitar el almacenamiento de las contraseñas. Sí, hablamos del famoso hackeo del gestor de contraseñas LastPass. De acuerdo con datos más recientes, un desconocido actor de amenazas accedió al almacenamiento basado en la nube mediante algunos datos de clientes, entre los que se incluían sus copias de seguridad de las bóvedas. Sí, esas bóvedas se cifraron correctamente y LastPass nunca almacenó ni conoció las claves de descifrado. Pero ¿qué pasa si los clientes de LastPass bloquearan sus bóvedas con una contraseña que ya se haya filtrado de alguna otra fuente? Si reutilizaran una contraseña insegura, los ciberdelincuentes tendrían acceso a todas sus cuentas.
Brokers de acceso inicial
Estamos ante otra fuente de contraseñas robadas: el mercado negro. Actualmente, los ciberdelincuentes prefieren especializarse en ciertos campos. Pueden robar tus contraseñas, pero quizá no usarlas: es más rentable venderlas al por mayor. Comprar tales bases de datos de contraseñas es sumamente atractivo para los ciberdelincuentes porque les ofrece un todo en uno: los usuarios tienden a usar las mismas contraseñas en varias plataformas y cuentas, vinculándolas todas al mismo correo electrónico. Por ende, al tener la contraseña de una plataforma, los ciberdelincuentes pueden acceder a muchas otras cuentas de la víctima, desde sus cuentas de juegos hasta su correo electrónico personal o incluso sus cuentas privadas en sitios para adultos.
En el mismo mercado negro se venden también las bases de datos corporativas filtradas que pueden o no contener credenciales. El costo de dichas bases de datos varía según la cantidad de datos y el sector al que la empresa pertenezca: algunas bases de datos de contraseñas pueden valer miles de dólares.
Existen ciertos servicios en la darknet que agregan contraseñas y bases de datos filtradas, y luego permiten el acceso de pago por suscripción o un acceso único a sus recopilaciones. En octubre de 2022, el famoso grupo de ransomware LockBit hackeó a una empresa de asistencia sanitaria y robó su base de datos de usuarios con información médica. No solo vendieron en la darknet las suscripciones a esta información, sino que, supuestamente, también compraron el acceso inicial en el mismo mercado negro.
Ataques de fuerza bruta
Hay casos en que los ciberdelincuentes ni siquiera necesitan una base de datos robada para averiguar tus contraseñas y hackear tus cuentas. Pueden usar la fuerza bruta, o sea, probar miles de variantes de las contraseñas típicas hasta que alguna funcione. Sí, no suena demasiado caro, pero en realidad no necesitan intentar todas las combinaciones posibles: existen herramientas (generadores de listas de palabras) que pueden generar una lista de posibles contraseñas comunes (los llamados diccionarios de fuerza bruta) tomando en cuenta los datos personales de la víctima.
Estos programas parecen un minicuestionario sobre la víctima. Piden nombre, apellidos, fecha de nacimiento, los datos personales de parejas, hijos e incluso mascotas. Incluso, los atacantes pueden añadir palabras clave adicionales que conozcan sobre su objetivo para incluir en esta mezcla. Al usar esta combinación de palabras relacionadas, nombres, fechas y otros datos, los generadores de listas de palabras crean miles de variantes de contraseñas que luego los atacantes prueban para iniciar sesión.
Cómo proteger tus contraseñas ante accesos no deseados
Primero, siempre toma en cuenta ciertas pautas para la seguridad de las contraseñas:
- no reutilices la misma contraseña para diversas cuentas;
- crea contraseñas largas y seguras;
- guarda tus contraseñas de forma segura;
- cambia tus contraseñas inmediatamente en cuanto escuches cualquier noticia sobre una brecha de datos en un servicio o un sitio web que utilices.
Nuestro software de gestión de contraseñas puede ayudarte con todas esas tareas. Está disponible como parte de nuestras soluciones de seguridad tanto para las pequeñas y medianas empresas como para los clientes domésticos.
Y aquí algunos consejos adicionales:
- Siempre que sea posible, activa la autenticación de dos factores. Esta proporciona una capa extra de seguridad y evitará que los hackers accedan a tu cuenta, incluso aunque alguien logre obtener tu nombre de usuario y contraseña.
- Configura con mayor privacidad tus redes sociales. Así será más difícil encontrar información sobre ti y, por ende, complicará el uso de un diccionario de fuerza bruta para atacar tus cuentas.
- Intenta no compartir demasiados datos personales, incluso aunque solo sea visible para tus amigos. Tus amigos de hoy pueden convertirse en los enemigos del mañana.
¿Quieres ver más noticias sobre PC Gamer?
¡Visita nuestra categoría de noticias PC Gamer!
