Con estos ataques nos roban las contraseñas, ¡aprende a evitarlos!

Fecha de publicación
05/05/2022
Autor
Miriam Puente García (INCIBE)
Mujer introduciendo sus credenciales en el portátil

Cada año, el primer jueves del mes de mayo se celebra el Día Mundial de las Contraseñas. Este año, una vez más, queremos recordarte su importancia a la hora de proteger la información de la organización y ayudarte en esta tarea enseñándote a identificar los principales ataques que existen para sustraer contraseñas y cómo puedes evitarlos.

Ataque de fuerza bruta

Un ataque de fuerza bruta a las contraseñas es en esencia un método en el que el ciberdelincuente prueba a entrar en un sistema muchas veces con diferentes combinaciones de caracteres (alfabéticos, numéricos y especiales) utilizando un software específico, esperando que ocurra alguna coincidencia con nuestra contraseña. Los ciberdelincuentes se valen de la mala práctica común de utilizar la misma contraseña en distintos servicios. Además, en ocasiones estas contraseñas “reutilizadas” pueden estar ya comprometidas, ser muy comunes o venir por defecto en los sistemas o aplicaciones, por ejemplo las del tipo "12345" o “admin”.

Dentro de los ataques de fuerza bruta, podemos distinguir las siguientes variantes:

Ataque de diccionario

Estos ciberataques aprovechan la mala práctica de utilizar una sola palabra como contraseña. Normalmente el ciberdelincuente utiliza un software que le permite introducir contraseñas de manera automática y así puede probar todas las palabras de un diccionario como posibles contraseñas. Si existiera alguna coincidencia ya habría conseguido el acceso a la cuenta en cuestión.

En una variante más avanzada, el ciberatacante recopila información sobre el usuario, como fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido y prueba estas palabras como contraseñas, ya que también se trata de una mala práctica muy extendida, el uso de este tipo de claves que nos resultan fáciles de recordar.

Evita el ataque de diccionario creando contraseñas robustas que cumplan las siguientes directrices:

  • deben contener al menos ocho caracteres y combinarlos de distinto tipo (mayúsculas, minúsculas, números y símbolos);
  • no deben contener los siguientes tipos de palabras:
    • palabras sencillas en cualquier idioma (palabras de diccionarios);
    • nombres propios, fechas, lugares o datos de carácter personal;
    • palabras que estén formadas por caracteres próximos en el teclado;
    • palabras excesivamente cortas.
  • tampoco utilizaremos claves formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
  • se establecerán contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas;
  • se tendrá en cuenta lo expuesto en los puntos anteriores también en el caso de utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras).

Relleno de credenciales (credential stuffing / credential reuse):

El relleno de credenciales es un ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online. Se aprovechan también de la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales y servicios online) en aplicaciones del entorno corporativo como el correo.

Evita el ataque de relleno de credenciales: 

  • Habilitando la autenticación de dos factores en tus cuentas online cuando sea posible. Considera además del uso de la contraseña otros factores como:
    • huella digital
    • tokens criptográficos hardware;
    • sistemas OTP (One Time Password);
    • tarjetas de coordenadas.
  • Utilizando contraseñas únicas, es decir, que solo utilices en ese servicio específico.
  • Usando la cuenta de la empresa solo para registrarte en servicios corporativos.

Ataque de pulverización de contraseñas (password spraying)

Se produce cuando un ciberdelincuente utiliza un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo las de correo web de empleados de una empresa) para ver si puede obtener acceso. Además, se vale de programas que pueden limitar el número de intentos de acceso a una cuenta para no hacer saltar las alertas y así no ser detectados.

Evita el ataque de pulverización de contraseñas: 

  • Utilizando herramientas que garanticen la seguridad de tus contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
    • periodos de validez para las contraseñas;
    • posibilidad de reutilización de contraseñas ya usadas;
    • formato de la contraseña: 
      • longitud mínima;
      • tipos de caracteres que deben incluir;
      • cumplimiento de reglas semánticas.
    • posibilidad de elección y modificación de la contraseña por parte del usuario;
    • almacenamiento de las claves:
      • tamaño del histórico de claves a almacenar para cada usuario;
      • método de cifrado de las claves.
    • número de intentos de autenticación permitidos.

Ingeniería social

La ingeniería social es una manipulación para obtener información confidencial que se utiliza de forma complementaria al uso de la tecnología para obtener credenciales de acceso. Existen varias técnicas.

Phishing, smishing, vishing y warshipping

Estos ciberataques aprovechan la falta de información e ingenuidad humanas para que les entreguemos nuestras credenciales. Se inician por un email o un SMS, una llamada o mediante dispositivos.

  • Un correo electrónico que llama tu atención sobre algún tipo de asunto urgente procedente de una entidad de tu confianza como un banco, un ministerio o un proveedor de servicios TIC. Estos mensajes suelen contener un enlace a un sitio web diseñado de forma que suplantan, en ocasiones con un gran parecido, a la web legítima de esa entidad y en el cual te pedirán las credenciales para iniciar sesión (phishing). Estos sitios web falsos registrarán las credenciales introducidas pasando así a manos de los atacantes.
  • Un SMS (smishing), técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. con el mismo propósito que el anterior.
  • Una llamada (vishing), empleando técnicas similares a las anteriores.
  • Un regalo tecnológico infectado (warshipping) que se conectará a nuestra red y robará nuestras credenciales y otros datos.

Mirar por encima del hombro (shoulder surfing)

Ser consciente del entorno que te rodea es tan importante como estar atento a cualquier actividad sospechosa en línea. El shoulder surfing es una técnica de ingeniería social en la que los ciberdelincuentes consiguen las contraseñas espiando a la gente que utiliza sus dispositivos en público mientras escriben. Estos se valen de que, por normal general, no somos desconfiados y no nos preocupamos de si alguien puede estar observando mientras introducimos las contraseñas en nuestros dispositivos.

Evita los ataques de ingeniería social:

  • Con formación y concienciación. La primera línea de defensa está en el usuario final por tanto, son las mejores armas para combatir esta técnica.
  • Comprobando si la web es legítima antes de introducir tus datos.
  • Habilitando las funciones biométricas, como el reconocimiento facial, para iniciar sesión en las cuentas de los dispositivos móviles.

Ataque de keylogger

Un keylogger es un software espía que se utiliza para rastrear y registrar lo que se escribe por teclado. Los ciberdelincuentes se aprovechan de este software infectando intencionadamente los dispositivos vulnerables y grabando información privada sin el conocimiento del usuario sustrayendo así contraseñas, entre otra información. También puede venir en dispositivos extraíbles, como pendrives.

Evita los ataques de keylogger:

  • Comprobando la legitimidad de los adjuntos y ficheros descargables antes de abrirlos o ejecutarlos.
  • Instalando software antimalware en tus dispositivos.
  • Revisando que no haya conectado ningún dispositivo extraño en tu ordenador.

Ataque de Hombre en el medio (Man-in-the-middle)

En el ataque Man in the middle el ciberdelincuente intercepta la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según le interese, para ver la información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas por el ciberdelincuente o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.

Interceptación del tráfico (Traffic interception)

La interceptación del tráfico es un tipo de ataque Man-in-the-middle. En este caso el ciberdelincuente espía la actividad de la red para capturar contraseñas y otro tipo de información sensible. Tienen varias formas de llevar a cabo este ataque, por ejemplo, interceptado conexiones wifi no seguras o utilizando una táctica llamada secuestro de sesión, que consiste en interceptar una conexión entre un objetivo (un empleado por ejemplo) el sitio al que se conecta (un servicio en la nube o una aplicación de intranet) y registrar cualquier información compartida entre ambos.

Evita los ataques de Man-in-the-middle:

Ahora que ya sabes un poco más sobre cómo los ciberdelincuentes pueden robar tus credenciales, revisa tu política de contraseñas y protege tu empresa.

Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad

Ir arriba