El primer jueves de mes de mayo se celebra el Día Mundial de la Contraseña, una fecha que busca concienciar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos.
Una forma de protegerse de posibles ciberataques consiste en conocer los tipos de ataques y las tácticas más habituales de los cibercriminales, así como los errores que comenten los usuarios con el objetivo de evitar caer en ellos.
Una de las tácticas más frecuencias consiste en la ‘fuerza bruta’, como señalan desde Entelgy Innotec Security. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como ‘1q2w3e4r5t’, ‘zxcvbnm’ o ‘qwertyuiop’.
En este sentido, la combinación numérica ‘123456’ estaba presente en las cuentas hackeadas de más de 23.2 millones de usuarios de todo el mundo, según ha desvelado una investigación reciente del Centro Nacional de Ciberseguridad de Reino Unido.
Si introducir una contraseña frecuente no funciona, el cibercriminal tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, tan solo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad.
Otro ataque habitual es el conocido como ‘de diccionario’. Un programa informático prueba cada palabra de un diccionario previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.
En el tipo de ataque denominado ‘keylogger’, el usuario instala inconscientemente un programa malicioso, conocido como ‘keylogger’, al acceder a un enlace o descargar un archivo de Internet.
Una vez instalado, éste captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. Como señalan desde Entelgy Innotec, este tipo de ataque es “especialmente peligroso” porque registra todo lo que el usuario escribe.
En el caso del ataque de ‘phishing’, los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al clicar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea.
Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.
Los cribercriminales también recurren a técnicas de ingeniería social, que son aquellas que no se llevan a cabo a través de equipos informáticos.
La práctica conocida como ‘shoulder surfing’, es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología.
Una práctica muy común es dejar la contraseña apuntada en un ‘post-it’ alrededor del equipo, lo cual, como advierten desde la compañía de ciberseguridad, es “totalmente desaconsejable”.
Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y, por tanto, lo aprovechan para robarlas.
En este contexto, la técnica ‘spidering’ emplea una “araña” de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Es un ataque “especialmente efectivo contra grandes empresas”, como indican desde Entelgy Innotec, porque “disponen de más información ‘online’, así como para obtener contraseñas de redes WiFi, generalmente relacionadas con la propia compañía”.
