6 m¨¦todos hacker para robar contrase?as

Cada vez que se produce un ataque hacker, inmediatamente los due?os de la web o plataforma de servicios emiten el mismo mensaje se?al¨¢ndonos que debemos cambiar de contrase?a. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma ser¨¢ m¨¢s dif¨ªcil para un hacker rastrearnos y piratearnos el sistema. Pero ellos siguen intent¨¢ndolo una y otra vez de distintos m¨¦todos. Porque alguno caer¨¢ en su b¨²squeda de reventarse las contrase?as.

El m¨¦todo m¨¢s b¨¢sico para obtener una contrase?a es, por descontado, empezar a probar una tras otra. Si se tiene el email usado por la v¨ªctima en una o varias cuentas, hay que empezar a probar desde los passwords m¨¢s b¨¢sicos y absurdos como ¡®12345¡¯ ¨® ¡®qwerty¡¯ (es sorprendente pero hay much¨ªsima gente que los usa y los repite de una cuenta a otra) hasta nombres de famosos, de series, de personajes, deportistas, etc. Este proceso requiere mucho tiempo y paciencia, por lo que se puede pasar a algunos de los siguientes, como nos cuentan desde la web de BOTECH, expertos en prevenci¨®n online para evitar fraudes:

Credenciales compradas

Llamado ¡®Credential Stuffing¡¯, ¡®Breach Replay¡¯ o ¡®List Cleaning¡¯, se trata de un m¨¦todo muy usado debido a su simpleza. Consiste en comprar credenciales recopiladas de sitios web y plataformas que han sido hackeados y de los que se han robado datos para usarlas posteriormente en m¨²ltiples plataformas. Como dijimos antes, es muy habitual la re-utilizaci¨®n de contrase?as para diversas aplicaciones.

Phishing

El cl¨¢sico imperecedero de la Red, el Phishing, Suplantaci¨®n de Identidad, ¡®Man-in-the-Middle¡¯ o ¡®Credential Interception¡¯ est¨¢ muy extendido porque se trata de un procedimiento que no requiere de conocimientos de hacking. Se basa en mandar correos electr¨®nicos prometiendo a la v¨ªctima alg¨²n tipo de beneficio o informando de una irregularidad de cualquier tipo, inst¨¢ndole a iniciar sesi¨®n en una web falsa. Algunos/as acaban picando por pura curiosidad o miedo infundado por el contenido del email y revelan sus datos.

Keystroke Logging

Uno de esos que suena a hackeo de pel¨ªcula, el ¡®Keystroke Logging¡¯ o Registro de Pulsaciones de teclas es menos habitual que los anteriores por su complejidad: Un malware registra y transmite los nombres de usuario y las contrase?as ingresadas, aparte de todo aquello que es tecleado. Lo malo de este m¨¦todo es que hay que estudiar la informaci¨®n recopilada para poder determinar qu¨¦ conjunto de caracteres podr¨ªan pertenecer a una contrase?a. Para lograr hacerlo funcionar, es necesario transmitir un malware haciendo que el usuario a hackear haga click en un enlace que le enviemos.

Dumpster Diving

El Descubrimiento local o Dumpster Diving, reconocimiento f¨ªsico o escaneo de red, consiste en localizar post-its, cuadernos, libretas o cualquier papel en el cual hayan sido apuntadas las claves del objetivo. Es un m¨¦todo f¨ªsico y laborioso, por lo que no es muy usado pese a ser muy eficaz. Se puede usar informaci¨®n aparentemente inocente como una lista de tel¨¦fonos, un calendario o un organigrama para ayudar a un atacante en sus labores de ingenier¨ªa social.

Password Spray

Si un m¨¦todo es usado en ¡°el 16% de los ataques¡± hackers del mundo, entonces es que es fiable, efectivo y eficaz. El Spray de Contrase?a genera cientos de miles de ataques al d¨ªa y millones de intentos. Consiste en probar de forma desatendida, mediante software, la misma contrase?a en un gran n¨²mero de nombres de usuario. La mayor¨ªa de los ataques requieren de unas 10 contrase?as, aunque el n¨²mero puede oscilar entre 2 y 50. Lo malo de este m¨¦todo es que es detectable y el servidor de inicio de sesi¨®n podr¨ªa detener el proceso. Por eso, los atacantes necesitan maximizar su impacto antes de ser detectados, por lo que utilizan histogramas de fugas existentes y los usan para generar sus ataques.

Las principales contrase?as utilizadas en estos ataques son:

Se suelen utilizar a menudo porque son simples de teclear y recordar. La contrase?a puede ser comprometida solo si est¨¢ incluida en la lista que el atacante est¨¢ utilizando.

Fuerza Bruta

Cuando todo lo dem¨¢s falla, en vez de una pistola es mejor usar un ca?¨®n. El m¨¦todo de la Fuerza Bruta consiste en crackear bases de datos. Resulta sencillo si la organizaci¨®n objetivo tienen una defensa poco estricta, pero ser¨¢ complicado si se ha defendido apropiadamente. La dificultad tambi¨¦n puede variar en funci¨®n a la encriptaci¨®n empleada, ya que se busca crackear el hash de los passwords.

Seg¨²n Botech, ¡°De todos los casos anteriores, el uso de una buena contrase?a cobrar¨¢ sentido ¨²nicamente en los m¨¦todos password spray y brute force. Para el resto, es indiferente que se hayan usado contrase?as seguras o no¡±.