Comprar tus datos robados y otros m��todos para robar contrase?as

Desde comprarlas en la Dark Web a conseguirlas por m��todos como el cl��sico Phishing o el peliculero Keystroke Logging��.

Actualizado a 10 de febrero de 2020 23:52 CET

Cada vez que se produce un ataque hacker, inmediatamente los due?os de la web o plataforma de servicios emiten el mismo mensaje se?al��ndonos que debemos cambiar de contrase?a. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma ser�� m��s dif��cil para un hacker rastrearnos y piratearnos el sistema. Pero ellos siguen intent��ndolo una y otra vez de distintos m��todos. Porque alguno caer�� en su b��squeda de reventarse las contrase?as.

El m��todo m��s b��sico para obtener una contrase?a es, por descontado, empezar a probar una tras otra. Si se tiene el email usado por la v��ctima en una o varias cuentas, hay que empezar a probar desde los passwords m��s b��sicos y absurdos como ��12345�� qwerty�� (es sorprendente pero hay much��sima gente que los usa y los repite de una cuenta a otra) hasta nombres de famosos, de series, de personajes, deportistas, etc. Este proceso requiere mucho tiempo y paciencia, por lo que se puede pasar a algunos de los siguientes, como cuentan desde la web de BOTECH, expertos en prevenci��n online para evitar fraudes:

Credenciales compradas

Llamado ��Credential Stuffing��, ��Breach Replay�� o ��List Cleaning��, se trata de un m��todo muy usado debido a su simpleza. Consiste en comprar credenciales recopiladas de sitios web y plataformas que han sido hackeados y de los que se han robado datos para usarlas posteriormente en m��ltiples plataformas. Como dijimos antes, es muy habitual la re-utilizaci��n de contrase?as para diversas aplicaciones.

Phishing

El cl��sico imperecedero de la Red, el Phishing, Suplantaci��n de Identidad, ��Man-in-the-Middle�� o ��Credential Interception�� est�� muy extendido porque se trata de un procedimiento que no requiere de conocimientos de hacking. Se basa en mandar correos electr��nicos prometiendo a la v��ctima alg��n tipo de beneficio o informando de una irregularidad de cualquier tipo, inst��ndole a iniciar sesi��n en una web falsa. Algunos/as acaban picando por pura curiosidad o miedo infundado por el contenido del email y revelan sus datos.

Keystroke Logging

Uno de esos que suena a hackeo de pel��cula, el ��Keystroke Logging�� o Registro de Pulsaciones de teclas es menos habitual que los anteriores por su complejidad: Un malware registra y transmite los nombres de usuario y las contrase?as ingresadas, aparte de todo aquello que es tecleado. Lo malo de este m��todo es que hay que estudiar la informaci��n recopilada para poder determinar qu�� conjunto de caracteres podr��an pertenecer a una contrase?a. Para lograr hacerlo funcionar, es necesario transmitir un malware haciendo que el usuario a hackear haga click en un enlace que le enviemos.

Dumpster Diving

El Descubrimiento local o Dumpster Diving, reconocimiento f��sico o escaneo de red, consiste en localizar post-its, cuadernos, libretas o cualquier papel en el cual hayan sido apuntadas las claves del objetivo. Es un m��todo f��sico y laborioso, por lo que no es muy usado pese a ser muy eficaz. Se puede usar informaci��n aparentemente inocente como una lista de tel��fonos, un calendario o un organigrama para ayudar a un atacante en sus labores de ingenier��a social.

Password Spray

Si un m��todo es usado en ��el 16% de los ataques�� hackers del mundo, entonces es que es fiable, efectivo y eficaz. El Spray de Contrase?a genera cientos de miles de ataques al d��a y millones de intentos. Consiste en probar de forma desatendida, mediante software, la misma contrase?a en un gran n��mero de nombres de usuario.

La mayor��a de los ataques requieren de unas 10 contrase?as, aunque el n��mero puede oscilar entre 2 y 50. Lo malo de este m��todo es que es detectable y el servidor de inicio de sesi��n podr��a detener el proceso. Por eso, los atacantes necesitan maximizar su impacto antes de ser detectados, por lo que utilizan histogramas de fugas existentes y los usan para generar sus ataques.

Las principales contrase?as utilizadas en estos ataques son:

123456
password
000000
1qaz2wsx
a123456
abc123
abcd1234
1234qwer
qwe123
123qwe

Se suelen utilizar a menudo porque son simples de teclear y recordar. La contrase?a puede ser comprometida solo si est�� incluida en la lista que el atacante est�� utilizando.

Fuerza Bruta

Cuando todo lo dem��s falla, en vez de una pistola es mejor usar un ca?��n. El m��todo de la Fuerza Bruta consiste en crackear bases de datos. Resulta sencillo si la organizaci��n objetivo tienen una defensa poco estricta, pero ser�� complicado si se ha defendido apropiadamente. La dificultad tambi��n puede variar en funci��n a la encriptaci��n empleada, ya que se busca crackear el hash de los passwords.

Seg��n Botech, ��De todos los casos anteriores, el uso de una buena contrase?a cobrar�� sentido ��nicamente en los m��todos password spray y brute force. Para el resto, es indiferente que se hayan usado contrase?as seguras o no��.