¿Cómo funciona el descifrado (cracking) de contraseñas?
Tu contraseña es la primera línea de defensa contra los ciberdelincuentes. Eso también significa que es vulnerable a los ataques…
Las contraseñas son una barrera para acceder a tus cuentas, y es por eso que los ciberdelincuentes están tan interesados en atacarlas. El acto de descifrar (crackear) contraseñas es muy popular, pero hay más de un método que se puede usar aquí.
Entonces, ¿de qué manera se puede realizar el descifrado de contraseñas y cómo evitarlo?
¿Qué es el descifrado de contraseñas?
El descifrado o cracking de contraseñas se utiliza para descubrir las contraseñas de los usuarios para que los ciberdelincuentes puedan hackear sus cuentas.
Muchas de nuestras cuentas, como las que se utilizan para realizar operaciones bancarias, socializar, comprar y trabajar, están protegidas por contraseñas, por lo que no sorprende que los hackers quieran tener en sus manos estos datos.
Los ciberdelincuentes o hackers pueden usar varios métodos para descubrir tu verdadera contraseña, brindándoles acceso a tu cuenta si también tienen tu dirección de correo electrónico o nombre de usuario (que puede ser preocupantemente fácil de obtener).
Dependiendo de la complejidad de tu contraseña, podría ser descifrada en cualquier momento desde un par de segundos hasta millones de años. Obviamente, las contraseñas simples son más fáciles de descifrar. Por lo tanto, es importante estructurar tu contraseña de manera efectiva para protegerte de los hackers (lo que discutiremos más adelante).
Los métodos de descifrado de contraseñas más populares
A lo largo de los años, el descifrado de contraseñas se ha diversificado en numerosos métodos, algunos más exitosos que otros. Entonces, ¿qué métodos utilizan con más frecuencia los hackers para descifrar contraseñas?
1. Ataques de fuerza bruta
Los ciberdelincuentes utilizan con frecuencia ataques de fuerza bruta para hackear cuentas. Este método de descifrado implica ejecutar todas las combinaciones posibles de letras, números o símbolos que pueden incluirse en una contraseña determinada. Es esencialmente un método de prueba y error, o proceso de eliminación, que continúa hasta que se llega a la frase correcta.
Los ataques de fuerza bruta son particularmente efectivos en contraseñas más simples, como aquellas sin una combinación de mayúsculas y minúsculas o símbolos y números.
Un ataque de fuerza bruta puede completarse en menos de un minuto, aunque hay muchos casos en los que tardaría mucho más. Algunos ciberdelincuentes dejarán que el proceso continúe durante semanas, meses o incluso años, según el valor de la contraseña. Si el ataque de fuerza bruta tiene éxito, aterrizará en la contraseña correcta, lo que le dará acceso al hacker a lo que sea que esté tratando de comprometer.
2. suplantación de identidad
El phishing es una táctica popular de ciberdelincuencia y puede usarse para el robo de datos y la propagación de malware. Cuando se trata de descifrar contraseñas, el robo de datos es el objetivo obvio del ataque de phishing.
Los ataques de phishing suelen tener lugar a través de correos electrónicos, SMS o redes sociales (en particular, DM). Cuando las credenciales de inicio de sesión son el objetivo, el ataque a menudo implicará que el actor malicioso envíe a los objetivos una comunicación haciéndose pasar por una entidad oficial.
Por ejemplo, un estafador podría enviar un correo electrónico a una víctima afirmando ser un empleado del banco elegido. En el correo electrónico, generalmente se indica que se ha detectado actividad inusual en su cuenta y que deben iniciar sesión en línea para verificar si fueron ellos. Debajo del texto, se proporciona un enlace a la supuesta página de inicio de sesión. Sin embargo, en realidad, este es un enlace a una página de phishing maliciosa diseñada para verse casi idéntica a una página de inicio de sesión oficial, mientras que también roba los datos que ingresa.
Si la víctima cae en la estafa, ingresará sus credenciales de inicio de sesión en la página de phishing, que luego recopilará el atacante. En este punto, el atacante tiene el nombre de usuario y la contraseña de la cuenta de la víctima, lo que le otorga acceso no autorizado.
3. Ataques de intermediario (hombre en el medio)
Como sugiere el nombre, los ataques Man-in-the-Middle (MitM) involucran a un actor malicioso que se coloca entre una víctima y una aplicación o sitio web.
Los ataques Man-in-the-middle pueden presentarse de muchas formas, entre ellas:
- Secuestro de correo electrónico.
- Suplantación de HTTPS.
- Suplantación de identidad de HTML.
- Suplantación de SSL.
- Suplantación de identidad Wi-Fi
Una forma de ataque man-in-the-middle consiste en que el operador malicioso espíe activamente la interacción entre un usuario y un servidor. En tal escenario, el atacante accede a una red a través de una debilidad y luego escanea una aplicación o sitio en busca de una vulnerabilidad de seguridad. Cuando se encuentra una vulnerabilidad, la ataca y luego comienza a atacar a los usuarios cuando interactúan con aplicaciones y sitios web a través de la red comprometida.
Luego, cuando la víctima ingresa cualquier tipo de datos, o recibe datos de la aplicación, el atacante podrá verlos. En este caso, si ingresan una contraseña, el atacante puede recuperarla. Si es necesario descifrar estos datos, este será el siguiente paso. Ahora, los datos de la víctima pueden ser utilizados por el operador malintencionado de la forma que desee.
4. Registro de teclas (Keylogging)
El registro de teclas es un método de robo de datos que consiste en registrar cada pulsación de tecla que hace la víctima en su dispositivo, ya sea una PC de escritorio, una computadora portátil, una tableta, un teléfono inteligente o similar.
Los keyloggers vienen en forma de malware; programas maliciosos utilizados para atacar. Cuando un dispositivo se infecta con un registrador de teclas, el operador malicioso puede ver todo lo que la víctima está escribiendo, que podrían ser correos electrónicos, información de pago, credenciales de inicio de sesión, ¡o cualquier cosa en realidad!
Entonces, si alguna vez iniciaste sesión en una cuenta en un dispositivo infectado con un registrador de teclas, o simplemente ingresas tus credenciales de inicio de sesión en una aplicación de notas o administrador de contraseñas, se puede ver lo que ingreses. El atacante tomará estas credenciales y las utilizará para acceder a una o más de tus cuentas en línea.
Debe saber cómo detectar y eliminar keyloggers para proteger tus datos si tus dispositivos se infectan.
Cómo evitar el descifrado de contraseñas
Evitar el descifrado de contraseñas requiere un par de medidas, comenzando naturalmente con las contraseñas que usas. Si bien es tentador usar una contraseña simple para todas tus cuentas, esto te expone enormemente al descifrado de contraseñas, específicamente ataques de fuerza bruta. La mayoría de los sitios web describen algunos requisitos para la creación de contraseñas, como mayúsculas y minúsculas, el uso de símbolos y números, y una longitud mínima general.
Estos son parámetros sólidos a seguir, pero también hay otras cosas que debes evitar, como usar información personal (por ejemplo, cumpleaños, nombres, etc.) en tus contraseñas. También debes evitar usar la misma contraseña para todas tus cuentas: si tus credenciales caen en manos de un atacante, tienen la posibilidad de causar aún más daño al comprometer más de una cuenta.
Además de refinar tus contraseñas, también debes saber cómo detectar comunicaciones de phishing, ya que también se utilizan para robar credenciales de inicio de sesión. Algunas señales que siempre debes tener en cuenta incluyen:
- Mala ortografía y gramática.
- Una dirección de correo electrónico inusual.
- Enlaces no solicitados
- Enlaces que un sitio de verificación ha destacado como maliciosos.
- Lenguaje demasiado persuasivo/urgente.
Además, debes considerar el uso de la autenticación de dos factores o de múltiples factores para agregar una capa adicional de seguridad a tus cuentas. De esta forma, si un atacante intenta iniciar sesión con tu nombre de usuario y contraseña, primero deberás verificar el intento de inicio de sesión desde un dispositivo o canal independiente, como SMS o correo electrónico.
El descifrado de contraseñas pone a todos en riesgo
No hay duda de que estas técnicas de descifrado de contraseñas amenazan la seguridad y la privacidad de los usuarios de todo el mundo. Ya se han robado enormes cantidades de datos a través del descifrado de contraseñas, y no se puede decir que no serás un objetivo. Así que asegúrate de saber cómo mantenerte alejado de estas actividades maliciosas para mantener tus cuentas seguras y protegidas.