Estas son las técnicas más comunes que los hackers usan para descifrar contraseñas
Los hackers encuentran muchas formas de descifrar tu contraseña. Si las técnicas no son suficientes, entonces inventan una nueva.
Sin embargo, siempre es bueno saber cómo funciona esta actividad delictiva. Si lo entendemos más profundamente, podemos pensar en mejores formas de protección.
Es muy importante entender las contraseñas, los cifrados, los tipos de ataques y las técnicas que los hackers pueden utilizar para planificar estos ataques. Sin embargo, antes de llegar a las técnicas, debemos comprender los procesos de cifrado y generación de contraseñas.
¿Cómo debemos crear contraseñas?
Contraseñas simples, débiles y reutilizadas deben ser evitadas. Necesitamos asegurarnos de la singularidad y la solidez cuando generamos nuestras contraseñas.
Cuanto más largas y complejas sean las contraseñas, más difícil será descifrarlas. Hablaremos de ello con más detalle en la última sección, pero ahora debemos comprender cómo funciona el cifrado y qué técnicas utilizan los hackers para descifrar las contraseñas.
¿Cómo funciona el cifrado de contraseñas?
El cifrado de contraseñas es como cocinar. Tú tomas el ingrediente simple, luego agrega sal, hashing y, por último, pimienta para que esté listo para servir.
Texto plano o texto sin formato
La contraseña es un texto plano y no se toman medidas de seguridad. Si los hackers acceden a la base de datos, pueden leer fácilmente el texto sin formato y utilizarlo para acceder a las cuentas.
Hashing
El hash toma el texto sin formato y lo convierte en una cadena diferente, lo que hace que la contraseña sea ilegible. Aunque el hacker ingrese a la base de datos, la contraseña no será entendible.
Salting
El salting agrega valores aleatorios al texto plano antes del proceso de hash. Los valores salteados y con hash se almacenan en la base de datos. Esto hace que las contraseñas sean aún más difíciles de identificar.
Peppering
El peppering es similar al salting. Se agrega a la contraseña antes de aplicar el hash. La diferencia entre salting y peppering es que el valor del peppering se mantiene en secreto y no se almacena en una base de datos con la contraseña hash. Las contraseñas con salting,peppering y hash están bastante protegidas y un hacker puede tardar mucho en descifrar la contraseña.
¿Cuáles son las técnicas para descifrar contraseñas?
1. Adivinar
Hay ciertas contraseñas que utilizan un gran número de personas y que se pueden adivinar fácilmente. Según un informe del 18 de noviembre de 2020, “123456” fue utilizada por alrededor de 2.5 millones de personas “, y” 123456789 “fue utilizado por más de 961.000 personas en 2020. Estas débiles contraseñas causaron devastadoras filtraciones de datos.
Esos son solo ejemplos. Si estás interesado en averiguar las contraseñas comunes, definitivamente deberías investigar y ver si tus contraseñas están dentro de una de ellas. ¡Ojalá no!
2. Ingeniería social
La ingeniería social es un término muy amplio. Se basa en engañar y manipular a la gente. Como sabemos, los correos electrónicos de phishing son muy populares. La tasa de éxito de los hackers a través de correos electrónicos de phishing es bastante alta. Por lo tanto, esta técnica nunca estará obsoleta para los atacantes.
Aparte de estos, las llamadas de vishing también están en aumento. Los ingenieros sociales pueden engañarte para que proporciones información confidencial. Pueden fingir ser una persona del departamento de informática en tu organización para manipularte y que tú proporciones tu contraseña.
El Shoulder surfing se refiere a la acción en la que una persona se para detrás de ti y revisa tu pantalla cuando ingresas tus credenciales. Puede parecer imposible, pero es muy fácil para los ciberdelincuentes encontrar el camino hacia los edificios y utilizar esta técnica para robar los datos.
Hay más técnicas de ingeniería social. Solo debemos entender que no debemos tomar medidas inmediatas contra nada que parezca sospechoso, inusual o que provoque emociones fuertes. Puede ser una llamada, un correo electrónico o alguien que apareció en nuestra oficina. Primero, debemos cuestionar lo que obtuvimos o vimos, luego confirmarlo antes de hacer clic en cualquier cosa o proporcionar cualquier información.
3. Malware
Existen muchos tipos diferentes de malware, que ayudan a los hackers a crear puertas traseras en tus sistemas y acceder a datos confidenciales. Dependiendo del tipo de malware, pueden rastrear lo que abriste en tu navegador y qué detalles proporcionaste en la web. Hay más formas de robarte datos directamente o esperar, espiar y atacar en el momento adecuado.
Los malware se pueden instalar de muchas formas diferentes. Por ejemplo, instalar una aplicación a través de un sitio web poco confiable, conectarse a una red Wi-Fi maliciosa en lugar de una confiable, hacer clic en correos electrónicos de phishing, etc.
Tienes que pensar antes de actuar.
4. Ataque de fuerza bruta
El ataque de fuerza bruta se basa en adivinar, y también en una aplicación o un script, consiste en averiguar los nombres de usuario y las contraseñas. Los hackers prueban diferentes palabras, frases y combinaciones de contraseñas hasta que encuentran el nombre de usuario y la contraseña correctas.
Según informes recientes, los ataques de fuerza bruta han aumentado un 400%.
5. Ataque de diccionario
Este tipo de ataque es similar a la fuerza bruta. Sin embargo, los atacantes compilan aquí posibles combinaciones y crean un diccionario para usar en los ataques. Contiene una lista de contraseñas conocidas y comunes, nombres populares, etc.
Los hackers pueden verificar cada palabra en un diccionario para ver si la usas como contraseña. También pueden utilizar un software para ataques de diccionario. Los hackers usan una herramienta para ejecutar todas estas combinaciones en segundos y si la contraseña es simple y su longitud es corta, podría descifrarse aún más rápido.
6. Ataques de diccionario combinados
La diferencia entre el ataque de diccionario y el ataque de diccionario combinado es que este tipo de ataque usa las palabras y frases creadas usando diferentes diccionarios.
7. Ataques de diccionario híbrido
Este ataque comprendes ataque de fuerza bruta y ataques de diccionario.
8. Ataques basados en reglas
Los hackers utilizan esta técnica cuando conocen las reglas de generación de contraseñas. Por ejemplo, si el sistema obliga a sus usuarios a configurar una contraseña con una longitud y un número específicos, el hacker se centra en esta regla mediante el uso de un diccionario o un ataque de diccionario combinado.
9. Ataque de máscara
Este tipo de ataque comprueba los patrones específicos de la contraseña. Los hackers crean diferentes máscaras utilizando una herramienta y luego intentan encontrar el patrón de la contraseña.
Un ataque de máscara es específico de la longitud de la contraseña, por lo que, si se desconoce la longitud de la contraseña, deberán especificar varias máscaras.
Como puedes ver en el ejemplo anterior, el hacker conoce solo una parte de la contraseña, que es “Photos”, pero el resto la desconoce. Este ataque podría usarse para revelar la contraseña completa al hacker. Cada valor representa una regla diferente, sin embargo, no entraremos en detalles.
10. Ataque de Rainbow Table
Los hackers usan una Rainbow Table para poder descifrar las contraseñas hash (mencionadas anteriormente) almacenadas en la base de datos. Esto les permite acceder al texto plano.
Si un sistema usa contraseñas para que los usuarios accedan, entonces también tiene que almacenar la contraseña de alguna manera para el proceso de autenticación.
Una rainbow table almacena todos los hashes unidireccionales de las contraseñas de texto plano, desde 1 carácter de longitud hasta 7 o tal vez 8 caracteres de longitud. Cuando un hacker roba un caché de hashes de contraseña simples, puede buscar el valor hash en la rainbow table para encontrar la contraseña en texto plano.
Nota: La caché es un componente que almacena datos y, por lo tanto, ayuda a que las páginas web se carguen más rápido. La información se almacena en la caché y solo se espera a que lleguen las solicitudes para reducir el tiempo de recálculo. Sin embargo, si los hackers pudieran acceder al caché de las páginas web, también podrían obtener la información almacenada en el caché.
11. Analizadores de red
Este ataque se basa en la interceptación de paquetes de datos que se envían a través de la red. Para que los hackers monitoreen e intercepten los paquetes de datos de la red, deben tener acceso físico o instalar malware que les abra una puerta. Una vez que tienen el acceso, pueden robar las contraseñas enviadas a través de los paquetes de datos.
12. Scraping
Las herramientas de scraping rastrean la web para encontrar todos los datos disponibles. Son herramientas que los hackers solo necesitan activar la acción para que comience a rastrear y verificar todos los datos disponibles en la web.
13. Sin conexión
Las contraseñas se almacenan en nuestros sistemas. Sin embargo, en primer lugar, los hackers necesitan obtener acceso con privilegios en nuestros sistemas para poder robar datos de archivos de contraseñas.
Conclusión
Las contraseñas son normalmente texto plano. Si se mantienen así en las bases de datos, es muy fácil para los hackers robarlas. Las contraseñas podrían fortalecerse mediante la aplicación de salting, peppering y hashing. Por lo tanto, este proceso incluso haría imposible el uso de la mayoría de las técnicas de descifrado de contraseñas mencionadas anteriormente.
La longitud de las contraseñas, lo complejas que son y cómo se almacenan son muy cruciales porque las contraseñas complejas y bien protegidas tardarían años en descifrarlas.
A continuación, puedes ver el tiempo aproximado necesario para descifrar una contraseña:
Como puedes ver, la complejidad y la longitud marcan una gran diferencia. Debemos recordar que nuestras contraseñas deben caer en el área verde de esta tabla.
Hay muchas técnicas que utilizan los hackers para descifrar las contraseñas. Nuestro trabajo debería ser hacer que este proceso sea muy difícil para que los atacantes incluso intenten descifrar nuestras contraseñas.
La generación de contraseñas largas y complejas es definitivamente difícil de recordar. Por tanto, los gestores de contraseñas son una gran herramienta para generar contraseñas complejas, almacenarlas de forma muy segura y recordarlas por nosotros.
Aunque da miedo ver cuán persistentes son los atacantes para obtener acceso a nuestras cuentas mediante el uso de varias técnicas, todavía hay formas en que podemos protegernos. Al menos deberíamos intentar fortalecer nuestras contraseñas para evitar ser un objetivo fácil.