🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Por qué los ciberdelincuentes aman las cuentas de usuario y cómo las hackean

Las cuentas de usuario siguen siendo el objetivo número uno de los ciberdelincuentes. Es por eso que son tan codiciadas y por eso los hackers vulneran cuentas de usuarios todos los días.

Cuando pensamos en ciberataques, a menudo pensamos en escenas que se parecen a las de las películas de Hollywood. Ciberdelincuentes, encorvados sobre un teclado, escribiendo furiosamente y buscando vulnerabilidades en un software expuesto a Internet.

Los proveedores de seguridad aprovechan esta percepción en sus esfuerzos de marketing. Todavía me parece sorprendente la cantidad de ventas de miedo que tienen empresas como Tenable, Rapid7 y Qualys, por nombrar algunas. Por supuesto, están vendiendo software diseñado para detectar vulnerabilidades conocidas en otras piezas de software. Por ello explotan la percepción común de que el cielo se está cayendo y que los hackers están a segundos de comprometer tus sistemas informáticos.

En realidad, la mayor parte del ciberdelito que se comete hoy se realiza a través de cuentas de usuario legítimas. Cuentas de usuarios reales pertenecientes a personas reales que han sido tomadas por hackers con intención delictiva. ¿Por qué es este el caso?

Hackear personas es fácil. Hackear software es difícil

Las personas son vulnerables por naturaleza. La naturaleza humana nos hace susceptibles a ser hackeados de muchas formas.

Cuando usamos software y sistemas informáticos, generalmente iniciamos sesión con un nombre de usuario y una contraseña única que nos identifican. Estas credenciales demuestran que somos quienes decimos ser (autenticación) y confirma que se nos permite hacer lo que estamos pidiendo (autorización). 

Cuando un hacker inicia sesión con nuestra cuenta de usuario, obtiene acceso instantáneamente para hacer todas las cosas que se nos permite hacer.

El software, por otro lado, puede ser muy difícil de manipular. Incluso una vez que hayas encontrado una vulnerabilidad y hayas creado un exploit para obtener acceso a algo que no deberías. Aún necesitas encontrar una manera de hacer que haga lo que quieres. Este es un proceso costoso y que requiere mucho tiempo. La pregunta que los hackers se hacen todo el tiempo es “¿por qué desperdiciaría todo ese esfuerzo hackeando un sistema informático cuando podría iniciar sesión como un usuario legítimo?”

Es por eso que las cuentas de usuario son un objetivo tan importante. La cuenta correcta en las manos equivocadas puede mover millones de dólares entre bancos en pocos minutos. Intentar hacer lo mismo con un exploit de software puede llevar meses o incluso años y no siempre es posible.

Tres formas en que los hackers roban tus cuentas de usuario

1. Adivinar tu contraseña

La primera forma que tienen los ciberdelincuentes de entrar en una o más de tus cuentas de usuario es simplemente adivinar tu contraseña.

Las 10 principales contraseñas para 2019, basadas en infracciones de contraseñas conocidas públicamente, fueron:

  1. 123456
  2. 123456789
  3. QWERTY
  4. password
  5. 1234567
  6. 12345678
  7. 12345
  8. iloveyou
  9. 111111
  10. 123123

Sobre la base de estas contraseñas, es razonable suponer que la mayoría de ellas se han creado en dispositivos móviles. Las 10 principales contraseñas han cambiado durante la última década de palabras comunes a patrones numéricos comunes. Esto a medida que la ubicuidad de los teléfonos inteligentes ha aumentado constantemente.

¿Utilizas alguna de estas contraseñas para alguna de tus cuentas? ¿Tienes algo similar?

Para cualquiera que no use una de las contraseñas más comúnmente utilizadas, con un poco de investigación sobre un individuo, es fácil adivinar otros formatos de contraseña que la gente usa. Las combinaciones de diferentes elementos constituyen la gran mayoría de las contraseñas que se utilizan actualmente. Estos elementos son: nombres de socios, niños, mascotas, equipos de fútbol, ​​ciudades, países, fechas de nacimiento, estaciones, años y colores.

Cuando descifras contraseñas (puedes descargarlas de internet) y las analizas puedes tener una mejor comprensión de cómo la gente piensa sobre la creación de contraseñas. Con una lista de palabras muy buena, ni siquiera necesitas encontrar una página de Facebook para adivinar las contraseñas de la mayoría de las personas.

En HackWise hemos desarrollado la herramienta Buscador de Leaks, la cual permite a los usuarios con membresía Wiser Elite buscar dentro de múltiples Data Breaches para conocer si su correo y contraseñas han sido filtradas en algún Hackeo.

2. Encontrar tu contraseña en la infracción de datos de otra persona

Como mencioné en el punto anterior, puedes encontrar listas disponibles públicamente de millones de nombres de usuario y contraseñas en Internet para que puedas descargar. Todos los días, se hackean sitios web adicionales y se filtran nuevas combinaciones de nombres de usuario y contraseña a los compradores en el mercado negro.

Así como tu navegador web ofrece recordar y completar tus contraseñas por ti, existen extensiones de navegador para completar contraseñas. Los ciberdelincuentes las pueden usar para facilitarles la vida cuando aprovechan tus contraseñas robadas.

3. Pedirte tu contraseña (¡y tú dársela a ellos!)

El phishing es un ataque en el que los ciberdelincuentes te envían un correo electrónico o mensaje de texto SMS haciéndose pasar por otra persona. Por lo general, una empresa, organización, amigo o alguna figura de autoridad que te convencería de hacer lo que dice. El mensaje contendrá un enlace a un sitio web que te pedirá que inicies sesión o podría incluir un archivo adjunto. 

El archivo adjunto te llevará a un sitio web y nuevamente te pedirá que inicies sesión. Este también puede ejecutar algo dañino en tu dispositivo que podría permitirte robar tus datos personales, incluidas las contraseñas.

Enlazarte a un formulario de inicio de sesión es lo más común. Es sorprendente cuántas personas todavía caen en los correos electrónicos de phishing. Empero, los correos electrónicos de phishing a menudo están bien escritos y diseñados específicamente para invocar una respuesta emocional en el lector. Las emociones dominan la lógica y la razón. La gente hace cosas extrañas en pánico.

¿Qué podemos hacer para luchar?

Aquí hay algunas cosas que podemos hacer para defendernos contra el robo de contraseñas.

Utiliza la autenticación multifactor

La autenticación multifactor, o MFA para abreviar, es el uso de algo además de tu contraseña para demostrar que eres quien dices ser. Para tener varios factores, debes utilizar una combinación de dos o más de los siguientes:

  • Algo que sabes (tu contraseña)
  • Algo que tienes (tu smartphone)
  • Algo que eres (tu huella digital)

Las aplicaciones para teléfonos inteligentes o los mensajes de texto SMS son la forma más utilizada del segundo factor. Si bien es posible evadir los inicios de sesión protegidos por MFA que usan mensajes SMS, requiere mucho más esfuerzo e implica comunicarse con tu proveedor de telefonía móvil y convencerlos de que has perdido tu teléfono. Sin un segundo factor de autenticación, tan pronto como alguien tenga tu contraseña, estará dentro y tu cuenta habrá sido hackeada.

Utilizar contraseñas seguras

Cuanto más fuerte sea tu contraseña, más difícil será adivinarla. Google recomienda:

“Las contraseñas largas son más seguras, así que haz que tu contraseña tenga al menos 8 caracteres”. Estos consejos pueden ayudarte a crear contraseñas más largas que sean más fáciles de recordar. Trata de usar:

  • Una letra de una canción o un poema
  • Una cita significativa de una película o un discurso.
  • Un pasaje de un libro
  • Una serie de palabras que son significativas para ti.
  • Una abreviatura: crea una contraseña a partir de la primera letra de cada palabra en una oración “

Usar diferentes contraseñas en cada sitio web

Como se muestra en las listas de credenciales públicas en internet, tan pronto como un sitio web es hackeado, los ciberdelincuentes irán por más.  Cualquier otra cuenta en otros sitios web que uses con el mismo nombre de usuario y contraseña es vulnerable. Los hackers intentarán acceder a cuantos sitios sea posible con las credenciales obtenidas.

Todos lo hemos hecho en el pasado, incluido yo. Elegimos un puñado de contraseñas memorables y las usamos en una variedad de sitios. Si alguna vez olvidas cuál has usado, siempre puedes probarlas todas hasta que entres. Al final, funciona. Esto es lo que también hacen los hackers.

Utiliza una contraseña diferente en cada sitio web. De esa manera, si alguna vez se filtra tu contraseña, no se podrá utilizar en ningún otro sitio web. Como beneficio adicional, si sabes en qué sitio se utilizó una contraseña, sabrás qué sitios han sido hackeados cuando tus contraseñas se hagan públicas.

Utilizar un administrador de contraseñas

Seamos realistas … Tener una contraseña separada para cada cuenta es inmanejable para la mayoría de nosotros. No podemos recordar tantas combinaciones de contraseñas únicas. En su lugar, debes utilizar un administrador de contraseñas para almacenar contraseñas únicas y seguras para todas tus cuentas.

Los navegadores web modernos tienen administradores de contraseñas integrados. Empresas como 1Password, LastPass y Dashlane ofrecen alternativas gratuitas o de pago. Hay muchas opciones y eres libre de elegir la que prefieras. Pero por favor, utiliza una y solo necesitarás recordar una contraseña muy, muy segura para mantener todas tus cuentas seguras.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información