Cada vez son más las personas que sufren el robo de contraseñas de sus redes sociales, cuentas bancarias, correo electrónico, etc. Obtener este tipo de información les permite a los ciberdelincuentes acceder a tu información personal y a cometer actos delictivos, así como a suplantarte la identidad o robarte dinero.

A lo largo de este post te explicaremos las técnicas más utilizadas y cómo puedes protegerte de ellas.

 

¿Qué es una contraseña y para qué se usa?

 

La contraseña es una cadena de caracteres que autentica a una persona. Es única, personal y, en teoría, intransferible.

Los usos más comunes de la contraseña son:

  • Inicio de sesión
  • Desbloqueo de dispositivos
  • Acceso a sitio web
  • Correo electrónico

Técnicas de hackeo de contraseñas

 

 

Ataque de diccionario

En inglés, dictionary attack. Los ciberdelincuentes prueban con palabras y frases comunes, como las de un diccionario, hasta que consiguen adivinar la contraseña. Es una de las técnicas más eficaces, ya que todavía hay muchas personas que utilizan contraseñas fáciles y, además, en varias cuentas. Es una de las más utilizadas debido a los pocos recursos que utiliza a la hora de ejecutarse.

 

Ataque de fuerza bruta

Este método es utilizado tanto para averiguar una contraseña como un nombre de usuario, así como para buscar una web oculta o descifra el código que cifra un mensaje. Utiliza la técnica de prueba-error. Prueba diferentes contraseñas hasta que da con la combinación adecuada. Este tipo de ataque es muy antiguo, pero sigue siendo uno de los más empleados por los ciberdelincuentes.

Con este método debemos tener en cuenta la complejidad y la longitud de la contraseña, se puede tardar en descifrarla desde segundos hasta varios años.

Esta técnica se diferencia del ataque de diccionario porque este último tiene ya una lista predefinida con las contraseñas más utilizadas.

 

Ataque híbrido

Este ataque consiste en la combinación de los dos anteriores. El método de actuación de éste es aplicar un ataque de fuerza bruta en la lista de diccionarios.

 

Ataque de sílaba

Este método se utiliza cuando la contraseña no es una palabra existente.

 

Basado en reglas

Este tipo de ataque se utiliza cuando el hacker ya tiene información de dicha contraseña, como, por ejemplo, que contiene un número de dos dígitos, cuatro mayúsculas, etc.

 

Relleno de credenciales

Consiste en “ir probando” las contraseñas y usuarios obtenidos de una base de datos robada con anterioridad. El robo de bases de datos está a la orden del día.

El beneficio que obtiene el hacker con este ataque es que muchos usuarios repiten los mismos datos de acceso en muchas plataformas, por lo que, si descubren las credenciales, y tienes las mismas en diferentes sitios, podrán acceder a varios sitios, no solo a aquel al que pertenece la base de datos robada.

Este proceso está automatizado y la técnica que utiliza es de fuerza bruta.

 

Keylogger (registradores de teclas)

Son programas informáticos que detectan y guardan las pulsaciones que el usuario realiza sobre el teclado. Este tipo de ataque es dirigido a una víctima en concreto.

 

Una contraseña para que sea segura debe contener:

 

  • Una longitud mínima de 8 caracteres, cuanta más larga sea, mejor
  • Combinar mayúsculas, minúsculas y caracteres especiales (#$%&?=)

 

Contraseñas más utilizadas en 2021

 

Debemos tener en cuenta que las 4 contraseñas menos seguras utilizadas por millones de usuarios en lo que llevamos de año son:

  • 123456: 23,2 millones
  • 123456789: 7,7 millones
  • password: 3,6 millones
  • 1111111: 3,1 millones

Consejos para crear y proteger una contraseña

 

  • Que sea fácil de recordar
  • Evitar contraseñas deducibles, como fechas de cumpleaños, matrícula de coche, nombres, mascotas…
  • Cambiarla periódicamente, como mínimo una vez al año
  • No utilizar palabras del diccionario
  • No uses la misma contraseña para diferentes sitios
  • Autenticación en dos pasos
  • Revisar periódicamente las sesiones que tenemos abiertas en diferentes dispositivos y su ubicación. Esto es aplicable a las RRSS, cuentas bancarias, correo electrónico, etc.
  • Utilizar un gestor de contraseñas
  • No escribir las contraseñas en un papel o libreta
  • No dejarlas a la vista de nadie

 

Conclusión

 

La correcta elección de las contraseñas tan solo es una mínima parte de lo que realmente abarca el concepto de ciberseguridad. Cada vez son más las empresas que quieren proporcionar una adecuada ciberseguridad entre sus trabajadores, a través de medidas técnicas de seguridad, y creando una cultura de ciberseguridad fomentada por la formación. En el Instituto Superior de Ciberseguridad puedes encontrar cursos online en materias muy variadas. Si lo que estás buscando es proporcionar los conocimientos en ciberseguridad necesarios a tus trabajadores, te recomendamos que te informes sobre nuestro curso online de Ciberseguridad Laboral y Personal. Y si necesitas más información, puedes contactar con nosotros sin ningún compromiso.