Cada año, el primer jueves del mes de mayo se celebra el Día Mundial de las Contraseñas. Este año, una vez más, queremos recordarte su importancia a la hora de proteger la información de la organización y ayudarte en esta tarea enseñándote a identificar los principales ataques que existen para sustraer contraseñas y cómo puedes evitarlos.
Ataque de fuerza bruta
Un ataque de fuerza bruta a las contraseñas es en esencia un método en el que el ciberdelincuente prueba a entrar en un sistema muchas veces con diferentes combinaciones de caracteres (alfabéticos, numéricos y especiales) utilizando un software específico, esperando que ocurra alguna coincidencia con nuestra contraseña. Los ciberdelincuentes se valen de la mala práctica común de utilizar la misma contraseña en distintos servicios. Además, en ocasiones estas contraseñas “reutilizadas” pueden estar ya comprometidas, ser muy comunes o venir por defecto en los sistemas o aplicaciones, por ejemplo las del tipo "12345" o “admin”.
Dentro de los ataques de fuerza bruta, podemos distinguir las siguientes variantes:
Ataque de diccionario
Estos ciberataques aprovechan la mala práctica de utilizar una sola palabra como contraseña. Normalmente el ciberdelincuente utiliza un software que le permite introducir contraseñas de manera automática y así puede probar todas las palabras de un diccionario como posibles contraseñas. Si existiera alguna coincidencia ya habría conseguido el acceso a la cuenta en cuestión.
En una variante más avanzada, el ciberatacante recopila información sobre el usuario, como fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido y prueba estas palabras como contraseñas, ya que también se trata de una mala práctica muy extendida, el uso de este tipo de claves que nos resultan fáciles de recordar.
Evita el ataque de diccionario creando contraseñas robustas que cumplan las siguientes directrices:
Relleno de credenciales (credential stuffing / credential reuse):
El relleno de credenciales es un ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online. Se aprovechan también de la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales y servicios online) en aplicaciones del entorno corporativo como el correo.
Evita el ataque de relleno de credenciales:
Ataque de pulverización de contraseñas (password spraying)
Se produce cuando un ciberdelincuente utiliza un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo las de correo web de empleados de una empresa) para ver si puede obtener acceso. Además, se vale de programas que pueden limitar el número de intentos de acceso a una cuenta para no hacer saltar las alertas y así no ser detectados.
Evita el ataque de pulverización de contraseñas:
Utilizando herramientas que garanticen la seguridad de tus contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
Ingeniería social
La ingeniería social es una manipulación para obtener información confidencial que se utiliza de forma complementaria al uso de la tecnología para obtener credenciales de acceso. Existen varias técnicas.
Phishing, smishing, vishing y warshipping
Estos ciberataques aprovechan la falta de información e ingenuidad humanas para que les entreguemos nuestras credenciales. Se inician por un email o un SMS, una llamada o mediante dispositivos.
Mirar por encima del hombro (shoulder surfing)
Ser consciente del entorno que te rodea es tan importante como estar atento a cualquier actividad sospechosa en línea. El shoulder surfing es una técnica de ingeniería social en la que los ciberdelincuentes consiguen las contraseñas espiando a la gente que utiliza sus dispositivos en público mientras escriben. Estos se valen de que, por normal general, no somos desconfiados y no nos preocupamos de si alguien puede estar observando mientras introducimos las contraseñas en nuestros dispositivos.
Evita los ataques de ingeniería social:
Ataque de keylogger
Un keylogger es un software espía que se utiliza para rastrear y registrar lo que se escribe por teclado. Los ciberdelincuentes se aprovechan de este software infectando intencionadamente los dispositivos vulnerables y grabando información privada sin el conocimiento del usuario sustrayendo así contraseñas, entre otra información. También puede venir en dispositivos extraíbles, como pendrives.
Evita los ataques de keylogger:
Ataque de Hombre en el medio (Man-in-the-middle)
En el ataque Man in the middle el ciberdelincuente intercepta la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según le interese, para ver la información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas por el ciberdelincuente o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.
Interceptación del tráfico (Traffic interception)
La interceptación del tráfico es un tipo de ataque Man-in-the-middle. En este caso el ciberdelincuente espía la actividad de la red para capturar contraseñas y otro tipo de información sensible. Tienen varias formas de llevar a cabo este ataque, por ejemplo, interceptado conexiones wifi no seguras o utilizando una táctica llamada secuestro de sesión, que consiste en interceptar una conexión entre un objetivo (un empleado por ejemplo) el sitio al que se conecta (un servicio en la nube o una aplicación de intranet) y registrar cualquier información compartida entre ambos.
Evita los ataques de Man-in-the-middle:
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Fuente: incibe.es
En Intedya, líderes en la implementación y el impulso de prácticas empresariales de Calidad y Excelencia, nos encanta continuar explorando las innumerables ventajas que la certificación ISO 9001 aporta ...
La norma europea establece el deber de la empresa de corregir y reparar los efectos adversos en el medio ambiente y en los derechos humanos resultantes de sus operaciones. El Comité de Representantes ...
El reglamento DORA (Digital Operational Resilience Act) es una regulación de la Unión Europea que tiene como objetivo mejorar la resiliencia operativa y la ciberseguridad en el sector financiero, específicamente ...
La UE intensifica su compromiso con la ciberseguridad con la directiva NIS 2, que eleva el listón en la protección de activos digitales y coloca a los directivos en el centro de la estrategia de resiliencia. ...
La sucursal en Colombia de una reconocida multinacional del sector automotor tendrá que pagar una multa conjunta de 400 millones de pesos (cerca de USD 105.000 dólares) por presuntos incumplimientos ...