Evite el robo cibernético de contraseñas

Las contraseñas son las llaves virtuales del mundo digital, y permiten el acceso a un mundo de información y servicios. De acuerdo con información de ESET, compañía de seguridad informática, una persona promedio tiene 100 credenciales de inicio de sesión para recordar, y este número ha ido en aumento en los últimos años, dado el importante papel que desempeña de la tecnología y el internet en el día a día.

Los ciberdelincuentes buscan robar información de identidad personal y venderla a otros delincuentes en foros para el acceso a las cuentas. Por su parte, los compradores de esta información podrían utilizar el acceso para obtener desde traslados en taxi gratuitos y streaming de video, hasta viajes con descuento desde cuentas con millas aéreas comprometidas.

ESET proporciona una guía con 5 conductas comunes usadas por los ciberdelincuentes para el robo de contraseñas para que esté preparado, las tenga presentes y evite caer en estas trampas:

1. Phishing e ingeniería social: la ingeniería social es un truco psicológico diseñado para convencer a alguien de hacer algo que no debería, y el phishing es la forma de ingeniería social más conocida. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas, etc. El correo electrónico o texto que se reciba se verá auténtico, pero incluirá un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará malware o llevará a una página que solicitará que ingreses datos personales. Afortunadamente, hay muchas maneras de detectar las señales de advertencia de un ataque de phishing.

Los estafadores también utilizan llamadas telefónicas para obtener información personal y lo hacen fingiendo ser ingenieros de soporte técnico, esta técnica es conocida como vishing (phishing basado en voz).

2. Malware: existen múltiples variedades de malware que roban información, pero los más comunes están diseñados para registrar las pulsaciones de teclas o tomar capturas de pantalla de un dispositivo y enviarlas a los atacantes. Este mecanismo puede funcionar a través de los correos electrónicos de phishing, al hacer clic en un anuncio publicitario (publicidad maliciosa o malvertising) o incluso al visitar un sitio web previamente comprometido (drive-by-download).

3. Ataques de fuerza bruta: debido a la gran cantidad de contraseñas solicitadas en diferentes sitios web, la mayoría de las personas opta por usar contraseñas fáciles de recordar (y de adivinar), e incluso usa la misma contraseña para varios sitios y servicios y este tipo de contraseñas débiles permiten que las técnicas de fuerza bruta revelen la información.

Uno de los tipos de fuerza bruta más comunes es el credential stuffing, en el que los atacantes vuelcan grandes volúmenes de combinaciones de nombre de usuario/contraseñas previamente comprometidas en un software automatizado y esta herramienta prueba las credenciales en un gran número de sitios con la esperanza de encontrar una coincidencia para lograr desbloquear varias cuentas con una sola contraseña. Otra técnica de fuerza bruta es el password spraying, donde los criminales utilizan un software automatizado para probar una lista de contraseñas de uso común contra una cuenta.

4. Por deducción: aunque los cibercriminales cuentan con herramientas automatizadas para realizar los ataques de fuerza bruta y descubrir contraseñas, a veces no las necesitan y tan solo con conjeturas simples pueden descubrir la información de acceso. De acuerdo con ESET, la contraseña más común de 2021 fue “123456”, seguida de “123456789”.

5. Mirar por encima del hombro (Shoulder surfing): las técnicas para escuchar de manera oculta también representan un riesgo, una versión más de alta tecnología conocida como un ataque “man-in-the-middle” (hombre en el medio) involucra escuchas de Wi-Fi y puede permitir a los criminales informáticos dentro de conexiones Wi-Fi públicas espiar la contraseña mientras se la ingresa si está conectado a la misma red.