Cada año, el primer jueves del mes de mayo se celebra el Día Mundial de las Contraseñas. Este año, una vez más, queremos recordarte su importancia a la hora de proteger la información de la organización y ayudarte en esta tarea enseñándote a identificar los principales ataques que existen para sustraer contraseñas y cómo puedes evitarlos.
Ataque de fuerza bruta
Un ataque de fuerza bruta a las contraseñas es en esencia un método en el que el ciberdelincuente prueba a entrar en un sistema muchas veces con diferentes combinaciones de caracteres (alfabéticos, numéricos y especiales) utilizando un software específico, esperando que ocurra alguna coincidencia con nuestra contraseña. Los ciberdelincuentes se valen de la mala práctica común de utilizar la misma contraseña en distintos servicios. Además, en ocasiones estas contraseñas “reutilizadas” pueden estar ya comprometidas, ser muy comunes o venir por defecto en los sistemas o aplicaciones, por ejemplo las del tipo 12345 o “admin”.
Dentro de los ataques de fuerza bruta, podemos distinguir las siguientes variantes:
Ataque de diccionario
Estos ciberataques aprovechan la mala práctica de utilizar una sola palabra como contraseña. Normalmente el ciberdelincuente utiliza un software que le permite introducir contraseñas de manera automática y así puede probar todas las palabras de un diccionario como posibles contraseñas. Si existiera alguna coincidencia ya habría conseguido el acceso a la cuenta en cuestión.
En una variante más avanzada, el ciberatacante recopila información sobre el usuario, como fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido y prueba estas palabras como contraseñas, ya que también se trata de una mala práctica muy extendida, el uso de este tipo de claves que nos resultan fáciles de recordar.
Evita el ataque de diccionario creando contraseñas robustas que cumplan las siguientes directrices:
Relleno de credenciales (credential stuffing / credential reuse):
El relleno de credenciales es un ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online. Se aprovechan también de la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales y servicios online) en aplicaciones del entorno corporativo como el correo.
Evita el ataque de relleno de credenciales:
Habilitando la autenticación de dos factores en tus cuentas online cuando sea posible. Considera además del uso de la contraseña otros factores como:
Ataque de pulverización de contraseñas (password spraying)
Se produce cuando un ciberdelincuente utiliza un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo las de correo web de empleados de una empresa) para ver si puede obtener acceso. Además, se vale de programas que pueden limitar el número de intentos de acceso a una cuenta para no hacer saltar las alertas y así no ser detectados.
Evita el ataque de pulverización de contraseñas:
Ingeniería social
La ingeniería social es una manipulación para obtener información confidencial que se utiliza de forma complementaria al uso de la tecnología para obtener credenciales de acceso. Existen varias técnicas.
Phishing, smishing, vishing y warshipping
Estos ciberataques aprovechan la falta de información e ingenuidad humanas para que les entreguemos nuestras credenciales. Se inician por un email o un SMS, una llamada o mediante dispositivos.
Un correo electrónico que llama tu atención sobre algún tipo de asunto urgente procedente de una entidad de tu confianza como un banco, un ministerio o un proveedor de servicios TIC. Estos mensajes suelen contener un enlace a un sitio web diseñado de forma que suplantan, en ocasiones con un gran parecido, a la web legítima de esa entidad y en el cual te pedirán las credenciales para iniciar sesión (phishing). Estos sitios web falsos registrarán las credenciales introducidas pasando así a manos de los atacantes.
Un SMS (smishing), técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. con el mismo propósito que el anterior.
Una llamada (vishing), empleando técnicas similares a las anteriores.
Un regalo tecnológico infectado (warshipping) que se conectará a nuestra red y robará nuestras credenciales y otros datos.
Mirar por encima del hombro (shoulder surfing)
Ser consciente del entorno que te rodea es tan importante como estar atento a cualquier actividad sospechosa en línea. El shoulder surfing es una técnica de ingeniería social en la que los ciberdelincuentes consiguen las contraseñas espiando a la gente que utiliza sus dispositivos en público mientras escriben. Estos se valen de que, por normal general, no somos desconfiados y no nos preocupamos de si alguien puede estar observando mientras introducimos las contraseñas en nuestros dispositivos.
Evita los ataques de ingeniería social:
Ataque de keylogger
Un keylogger es un software espía que se utiliza para rastrear y registrar lo que se escribe por teclado. Los ciberdelincuentes se aprovechan de este software infectando intencionadamente los dispositivos vulnerables y grabando información privada sin el conocimiento del usuario sustrayendo así contraseñas, entre otra información. También puede venir en dispositivos extraíbles, como pendrives.
Evita los ataques de keylogger:
Ataque de Hombre en el medio (Man-in-the-middle)
En el ataque Man in the middle el ciberdelincuente intercepta la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según le interese, para ver la información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas por el ciberdelincuente o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.
Interceptación del tráfico (Traffic interception)
La interceptación del tráfico es un tipo de ataque Man-in-the-middle. En este caso el ciberdelincuente espía la actividad de la red para capturar contraseñas y otro tipo de información sensible. Tienen varias formas de llevar a cabo este ataque, por ejemplo, interceptado conexiones wifi no seguras o utilizando una táctica llamada secuestro de sesión, que consiste en interceptar una conexión entre un objetivo (un empleado por ejemplo) el sitio al que se conecta (un servicio en la nube o una aplicación de intranet) y registrar cualquier información compartida entre ambos.
Evita los ataques de Man-in-the-middle:
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Fuente: incibe.es
La sucursal en Colombia de una reconocida multinacional del sector automotor tendrá que pagar una multa conjunta de 400 millones de pesos (cerca de USD 105.000 dólares) por presuntos incumplimientos ...
A menudo hablamos de la huella de carbono de las empresas y lo importante que es el cálculo y la reducción de emisiones a nivel corporativo, pero ¿qué hay de la huella hídrica? ...
Si bien se trata de uno de los temas ambientales más urgentes, la gestión del impacto negativo del plástico en los ecosistemas pierde fuerza en la agenda global. Las metas de ...
Es fácil tener sentimientos encontrados acerca del carbono. ¿Es bueno o malo? Por un lado, es la base de la vida en la Tierra. Por otro, está vinculado al cambio climático. ...
ISO 9001, describe los requisitos, guías y recomendaciones para el establecimiento de un sistema de gestión de la calidad en cualquier tipo de organización orientado hacia el cumplimiento ...
FSSC 22000 ha tenido un impacto en la Seguridad Alimentaria Mundial durante más de 12 años. El Esquema proporciona un modelo de certificación que se puede utilizar en toda la cadena ...