Los ataques más comunes contra las contraseñas y cómo protegerte

Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación, servicio o sistema. También puede considerarse como credencial de acceso un certificado de usuario, o cualquier otra forma o método de autenticación cuya finalidad es poder disponer de acceso a un recurso, como una aplicación o una página web o servicio.

Las credenciales de acceso son empleadas a diario por todo tipo de perfil de usuario, tanto expertos en sistemas TIC como personas no habituadas a las nuevas tecnologías. Esto hace de ellas un blanco a atacar por parte de los ciberdelincuentes, que además requieren de estas credenciales para conseguir sus objetivos.

Los delitos dirigidos a conseguir credenciales de acceso crecen cada año, implementando nuevas técnicas y mecanismos para tratar de obtener estas.

Las credenciales de acceso son esenciales de cara a proteger la información de una organización y la personal, por lo que conviene tener claro qué ataques están enfocados a obtener estas y qué mecanismos y técnicas emplean.

Ataques más habituales a contraseñas

Uno de los ataques a contraseñas más habituales es el de fuerza bruta, consistiendo en adivinar la contraseña en base de la metodología ensayo y error. Este método comienza probando diferentes combinaciones con datos personales, recabados por otros medios o bien con datos aleatorios.

Este tipo de acciones se automatizan mediante herramientas que facilitan la tarea y búsqueda.

Los ataques de diccionario son otro tipo de ataque a contraseñas. Estos aprovechan la mala praxis de usar una palabra como contraseña. Al igual que en los ataques de fuerza bruta, se emplean herramientas que permiten automatizar el proceso de búsqueda.

Este ciberataque emplea diccionarios que son ficheros de texto que contienen palabras y caracteres que se emplean habitualmente como contraseñas. Existen múltiples diccionarios en internet, como por ejemplo el diccionario rockyou.txt, ampliamente usado.

Si el ciberataque es muy dirigido contra alguien concreto, también se suele recopilar información de la víctima, como por ejemplo fechas de nacimiento, nombres de familiares, mascotas o lugares en los que ha vivido, etc. Y se crea un diccionario a medida con esas y combinaciones similares, para realizar el ciberataque, aprovechando la mala praxis de emplear contraseñas basadas en datos personales o gustos.

¿Qué hacer para evitar que las contraseñas sean vulnerables a estos ataques?

Crear contraseñas robustas que cumplan las siguientes directrices:

• Al menos entre 10 y 12 caracteres, combinando los de distinto tipo (mayúsculas, minúsculas, números y símbolos);
• No se deben emplear:
  • Palabras sencillas en cualquier idioma (palabras de diccionarios);
  • Nombres propios, fechas, lugares o datos de carácter personal;
  • Palabras que estén formadas por caracteres próximos en el teclado;
  • Palabras excesivamente cortas.
• Evitar el uso de contraseñas formadas por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
• Crear contraseñas más fuertes y robustas, totalmente distintas a otras, para el acceso a servicios o aplicaciones críticas.

Errores más comunes en el uso de las contraseñas

La reutilización de contraseñas (“credential stuffing”) es una debilidad que facilita que un ataque de fuerza bruta o de diccionario pueda tener éxito.

La técnica de password spraying consiste en emplear un gran número de contraseñas robadas (de alguna brecha de seguridad) en un grupo de cuentas (por ejemplo, las de correo web de empleados de una empresa) para ver si puede obtener acceso donde se requiera.

Estas búsquedas se automatizan con herramientas que limitan los intentos de accesos para no poner en notificación a los sistemas de alerta del sitio que se desea vulnerar.

Estos son algunas acciones que pueden ayudar en la respuesta ante estos ataques o para tratar de que una contraseña no sea vulnerable a ellos:

• No reutilizar contraseñas en ningún caso, especialmente aquellas que se empleen para accesos a sistemas críticos.
• Habilitar el MFA (múltiple factor de autenticación) o el 2FA (doble factor de autenticación) siempre que el sistema al que se accede lo permita.
• Considerar acceder mediante factores distintos al propio “usuario/contraseña”, tales como:
  • Sistemas biométricos como la huella dactilar, iris, etc.  
  • Tokens criptográficos, por software o hardware
  • Tarjetas de coordenadas
  • Accesos por OTP (One time Password)
• Evitar usar la cuenta y correo corporativos para registrarse en servicios que no sean corporativos.

Ingeniería social

Los ataques de ingeniería social enfocados a la obtención de contraseña emplean diversas técnicas de manipulación con el fin de obtener información que ayude a obtenerlas y en algunos casos, obtener directamente las credenciales.

Phishing, smishing, vishing y warshipping

Estos tipos de ciberataques aprovechan la desinformación y la ingenuidad humana principalmente. Se hacen pasar, por diversos mecanismos y medios, por un gestor o agente de confianza (banco, correos, hacienda, etc.), de cara a solicitar las credenciales de la víctima.

Para ello, emplean distintos vectores de entrada tales como emails, SMS, llamadas o dispositivos.

• Phishing: Técnica que consiste en el envío de un correo electrónico con un asunto urgente o llamativo (asuntos bancarios, agencia tributaria, Correos, etc.). En ese mensaje se añade un enlace o botón que conduce a un sitio web diseñado que suplantan con gran parecido a la web legítima de la entidad que dicen ser y solicitan que se ingrese las credenciales para iniciar sesión. Estos sitios web falsos registrarán las credenciales introducidas pasando así a manos de los atacantes y redirigirán a la victima a la página original de la empresa u organismo suplantado. Existen múltiples variantes del phishing como son el spear-phishing y whaling.  
• Smishing: Técnica que consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima —red social, banco, institución pública, etc. con el mismo propósito que en el caso del phishing.
• Vishing: Llamada telefónica que emplea técnicas de suplantación de identidad y llevando a cabo técnicas de ingeniería social y similar, busca obtener las credenciales del usuario, tal y como sucede en el phishing y smishing.
• Warshipping: Regalo tecnológico (habitualmente dispositivo USB o similar) infectado con malware que, al conectarse a nuestros sistemas y elementos, empleará distintos mecanismos para obtener las credenciales y otros datos y enviarlos al ciberdelincuente. También es viable incluir en este tipo los cebos, donde se regala un elemento USB infectado en conferencias, convenciones, o bien a través de sitios webs con ventanas emergentes, anunciado premios.

Shoulder surfing

Esta técnica consiste en espiar a la víctima en el momento que teclea sus credenciales, bien sea porque está en un entorno público o inseguro o por la destreza del ciberdelincuente de cara a poder percibir las credenciales que teclea.

En algunos casos, se ganan la confianza del usuario suplantando la identidad de personal técnico o de confianza, haciendo que la víctima se relaje e introduzca las credenciales sin ningún miedo.

Por ello, es conveniente ser consciente del entorno en el que se está, estando atento a cualquier actividad sospecha que pueda suceder alrededor.

Ataque de dumpster diving

Esta técnica tiene por objetivo obtener información buscándola en la basura de la víctima. Se suele buscar notas, cuadernos, anotaciones, que den lugar a ver el tipo de credenciales que se usan o alguna credencial anotada en alguna nota o cuaderno.

Se recomiendan las siguientes pautas de cara a protegerse contra los ataques de ingeniería social enfocados a la obtención de credenciales:

• Usar el sentido común y ser precavidos en todo momento.
• Asistir a sesiones de formación y concienciación en seguridad digital. La primera línea de defensa es el usuario final.
• Evitar pulsar en enlaces que lleguen a través de SMS o correos. Los bancos por ejemplo no envían SMS del tipo que se usan en estos ataques. Si se desea acceder a estos servicios y webs, hacerlo por los canales y vías oficiales que ofrecen.
• Emplear accesos e inicios de sesión mediante biometría como por ejemplo el reconocimiento facial, huella dactilar, etc.
• Habilitar 2FA o MFA en todos los accesos que sea posible.
• Desconfiar de los regalos de desconocidos y chequearlos previamente con software de seguridad, bajo entornos seguros.
• Desconfiar de cualquier llamada telefónica que solicite credenciales de acceso.

Otros ataques contra las credenciales

Otros ciberataques contra las credenciales emplean software malicioso como son los keylogger. Un keylogger es un programa que permite extraer todo aquello que se teclee en el equipo infectado con este software malicioso. Los ciberdelincuentes los usan previamente infectando al equipo de la víctima mediante USB, por correo electrónico o cualquier vector de ataque conocido.

Otro ciberataque que puede estar dirigido a la obtención de credenciales es el Man in the Middle (Hombre en el medio). Para ello, se intercepta la comunicación entre dos o más interlocutores, suplantando la identidad de uno u otro según interese, con el fin de ver y obtener información y modificarla a su antojo.

Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.