Los 6 ataques más comunes que afectan a las contraseñas

Las contraseñas son, a los servicios online, lo que la llave que abre una puerta a la seguridad del hogar. Y, aunque durante los últimos años se ha estado investigando mucho en esta área para reforzar la protección, con implementaciones como la identificación biométrica, lo cierto es que el tradicional sistema de contraseñas sigue siendo el más utilizado por los usuarios para conectarse a sus cuentas.

A menudo se les aconseja elegir combinaciones de letras, números y símbolos difíciles de adivinar, no repetir credenciales en distintos servicios o apuntarse a la verificación en dos pasos. Pero, ¿cuáles son los métodos de ciberdelincuencia que utilizan los atacantes para seguir haciendo de las suyas y robar información que no les pertenece?

Coincidiendo con la celebración del Día Mundial de las Contraseñas, que se celebra cada primer jueves del mes de mayo, Entelgy Innotec Security ha desvelado cuáles son las 6 técnicas más recurrentes, vinculadas además a errores frecuentes de los propios usuarios. La primera de esas tácticas es la “fuerza bruta”, que se sirve de programas que van probando contraseñas al azar hasta dar en el clavo. Primero usan opciones típicas, como podrían ser 12345 o qwertyuiop, por ejemplo, y luego pueden buscar pistas en los perfiles de redes sociales, que no siempre están correctamente blindados.

En segundo lugar está el “ataque de diccionario”, donde un programa prueba palabras previamente definidas, aprovechando también combinaciones comunes.

El “ataque keylogger” requiere de la colaboración de la víctima, que instala el malware al pinchar en un enlace o descargar un archivo que no debía. El keylogger trabaja con las pulsaciones del teclado, lo que le permite descubrir las contraseñas en cuanto se escriben.

Otra opción para los ciberdelincuentes es el “phishing”. Esto supone suplantar la identidad de una compañía conocida para engañar al usuario y provocar la revelación de su contraseña. ¿Cómo? Mediante un formulario de acceso fraudulento al que se llega por un enlace de email, mensajería instantánea o plataforma social.

Vinculado a esto último está la “ingeniería social” y prácticas como shoulder surfing o el espionaje físico. Aquí entra desde observar a alguien cuando escribe una contraseña, aprovecharse de que algunas personas escriben sus credenciales en un papel que luego dejan cerca de su equipo o con llamadas, otra vez más con suplantación de identidad y pidiendo directamente y de viva voz la contraseña.

Por último, Entelgy Innotec Security habla de “spidering” o el uso de una araña de búsqueda para dar con la contraseña correcta. Esto funciona cuando se crean contraseñas relacionadas con la vida personal o laboral, con organizaciones que tienen mucha información online y para las contraseñas del wifi.