4 cosas que hacen los ciberdelincuentes para robar tus contraseñas
|MADRID.- La contraseña es, a menudo, lo único que se interpone entre un ciberdelincuente y tus datos personales y financieros, por ello se han convertido en uno de los principales objetivos de las prácticas criminales.
La compañía de ciberseguridad ESET ha recopilado cuáles son las cuatro técnicas más extendidas que utilizan los cibercriminales para hacerse con las contraseñas de acceso de las personas a sus cuentas.
PHISHING E INGENIERÍA SOCIAL
La técnica de ataque más utilizada aprovecha la tendencia del ser humano a tomar decisiones equivocadas, en especial cuando deciden de forma apresurada. Los ciberdelincuentes se aprovechan de estas debilidades mediante la ingeniería social, un truco de estafa psicológica diseñado para lograr que las personas hagan algo que no deberían.
El phishing es uno de los ejemplos más famosos. En este caso, los delincuentes se hacen pasar por entidades legítimas, como amigos, familiares, empresas con las que el usuario ha entablado negocios, etc.
Estos correos electrónicos o textos parecerán auténticos, pero incluyen un enlace o un archivo adjunto malicioso que, si se pulsa, descargará malware o llevará a una página para facilitar los datos personales.
MALWARE
Otra forma popular de hacerse con contraseñas es a través del malware o programa malicioso. Los correos electrónicos de phishing son un vector principal para este tipo de ataque, aunque también se puede ser víctima al hacer clic en un anuncio malicioso (malvertising), o incluso al visitar un sitio web comprometido (drive-by-download).
Como ha destacado ESET, el malware puede incluso esconderse en una aplicación móvil de aspecto legítimo, que suele encontrarse en tiendas de aplicaciones de terceros.
Existen diversas variedades de malware para robar información, pero algunas de las más comunes están diseñadas para registrar las teclas que el usuario pulsa en el teclado o hacer capturas de pantalla del dispositivo y enviarlas a los atacantes.
FUERZA BRUTA
Se calcula que el número medio de contraseñas que tiene que gestionar una persona ha aumentado un 25 por ciento interanual en 2020. Muchas personas utilizan contraseñas fáciles de recordar y las reutilizan en múltiples sitios, pero esto puede abrir la puerta a las llamadas técnicas de fuerza bruta.
Uno de los ataques más comunes es la comprobación de credenciales. En este caso, los atacantes introducen grandes volúmenes de combinaciones de nombres de usuario y contraseñas previamente robadas en un software automatizado.
A continuación, la herramienta las prueba en un gran número de sitios, con la esperanza de encontrar una coincidencia. De este modo, los delincuentes pueden desbloquear varias cuentas con una sola contraseña.
Según una estimación, el año pasado se produjeron 193 mil millones de intentos de ataques de este tipo en todo el mundo. Una de las víctimas más notables ha sido recientemente el gobierno canadiense.
Otra técnica de fuerza bruta es la prueba aleatoria de contraseñas. En este caso, los hackers utilizan un software automatizado para probar una lista de contraseñas de uso común contra una cuenta.
MIRAR POR ENCIMA DEL HOMBRO
Aunque hay muchas formas de robar una contraseña de forma virtual, vale la pena recordar que siguen existiendo formas de conocer una contraseña en el mundo físico que suponen un riesgo.
Es el caso de lo que se conoce en inglés como shoulder surfing, denominado simplemente “mirar por encima del hombro” en español. Esto no solo afecta al pin de la tarjeta de crédito, y ESET ha realizado experimentos que muestran la facilidad con la que puede averiguarse una contraseña de Snapchat mediante este sistema.