Los 8 trucos más comunes utilizados para piratear contraseñas

Los 8 trucos más comunes utilizados para piratear contraseñas

Cuando escuche 'violación de seguridad', ¿qué le viene a la mente? ¿Un hacker malévolo sentado frente a pantallas cubiertas de texto digital al estilo Matrix? ¿O un adolescente que vive en el sótano que no ha visto la luz del día en tres semanas? ¿Qué tal una poderosa supercomputadora que intenta piratear el mundo entero?





La piratería se trata de una cosa: tu contraseña. Si alguien puede adivinar su contraseña, no necesita supercomputadoras ni técnicas de piratería sofisticadas. Ellos simplemente iniciarán sesión, actuando como usted. Si su contraseña es corta y simple, se acabó el juego.



Hay ocho tácticas comunes que usan los piratas informáticos para piratear su contraseña.





1. Diccionario Hack

En primer lugar, en la guía de tácticas comunes de piratería de contraseñas está el ataque de diccionario. ¿Por qué se llama ataque de diccionario? Porque automáticamente prueba cada palabra en un 'diccionario' definido contra la contraseña. El diccionario no es estrictamente el que usaste en la escuela.

No. Este diccionario es en realidad un archivo pequeño que también contiene las combinaciones de contraseñas más utilizadas. Eso incluye 123456, qwerty, contraseña, iloveyou y el clásico de todos los tiempos, hunter2.



¿Se pueden mover las aplicaciones a la tarjeta SD?

La tabla anterior detalla las contraseñas más filtradas en 2016. La siguiente tabla detalla las contraseñas más filtradas en 2020.

Tenga en cuenta las similitudes entre los dos y asegúrese de no utilizar estas opciones increíblemente simples.



Pros: Rápido; Por lo general, desbloqueará algunas cuentas lamentablemente protegidas.

Contras: Incluso las contraseñas ligeramente más seguras permanecerán seguras.



Mantenerse a salvo: Utilice una contraseña segura de un solo uso para cada cuenta, junto con una aplicación de gestión de contraseñas . El administrador de contraseñas le permite almacenar sus otras contraseñas en un repositorio. Luego, puede usar una contraseña única y ridículamente segura para cada sitio.

Relacionado: Administrador de contraseñas de Google: cómo empezar

2. Fuerza bruta

A continuación, el ataque de fuerza bruta, mediante el cual un atacante prueba todas las combinaciones posibles de caracteres. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, p. Ej. incluyendo una mayúscula, una minúscula, decimales de Pi, su orden de pizza, etc.

Un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más utilizadas. Estos incluyen las contraseñas enumeradas anteriormente, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop. Puede llevar mucho tiempo averiguar una contraseña con este método, pero eso depende completamente de la complejidad de la contraseña.

Pros: En teoría, descifrará cualquier contraseña probando todas las combinaciones.

Contras: Dependiendo de la longitud y la dificultad de la contraseña, podría llevar mucho tiempo. Agregue algunas variables como $, &, {o], y averiguar la contraseña se vuelve extremadamente difícil.

Mantenerse a salvo: Utilice siempre una combinación variable de caracteres y, cuando sea posible, introducir símbolos adicionales para aumentar la complejidad .

3. Phishing

Esto no es estrictamente un 'truco', pero ser víctima de un intento de phishing o spear-phishing generalmente terminará mal. Los correos electrónicos generales de phishing se envían por miles de millones a todo tipo de usuarios de Internet en todo el mundo.

Un correo electrónico de phishing generalmente funciona así:

  1. El usuario objetivo recibe un correo electrónico falsificado que supuestamente proviene de una organización o empresa importante.
  2. El correo electrónico falso exige atención inmediata, con un enlace a un sitio web.
  3. Este enlace en realidad se conecta a un portal de inicio de sesión falso, simulado para que parezca exactamente igual que el sitio legítimo.
  4. El usuario objetivo desprevenido ingresa sus credenciales de inicio de sesión y se le redirige o se le dice que vuelva a intentarlo.
  5. Las credenciales de usuario son robadas, vendidas o utilizadas de forma nefasta (o ambas cosas).

El volumen diario de spam enviado en todo el mundo sigue siendo alto y representa más de la mitad de todos los correos electrónicos enviados a nivel mundial. Además, el volumen de archivos adjuntos maliciosos también es alto con Kaspersky notando más de 92 millones de archivos adjuntos maliciosos de enero a junio de 2020. Recuerde, esto es solo para Kaspersky, por lo que el número real es mucho mayor .

En 2017, el mayor señuelo de phishing era una factura falsa. Sin embargo, en 2020, la pandemia de COVID-19 proporcionó una nueva amenaza de phishing.

En abril de 2020, poco después de que muchos países entraran en bloqueo pandémico, Google Anunciado estaba bloqueando más de 18 millones de correos electrónicos no deseados maliciosos y phishing con temática COVID-19 por día. Una gran cantidad de estos correos electrónicos utilizan marcas oficiales del gobierno o de organizaciones de salud para legitimarse y sorprenden a las víctimas.

Pros: El usuario entrega literalmente su información de inicio de sesión, incluidas las contraseñas, una tasa de aciertos relativamente alta, que se adapta fácilmente a servicios específicos o personas específicas en un ataque de spear-phishing.

Contras: Los correos electrónicos no deseados se filtran fácilmente, los dominios no deseados se incluyen en la lista negra y los principales proveedores como Google actualizan constantemente las protecciones.

Mantenerse a salvo: Manténgase escéptico con los correos electrónicos y aumente su filtro de spam a su configuración más alta o, mejor aún, use una lista blanca proactiva. Usar un verificador de enlaces para determinar si un enlace de correo electrónico es legítimo antes de hacer clic.

4. Ingeniería social

La ingeniería social es esencialmente phishing en el mundo real, lejos de la pantalla.

Una parte fundamental de cualquier auditoría de seguridad es evaluar lo que entiende toda la fuerza laboral. Por ejemplo, una empresa de seguridad llamará por teléfono a la empresa que está auditando. El 'atacante' le dice a la persona en el teléfono que es el nuevo equipo de soporte técnico de la oficina y que necesita la contraseña más reciente para algo específico.

Un individuo desprevenido puede entregar las llaves sin una pausa para pensar.

Lo que da miedo es la frecuencia con la que esto funciona. La ingeniería social existe desde hace siglos. Ser engañoso para entrar a un área segura es un método común de ataque y uno contra el que solo se protege con educación.

Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un plomero o un electricista falso que solicita la entrada a un edificio seguro, etc.

Cuando alguien dice que fue engañado para que revelara su contraseña, a menudo es el resultado de la ingeniería social.

Pros: Los ingenieros sociales capacitados pueden extraer información de alto valor de una variedad de objetivos. Se puede implementar contra casi cualquier persona, en cualquier lugar. Es extremadamente sigiloso.

Contras: Una falla de ingeniería social puede generar sospechas sobre un ataque inminente e incertidumbre sobre si se obtiene la información correcta.

Mantenerse a salvo : Este es complicado. Un ataque de ingeniería social exitoso estará completo cuando se dé cuenta de que algo anda mal. La concienciación sobre la educación y la seguridad es una táctica fundamental de mitigación. Evite publicar información personal que luego pueda usarse en su contra.

5. Mesa arcoiris

Una tabla de arcoíris suele ser un ataque de contraseña fuera de línea. Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están encriptadas. La contraseña cifrada tiene hash. Esto significa que se ve completamente diferente a la contraseña original.

Por ejemplo, su contraseña es (¡con suerte no!) Logmein. El hash MD5 conocido para esta contraseña es '8f4047e3233b39e4444e1aef240e80aa'.

Gibberish para usted y para mí. Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto sin formato a través de un algoritmo hash, comparando los resultados con un archivo de contraseñas encriptadas. En otros casos, el algoritmo de cifrado es vulnerable y la mayoría de las contraseñas ya están descifradas, como MD5 (por eso conocemos el hash específico para 'logmein'.

Aquí es donde la mesa del arco iris entra en juego. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla de arco iris es un gran conjunto de valores de hash específicos de algoritmos precalculados.

El uso de una tabla de arcoíris reduce drásticamente el tiempo que lleva descifrar una contraseña hash, pero no es perfecto. Los piratas informáticos pueden comprar tablas de arcoíris precargadas con millones de combinaciones potenciales.

Pros: Puede descubrir contraseñas complejas en poco tiempo; otorga al hacker mucho poder sobre ciertos escenarios de seguridad.

Contras: Requiere una gran cantidad de espacio para almacenar la enorme tabla de arcoíris (a veces terabytes). Además, los atacantes están limitados a los valores contenidos en la tabla (de lo contrario, deben agregar otra tabla completa).

la mejor alternativa gratuita a microsoft office

Mantenerse a salvo: Otro engañoso. Las tablas de arcoíris ofrecen una amplia gama de posibilidades de ataque. Evite los sitios que utilicen SHA1 o MD5 como algoritmo de hash de contraseñas. Evite cualquier sitio que lo limite a contraseñas cortas o restrinja los caracteres que puede usar. Utilice siempre una contraseña compleja.

Relacionado: Cómo saber si un sitio almacena las contraseñas como texto sin formato (y qué hacer)

6. Software malicioso / Registrador de teclas

Otra forma segura de perder sus credenciales de inicio de sesión es incurrir en malware. El malware está en todas partes, con el potencial de causar daños masivos. Si la variante de malware incluye un registrador de teclas, puede encontrar todos de sus cuentas comprometidas.

Alternativamente, el malware podría apuntar específicamente a datos privados o introducir un troyano de acceso remoto para robar sus credenciales.

Pros: Miles de variantes de malware, muchas personalizables, con varios métodos de entrega sencillos. Es muy probable que un gran número de objetivos sucumban al menos a una variante. Puede pasar desapercibido, lo que permite una mayor recopilación de datos privados y credenciales de inicio de sesión.

Contras: Posibilidad de que el malware no funcione o se ponga en cuarentena antes de acceder a los datos; no hay garantía de que los datos sean útiles.

Mantenerse a salvo : Instale y actualice periódicamente su antivirus y antimalware software. Considere cuidadosamente sus fuentes de descarga. No haga clic en los paquetes de instalación que contienen bundleware y más. Manténgase alejado de los sitios nefastos (es más fácil decirlo que hacerlo). Utilice herramientas de bloqueo de secuencias de comandos para detener las secuencias de comandos maliciosas.

7. Araña

Spidering se relaciona con el ataque del diccionario. Si un pirata informático se dirige a una institución o empresa específica, puede probar una serie de contraseñas relacionadas con la empresa en sí. El pirata informático podría leer y recopilar una serie de términos relacionados, o utilizar una araña de búsqueda para hacer el trabajo por ellos.

Es posible que haya escuchado el término 'araña' antes. Estas arañas de búsqueda son extremadamente similares a las que se arrastran por Internet, indexando contenido para los motores de búsqueda. Luego, la lista de palabras personalizada se usa contra las cuentas de usuario con la esperanza de encontrar una coincidencia.

Pros: Potencialmente, puede desbloquear cuentas para personas de alto rango dentro de una organización. Relativamente fácil de armar y agrega una dimensión adicional a un ataque de diccionario.

Contras: Podría resultar infructuoso si la seguridad de la red de la organización está bien configurada.

Mantenerse a salvo: Una vez más, utilice únicamente contraseñas seguras de un solo uso compuestas por cadenas aleatorias; nada que se vincule a su persona, negocio, organización, etc.

cómo agregar pestañas en Excel

8. Surf de hombro

La última opción es una de las más básicas. ¿Qué pasa si alguien simplemente mira por encima de su hombro mientras escribe su contraseña?

Hacer surf de hombro suena un poco ridículo, pero sucede. Si está trabajando en un concurrido café del centro y no presta atención a su entorno, alguien podría acercarse lo suficiente como para anotar su contraseña mientras escribe.

Pros: Enfoque de baja tecnología para robar una contraseña.

Contras: Debe identificar el objetivo antes de averiguar la contraseña; podrían revelarse en el proceso de robo.

Mantenerse a salvo: Permanezca atento a quienes le rodean cuando escriba su contraseña. Cubra su teclado y oculte sus teclas durante la entrada.

Utilice siempre una contraseña segura, única y de un solo uso

Entonces, ¿cómo evitas que un hacker robe tu contraseña? La respuesta realmente corta es que realmente no puedes estar 100% seguro . Las herramientas que utilizan los piratas informáticos para robar sus datos cambian todo el tiempo y hay innumerables videos y tutoriales sobre cómo adivinar contraseñas o aprender a piratear una contraseña.

Una cosa es segura: el uso de una contraseña segura, única y de un solo uso nunca daña a nadie.

Cuota Cuota Pío Correo electrónico 5 herramientas de contraseña para crear contraseñas seguras y actualizar su seguridad

Cree una contraseña segura que pueda recordar más tarde. Utilice estas aplicaciones para actualizar su seguridad con nuevas contraseñas seguras hoy.

Leer siguiente Temas relacionados
  • Seguridad
  • Consejos para contraseñas
  • Seguridad en línea
  • Hackear
  • Consejos de seguridad
Sobre el Autor Gavin Phillips(945 Artículos publicados)

Gavin es el editor junior de Windows and Technology Explained, colaborador habitual del Really Useful Podcast y crítico de productos habitual. Tiene una licenciatura (con honores) en escritura contemporánea con prácticas de arte digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.

Más de Gavin Phillips

Suscríbete a nuestro boletín

¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse