Un hacker quiere tenerlo fácil. En lugar de intentar un ataque de fuerza bruta, lo primero que va a intentar es intentar conseguir la contraseña a partir de que tú la introduzcas. Para esto, hay varios métodos.

Phishing

El phishing, o también conocido como suplantación de identidad consiste en intentar adquirir información confidencial de un usuario mediante un “ingeniería social”. El atacante, conocido como “phisher”, se hace pasar por un servicio en la que el usuario puede tener una cuenta, como puede ser un banco, o una red social. Este método se da mayoritariamente en los correos electrónicos, aunque también puede haber casos como llamadas de teléfono.

soy-su-compania.jpg

Mediante la emulación de la apariencia de un sitio web, como tu banco, los hackers introducen enlaces en los correos para que los usuarios introduzcan sus credenciales.

Para evitar este tipo de ataques, lo mejor es asegurarse siempre de que el enlace que aparece en nuestro navegador es HTTPS, y que el link coincide con el de la web oficial. En caso de que tengamos dudas, podemos ir manualmente a la web de nuestro banco, y nunca, nunca dar nuestras credenciales ni nuestros datos por email ni por teléfono, ya que ni tu banco ni nadie lo hará nunca por ese medio.

Keylogging

Incluso si sabemos distinguir claramente un email real de uno de phising, es posible que sin querer hagamos click en alguno de los enlaces que aparecen en el email. Estos enlaces pueden descargar automáticamente archivos con contenido malicioso, y que, si no tenemos un buen antivirus o las últimas actualizaciones de seguridad de nuestro sistema operativo, pueden ejecutarse automáticamente, incluso sin nosotros darnos cuenta.

Estos keyloggers se suelen ejecutar en segundo plano en nuestro ordenador, y a no ser que analicemos los procesos que hay en ejecución en el ordenador, no vamos a ver su nombre, que en algunas ocasiones suele ser similar a algún proceso de Windows, o cualquier otro nombre para pasar inadvertido.

contrasena.jpg

Los keyloggers, como su nombre indica, registran todas las pulsaciones que hacemos en nuestro teclado. Para un hacker es fácil encontrar una contraseña entre toda la maraña de las que pulsamos. Cuando entramos a Facebook, lo más probable es que escribamos “Facebook” en la barra de direcciones, y luego introduzcamos nuestras credenciales. Cuando tienen todo el texto que hemos generado con nuestras pulsaciones en un día, con buscar “Facebook”, pueden ver qué hemos escrito alrededor de esa palabra, y ahí probablemente se encuentre nuestra contraseña.

Los bancos, por suerte, utilizan un método sencillo para evitar este tipo de hackeo. Para introducir la contraseña, la mayoría despliegan un panel en el que hay que hacer click con el ratón. De esta manera, no se registran nuestras pulsaciones en el teclado.

Fuerza bruta

Existen muchísimos “diccionarios” de claves en la red. Estos diccionarios ocupan varios GB, y tienen almacenados diccionarios de palabras normales, y otros más complejos introducen números al final de cada palabra. Mediante lo que es conocido como un ataque de fuerza bruta, si un hacker accede a nuestra contraseña cifrada debido a una vulnerabilidad en los servidores servicio web, puede probar a descifrarla con los diccionarios. Si el ordenador utilizado es lo suficientemente potente y utiliza una buena tarjeta gráfica dedicada, se pueden probar millones de contraseñas por segundo. Si la contraseña utilizada es corta, o utiliza una palabra común (como puede ser qwerty o 123456), es probable que la contraseña pueda ser descubierta en cuestión de horas, o días a lo sumo.

Recomendaciones

  • No reutilizar contraseñas. Más de la mitad de usuarios en la red reutiliza contraseñas para diversos servicios. Si una contraseña en un servicio es hackeada, por el motivo que sea (muchos son hackeados, como hemos visto LinkedIn o MySpace), es fácil hacer un script que pruebe un email y contraseña en muchos servicios online. Si utilizas la misma contraseña, los hackers van a poder acceder sin problemas a ese servicio, y cambiar la contraseña. Para utilizar diferentes contraseñas, puede usar gestores de contraseñas multidispositivo, o el mismo gestor de Google, que siempre te pedirá la contraseña de tu correo electrónico para acceder.
  • Autenticación en dos pasos. Este sistema te pide, además de tu contraseña, un código que suele ser enviado por SMS a nuestro teléfono móvil. En el improbable caso de que nos roben el móvil no serviría de nada, pero es un gran método de protección frente a atacantes en la red. En el caso de que tengan nuestra contraseña, necesitarán también un código de activación que sólo nosotros recibimos en nuestro móvil.
  • Utiliza contraseñas complejas. Que tus contraseñas tengan símbolos, números, e incluso palabras inventadas. Una contraseña como Juan2016 puede llevar días hackearla, mientras que otra como J$4n@20km!6 puede tardar milenios con un ordenador de alta gama actual.

 

Fuente: adslzone