A l'anterior article titulat “No estem jugant a fet i amagar ni és una broma”, descrivim la gran preocupació que, a la “Jornada de Ciberseguridad en el Sector Público”, celebrada al Senat el passat 28 d'Abril, van manifestar els més alts càrrecs dels organismes de control i defensa cibernètica del país, CCN-CERT Centro Criptológico Nacional y INCIBE - Instituto Nacional de Ciberseguridad, a causa de la multitud de ciberatacs realitzats sense la menor oposició ni sospita, en haver estat robades prèviament les contrasenyes dels seus usuaris.

I ens preguntem, com roben les contrasenyes sense deixar rastre?

Doncs bé, resumirem els mètodes que se sap utilitzen els ciberdelinqüents, però el més important, quins mitjans hi ha per poder evitar-ho.

Dijous passat 5 de maig es va celebrar el Dia Mundial de les Contrasenyes i volem contribuir a recordar la importància que tenen per protegir la informació de l'empresa i de qualsevol organització ja que "les contrasenyes són la clau de la teva seguretat"

Mètode: Atac de força bruta

El ciberdelinqüent prova entrar en un sistema moltes vegades amb diferents combinacions de caràcters (alfabètics, numèrics i especials) utilitzant un programari específic, esperant que passi alguna coincidència amb la nostra contrasenya. Saben el mal costum que cal repetir contrasenyes en diferents plataformes i molt febles, com posar números correlatius o noms molt comuns, “12345” o “admin”.

Podem distingir com a variant l'Atac de diccionari que utilitza un programa que introdueix contrasenyes de forma automàtica, fins a trobar la coincidència i de forma més avançada, es molesta a recopilar informació de l'usuari, com ara noms familiars, dates assenyalades, o llocs, en ser fàcils de memoritzar.

Com evitar-ho: Creant contrasenyes robustes que

• Tingueu, almenys, 8 caràcters combinats (majúscules, minúscules, números i símbols)
• No utilitzar:
  • Paraules simples en qualsevol idioma
  • Noms propis, dates, llocs o dades personals
  • Paraules amb lletres consecutives o properes al teclat
  • Paraules curtes
• No combinar paraules públiques fàcils d'endevinar (nom + data naixement).
• Com més crític sigui el servei o aplicació, més robusta la contrasenya.

Mètode: Farciment de credencials (credential stuffing / credential reuse)

El farciment de credencials és un atac de força bruta que utilitza credencials robades a bretxes de seguretat. Es proven de manera automatitzada parells de noms d'usuari i contrasenya per entrar en comptes i perfils en línia. Aquests poden ser aplicacions personals o del corporatiu com l'e-mail.

Com evitar-ho: 

• Habilitar la autenticación de dos factores en els comptes online sempre que sigui possible. Considerar a més a més altres factors com:
  • empremta digital; 
  • tokens criptográficos hardware;
  • sistemes OTP (One Time Password);
  • targetes de coordenades.
• Utilitzar contrasenyes úniques per cada servei específic.
• Imprescindible per utilitzar serveis corporatius.

Mètode: Atac de polvorització de contrasenyes (password spraying)

Utilitzen un gran nombre de contrasenyes robades en bretxes de seguretat en un grup de comptes (per exemple els de correu web d'empleats d'una empresa) per veure si hi poden accedir. Es prenen la molèstia d’utilitzar programes amb límit d’intents d’accés a un compte i així no salten les alarmes i no són detectats.

Com evitar-ho: 

• Utilitzar eines que garanteixin la seguretat de les contrasenyes com les dels protocols LDAP, Active Directory o serveis externs que obliguen al compliment de certs requisits:
• Limitar el període de validesa
• No permetre reutilitzar contrasenyes ja usades;
• Format:
  • longitud mínima;
  • tipus de caràcters que han d'incloure;
  • compliment de regles semàntiques.
• Poder triar i modificar la contrasenya per part de lusuari;
• Emmagatzemar:
  • mida de l'històric de claus per a cada usuari;
  • mètode de xifratge de les claus.
• Limitar el nombre d'intents d'autenticació.

Enginyeria social

L'enginyeria social és una manipulació que aprofita la manca d'informació o la ingenuïtat de les persones per obtenir informació confidencial que s'utilitza complementàriament a l'ús de la tecnologia per obtenir credencials d'accés. Hi ha diversos mètodes.

Mètode: Phishing, smishing, vishing y warshipping

S'inicien per un correu electrònic, un SMS, una trucada o mitjançant dispositius.

• El phishing consisteix a rebre un correu electrònic que crida l'atenció sobre algun tipus d'assumpte urgent procedent d'una entitat de la confiança del receptor (un banc, un organisme públic o un proveïdor de serveis TIC). Conté un enllaç a un lloc web dissenyat per suplantar, amb gran semblança, a la web legítima d'aquesta entitat i on demanaran la contrasenya per iniciar sessió. Allà la registraran passant a les mans dels atacants.
• El smishing consisteix a enviar un SMS per part d'un ciberdelinqüent a un usuari simulant ser una entitat legítima -xarxa social, banc, institució pública, etc. amb el mateix propòsit que l'anterior.
• El vishing és una trucada que empra tècniques similars a les dues anteriors.
• El warshipping és un regal tecnològic infectat que es connectarà a la nostra xarxa i robarà les nostres credencials i altres dades.

Mètode: Mirar per sobre de l'espatlla (shoulder surfing)

Tan important és estar atent a qualsevol activitat sospitosa en línia com a l'entorn que t'envolta. El shoulder surfing és una tècnica d'enginyeria social on els ciberdelinqüents aconsegueixen les contrasenyes espiant la gent que utilitza els seus dispositius en públic mentre escriuen. Qui no ha vist als mitjans de transport públic, autobús, metro, tren, la majoria dels passatgers llegint i accionant els seus dispositius mòbils? I als restaurants, bars, museus, fins i tot als mateixos carrers? El shoulder surfing val de la poca desconfiança i preocupació de ser o no observats mentre introduïm les contrasenyes als nostres dispositius.

Com evitar-ho: 

• Les millors armes per combatre aquesta tècnica són la formació i conscienciació.
• Comprovar si la web és legítima abans d'introduir la contrasenya.
• Habilitant les funcions biomètriques, com el reconeixement facial, per iniciar sessió als comptes dels dispositius mòbils.

Mètode: Atac de keylogger

Un keylogger és un software espia que s’utilitza per rastrejar i registrar el que s’escriu pel teclat.

Aquest programari infecta els dispositius vulnerables i enregistra informació privada sense el coneixement de l'usuari sostret així contrasenyes, entre una altra informació.

Podeu entrar mitjançant dispositius extraïbles, com pendrives.

Com evitar-ho: 

• Comprovar la legitimitat dels arxius adjunts i fitxers descarregables abans d'obrir-los o executar-los, trucant a les persones o llocs que suposadament ho envien.
• Instal·lar software antimalware als dispositius.
• Revisar que no hagi connectat cap dispositiu estrany als ordinadors.

Mètode: Atac d’Home al mig (Man-in-the-middle)

A l’atac Man in the middle el ciberdelinqüent intercepta la comunicació entre 2 o més interlocutors, podent suplantar la identitat d'un o altre segons li interessi, per veure la informació i modificar-la al seu gust. Una vegada interceptades les comunicacions, les respostes rebudes en un extrem o l'altre poden haver estat manipulades pel ciberdelinqüent o no procedir de l'interlocutor legítim. Per tant, aquest podria utilitzar en aquests missatges diverses tècniques d'enginyeria social, enviar arxius adjunts maliciosos per instal·lar programari o utilitzar suplantar el remitent amb tècniques de spoofing per aconseguir les contrasenyes de la víctima.

Mètode: Interceptació del trànsit (Traffic interception)

La intercepció del trànsit és un tipus datac Man-in-the-middle. En aquest cas, el ciberdelinqüent espia l'activitat de la xarxa per capturar contrasenyes i altre tipus d'informació sensible. Tenen diverses maneres de dur a terme aquest atac, per exemple, interceptat connexions wifi no segures o utilitzant una tàctica anomenada segrest de sessió, que consisteix a interceptar una connexió entre un objectiu (un empleat per exemple) el lloc al qual es connecta (un servei al núvol o una aplicació d'intranet) i registrar qualsevol informació compartida entre tots dos.

Com evitar-ho: 

• Aprenent a identificar la legitimitat dels correus.
• Evitant les connexions de risc com per exemple les wifis públiques.
• Aplicant consells de navegació segura I y II.

Ara que ja saps una mica més sobre com els ciberdelinqüents poden robar les teves credencials, revisa la teva política de contrasenyes i protegeix la teva empresa.

I recorda, si no tens un bon pla de ciberseguretat, quan vulguis contractar una cibersegura ho tindràs difícil, ja que ningú vol jugar al perdedor.

Si vols més informació sobre això, no dubtis a preguntar.

Ens agradarà tenir els teus comentaris sobre això.

Font: Con estos ataques nos roban las contraseñas aprende evitarlos

PD: Si vols esbrinar alguns dels passos que hauries de fer per evitar arruïnar-te per un ciberatac baixa't el nostre e-book