En el anterior artículo titulado “No estamos jugando al escondite ni es una broma”, describimos la gran preocupación que, en la "??????? ?? ?????????????? ?? ?? ?????? ??́?????", celebrada en el Senado el pasado 28 de Abril, manifestaron los más altos cargos de los organismos de control y defensa cibernética del país, CCN-CERT Centro Criptológico Nacional y INCIBE - Instituto Nacional de Ciberseguridad, debido a la multitud de ciberataques realizados sin la menor oposición ni sospecha, al haber sido robadas previamente las contraseñas de sus usuarios.

Y nos preguntamos, ¿Cómo roban las contraseñas sin dejar rastro?

Pues bien, vamos a resumir los métodos que se sabe utilizan los ciberdelincuentes, pero lo más importante, qué medios hay para poder evitarlo.

El pasado jueves 5 de mayo se celebró el Día Mundial de las Contraseñas y queremos contribuir a recordar la importancia que tienen para proteger la información de la empresa y de cualquier organización ya que "las contraseñas son la llave de tu seguridad" .     

Método: Ataque de fuerza bruta.

El ciberdelincuente prueba entrar en un sistema muchas veces con diferentes combinaciones de caracteres (alfabéticos, numéricos y especiales) utilizando un software específico, esperando que ocurra alguna coincidencia con nuestra contraseña. Saben la mala costumbre que hay de repetir contraseñas en distintas plataformas y muy débiles, como poner números correlativos o nombres muy comunes, “12345” o “admin”.

Podemos distinguir como variante el Ataque de diccionario que utiliza un programa que introduce contraseñas de forma automática, hasta encontrar la coincidencia y de forma más avanzada, se molesta en recopilar información del usuario, como nombres familiares, fechas señaladas, o lugares, al ser fáciles de memorizar.

Cómo evitarlo: Creando contraseñas robustas que

• Tengan, al menos, 8 caracteres combinados (mayúsculas, minúsculas, números y símbolos)
• No utilizar:
  • Palabras simples en cualquier idioma
  • Nombres propios, fechas, lugares o datos personales
  • Palabras con letras consecutivas o cercanas en el teclado
  • Palabras cortas
• No combinar palabras públicas fáciles de adivinar (nombre + fecha nacimiento).
• Cuanto más crítico sea el servicio o aplicación, más robusta la contraseña.

Método: Relleno de credenciales (credential stuffing / credential reuse)

El relleno de credenciales es un ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para entrar en cuentas y perfiles online. Estos pueden ser de aplicaciones personales o del corporativo como el e-mail.

Cómo evitarlo: 

• Habilitar la autenticación de dos factores en las cuentas online siempre que sea posible. Considerar además otros factores como:
  • huella digital; 
  • tokens criptográficos hardware;
  • sistemas OTP (One Time Password);
  • tarjetas de coordenadas.
• Utilizar contraseñas únicas para cada servicio específico.
• Imprescindible para usar servicios corporativos.

Método: Ataque de pulverización de contraseñas (password spraying)

Utilizan un gran número de contraseñas robadas en brechas de seguridad en un grupo de cuentas (por ejemplo las de correo web de empleados de una empresa) para ver si pueden obtener acceso. Se toman la molestia de utilizar programas con límite de intentos de acceso a una cuenta y así no saltan las alarmas y no son detectados.

Cómo evitarlo: 

• Utilizar herramientas que garanticen la seguridad de las contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
  • Limitar el periodo de validez
  • No permitir reutilizar contraseñas ya usadas;
  • Formato: 
    • longitud mínima;
    • tipos de caracteres que deben incluir;
    • cumplimiento de reglas semánticas.
  • Poder elegir y modificar la contraseña por parte del usuario;
  • Almacenar:
    • tamaño del histórico de claves para cada usuario;
    • método de cifrado de las claves.
  • Limitar el número de intentos de autenticación.

Ingeniería social

La ingeniería social es una manipulación que aprovecha la falta de información o la ingenuidad de las personas para obtener información confidencial que se utiliza de forma complementaria al uso de la tecnología para obtener credenciales de acceso. Existen varios métodos.

Método: Phishing, smishing, vishing y warshipping

Se inician por un email, un SMS, una llamada o mediante dispositivos.

• El phishing consiste en recibir un mail que llama la atención sobre algún tipo de asunto urgente procedente de una entidad de la confianza del receptor, (un banco, un organismo público o un proveedor de servicios TIC). Contiene un enlace a un sitio web diseñado para suplantar, con gran parecido, a la web legítima de esa entidad y en el cual pedirán la contraseña para iniciar sesión. Allí la registrarán pasando a manos de los atacantes.
• El smishing consiste en el envío de un SMS por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima -red social, banco, institución pública, etc. con el mismo propósito que el anterior.
• El vishing es una llamada que emplea técnicas similares a las dos anteriores.
• El warshipping es un regalo tecnológico infectado que se conectará a nuestra red y robará nuestras credenciales y otros datos.

Método: Mirar por encima del hombro (shoulder surfing)

Tan importante es estar atento a cualquier actividad sospechosa en línea como al entorno que te rodea. El shoulder surfing es una técnica de ingeniería social en la que los ciberdelincuentes consiguen las contraseñas espiando a la gente que utiliza sus dispositivos en público mientras escriben. ¿Quién no ha visto en los medios de transporte público, autobús, metro, tren, la mayoría de los pasajeros leyendo y accionando sus dispositivos móviles? ¿Y en los restaurantes, bares, museos, incluso en las mismas calles? El shoulder surfing vale de la poca desconfianza y preocupación de ser o no observados mientras introducimos las contraseñas en nuestros dispositivos.

Cómo evitarlo: 

• Las mejores armas para combatir esta técnica son la formación y concienciación.
• Comprobar si la web es legítima antes de introducir tu contraseña.
• Habilitando las funciones biométricas, como el reconocimiento facial, para iniciar sesión en las cuentas de los dispositivos móviles.

Método: Ataque de keylogger

Un keylogger es un software espía que se utiliza para rastrear y registrar lo que se escribe por el teclado.

Este software infecta los dispositivos vulnerables y graba información privada sin el conocimiento del usuario sustrayendo así contraseñas, entre otra información.

Puede entrar mediante dispositivos extraíbles, como pendrives.

Cómo evitarlo: 

• Comprobar la legitimidad de los archivos adjuntos y ficheros descargables antes de abrirlos o ejecutarlos, llamando a las personas o lugares que supuestamente lo envían.
• Instalar software antimalware en los dispositivos.
• Revisar que no haya conectado ningún dispositivo extraño en los ordenadores.

Método: Ataque de Hombre en el medio (Man-in-the-middle)

En el ataque Man in the middle el ciberdelincuente intercepta la comunicación entre 2 o más interlocutores, pudiendo suplantar la identidad de uno u otro según le interese, para ver la información y modificarla a su antojo. Una vez interceptadas las comunicaciones, las respuestas recibidas en uno u otro extremo pueden haber sido manipuladas por el ciberdelincuente o no proceder del interlocutor legítimo. Por tanto, este podría utilizar en estos mensajes diversas técnicas de ingeniería social, enviar archivos adjuntos maliciosos para instalar software o utilizar suplantar al remitente con técnicas de spoofing para hacerse con las contraseñas de la víctima.

Método: Interceptación del tráfico (Traffic interception)

La interceptación del tráfico es un tipo de ataque Man-in-the-middle. En este caso el ciberdelincuente espía la actividad de la red para capturar contraseñas y otro tipo de información sensible. Tienen varias formas de llevar a cabo este ataque, por ejemplo, interceptado conexiones wifi no seguras o utilizando una táctica llamada secuestro de sesión, que consiste en interceptar una conexión entre un objetivo (un empleado por ejemplo) el sitio al que se conecta (un servicio en la nube o una aplicación de intranet) y registrar cualquier información compartida entre ambos.

Cómo evitarlo: 

• Aprendiendo a identificar la legitimidad de los correos.
• Evitando las conexiones de riesgo como por ejemplo las wifi públicas.
• Aplicando consejos de navegación segura I y II.

Ahora que ya sabes un poco más sobre cómo los ciberdelincuentes pueden robar tus credenciales, revisa tu política de contraseñas y protege tu empresa.

Y recuerda, si no tienes un buen plan de ciberseguridad, cuando desees contratar un ciberseguro lo vas a tener difícil, pues nadie quiere jugar al perdedor.

Si deseas más información sobre ello, no dudes en preguntar.

Nos gustará tener tus comentarios al respecto.