Cuando escuchas «violación de seguridad», ¿qué te viene a la mente? ¿Un hacker malévolo sentado frente a pantallas cubiertas de texto digital al estilo Matrix? ¿O un adolescente que vive en el sótano y no ha visto la luz del día en tres semanas? ¿Qué tal una poderosa supercomputadora intentando hackear el mundo entero?
la piratería se trata de una cosa: su contraseña. Si alguien puede adivinar su contraseña, no necesita técnicas de piratería de lujo y supercomputadoras. Se conectarán, actuando como tú. Si tu contraseña es corta y simple, se acabó el juego.,
Hay ocho tácticas comunes que los hackers utilizan para hackear su contraseña. Echemos un vistazo.
1. Dictionary Hack
el PRIMERO en la guía de tácticas de hacking de contraseñas comunes es el ataque de diccionario. ¿Por qué se llama un ataque de diccionario? Porque automáticamente intenta cada palabra en un «diccionario» definido contra la contraseña. El diccionario no es estrictamente el que usabas en la escuela.
No., Este diccionario es en realidad un pequeño archivo que también contendrá las combinaciones de contraseñas más utilizadas. Eso incluye 123456, qwerty, password, iloveyou y el clásico de todos los tiempos, hunter2. La tabla anterior detalla las contraseñas más filtradas en 2016.
la siguiente tabla detalla las contraseñas más filtradas en 2020. Tenga en cuenta las similitudes entre los dos—y asegúrese de no utilizar estas opciones increíblemente simples.
Pros: Rápido, generalmente desbloquear algunos lamentablemente cuentas protegidas.,
contras: incluso las contraseñas ligeramente más fuertes permanecerán seguras.
Manténgase seguro: Utilice una contraseña fuerte de un solo uso para cada cuenta, junto con una aplicación de administración de contraseñas. El administrador de contraseñas le permite almacenar sus otras contraseñas en un repositorio. Luego, puedes usar una única contraseña ridículamente segura para cada sitio. Consulte nuestra descripción general del administrador de contraseñas de Google para comenzar con él.
Necesita un gestor de contraseñas seguro para Linux?, Estas aplicaciones son fáciles de usar y mantienen sus contraseñas en línea seguras.
2. Fuerza bruta
a continuación, el ataque de fuerza bruta, por el que un atacante intenta cada combinación de caracteres posible. Las contraseñas intentadas coincidirán con las especificaciones de las reglas de complejidad, por ejemplo, incluyendo una mayúscula, una minúscula, decimales de Pi, su pedido de pizza, etc.
un ataque de fuerza bruta también probará primero las combinaciones de caracteres alfanuméricos más utilizadas. Estos incluyen las contraseñas enumeradas anteriormente, así como 1q2w3e4r5t, zxcvbnm y qwertyuiop., Puede tomar mucho tiempo descubrir una contraseña usando este método, pero eso depende completamente de la complejidad de la contraseña.
Pros: teóricamente, descifrará cualquier contraseña al probar cada combinación.
contras: dependiendo de la longitud de la contraseña y la dificultad, podría tomar un tiempo extremadamente largo. Agregue algunas variables como $, &, {, or], y averiguar la contraseña se vuelve extremadamente difícil.
Manténgase seguro: siempre use una combinación variable de caracteres y, cuando sea posible, introduzca símbolos adicionales para aumentar la complejidad.
3., Phishing
esto no es estrictamente un «hackeo», pero caer presa de un intento de phishing o spear-phishing generalmente terminará mal. Correos electrónicos de phishing generales enviados por miles de millones a todo tipo de usuarios de internet en todo el mundo.,un correo electrónico falsificado que pretende ser de una organización o negocio importante
el volumen de spam diario enviado en todo el mundo sigue siendo alto, representando más de la mitad de todos los correos electrónicos enviados en todo el mundo., Además, el volumen de archivos adjuntos maliciosos también es alto, con Kaspersky notando más de 92 millones de archivos adjuntos maliciosos de enero a junio de 2020. Recuerde, esto es solo para Kaspersky, por lo que el número real es mucho mayor.
en 2017, el mayor señuelo de phishing fue una factura falsa. Sin embargo, en 2020, la pandemia de COVID-19 proporcionó una nueva amenaza de phishing.,
en abril de 2020, poco después de que muchos países entraran en un bloqueo pandémico, Google anunció que estaba bloqueando más de 18 millones de correos electrónicos de spam y phishing maliciosos temáticos de COVID-19 por día. Un gran número de estos correos electrónicos utilizan la marca oficial del gobierno u organización de salud para la legitimidad y para atrapar a las víctimas con la guardia baja.
Pros: El usuario literalmente entrega su información de inicio de sesión, incluida la contraseña. Tasa de visitas relativamente alta, fácilmente adaptada a servicios específicos o personas específicas en un ataque de spear phishing.,
contras: los correos electrónicos no deseados se filtran fácilmente, los dominios de spam se encuentran en la lista negra y los principales proveedores como Google actualizan constantemente las protecciones.
Manténgase seguro: hemos cubierto cómo detectar un correo electrónico de phishing. Además, aumente su filtro de spam a su configuración más alta o, mejor aún, use una lista blanca proactiva. Utilice un comprobador de enlaces para determinar si un enlace de correo electrónico es legítimo antes de hacer clic.
4. Ingeniería Social
la ingeniería social es esencialmente phishing en el mundo real, lejos de la pantalla., Lea mi breve ejemplo básico a continuación (¡y aquí hay algunos más para tener en cuenta!).
una parte fundamental de cualquier auditoría de seguridad es medir lo que entiende toda la fuerza laboral. En este caso, una empresa de seguridad llamará por teléfono a la empresa que está auditando. El «atacante» le dice a la persona en el teléfono que es el nuevo equipo de soporte técnico de office y que necesita la última contraseña para algo específico. Un individuo desprevenido puede entregar las llaves del reino sin una pausa para pensar.
lo que da miedo es la frecuencia con la que esto funciona. La ingeniería Social ha existido durante siglos., La duplicidad para obtener la entrada a un área segura es un método común de ataque y uno que solo se protege con la educación. Esto se debe a que el ataque no siempre pedirá directamente una contraseña. Podría ser un falso fontanero o electricista pidiendo la entrada a un edificio seguro, y así sucesivamente.
Pros: Los ingenieros sociales calificados pueden extraer información de alto valor de una variedad de objetivos. Se puede desplegar contra casi cualquier persona, en cualquier lugar. Extremadamente sigiloso.,
contras: una falla de ingeniería social puede levantar sospechas sobre un ataque inminente, incertidumbre en cuanto a si se obtiene la información correcta.
Manténgase seguro: esta es una difícil. Un ataque exitoso de ingeniería social estará completo en el momento en que te des cuenta de que algo está mal. La educación y la concienciación en materia de seguridad son una táctica básica de mitigación. Evite publicar información personal que pueda ser utilizada posteriormente en su contra.
5. Tabla Rainbow
una tabla rainbow suele ser un ataque de contraseña sin conexión., Por ejemplo, un atacante ha adquirido una lista de nombres de usuario y contraseñas, pero están cifrados. La contraseña encriptada es hash. Esto significa que se ve completamente diferente de la contraseña original.
por ejemplo, su contraseña es (esperemos que no!) logmein. El hash MD5 conocido para esta contraseña es » 8f4047e3233b39e4444e1aef240e80aa.»
una Tontería a la que usted y yo., Pero en ciertos casos, el atacante ejecutará una lista de contraseñas de texto plano a través de un algoritmo de hash, comparando los resultados con un archivo de contraseña cifrado. En otros casos, el algoritmo de cifrado es vulnerable, y la mayoría de las contraseñas ya están descifradas, como MD5 (de ahí que conozcamos el hash específico de «logmein».»
Aquí es donde la tabla rainbow entra en su propio. En lugar de tener que procesar cientos de miles de contraseñas potenciales y hacer coincidir su hash resultante, una tabla rainbow es un enorme conjunto de valores hash específicos del algoritmo precalculados.,
usar una tabla rainbow disminuye drásticamente el tiempo que toma descifrar una contraseña con hash – – – pero no es perfecta. Los Hackers pueden comprar tablas rainbow rellenadas con millones de combinaciones potenciales.
Pros: puede averiguar contraseñas complejas en un corto período de tiempo, otorga al hacker mucho poder sobre ciertos escenarios de seguridad.
contras: requiere una gran cantidad de espacio para almacenar la enorme tabla rainbow (a veces terabytes). Además, los atacantes están limitados a los valores contenidos en la tabla (de lo contrario, deben agregar otra tabla completa).,
Manténgase seguro: Otro complicado. Las mesas Rainbow ofrecen una amplia gama de posibilidades de ataque. Evite cualquier sitio que use SHA1 o MD5 como algoritmo de hash de contraseñas. Evita cualquier sitio que te limite a contraseñas cortas o restrinja los caracteres que puedes usar. Utilice siempre una contraseña compleja.
¿Se pregunta Cómo saber si un sitio web almacena contraseñas en texto plano? Echa un vistazo a esta guía para averiguarlo.
6. Malware / Keylogger
otra forma segura de perder sus credenciales de inicio de sesión es caer en el malware. El Malware está en todas partes, con el potencial de causar daños masivos., Si la variante de malware cuenta con un keylogger, podría encontrar todas sus cuentas comprometidas.
alternativamente, el malware podría apuntar específicamente a datos privados o introducir un troyano de acceso remoto para robar sus credenciales.
Pros: miles de variantes de malware, muchas personalizables, con varios métodos de entrega fáciles. Una buena probabilidad de que un gran número de objetivos sucumban a al menos una variante. Puede pasar desapercibido, lo que permite una mayor recopilación de datos privados y credenciales de inicio de sesión.,
contras: la posibilidad de que el malware no funcione o esté en cuarentena antes de acceder a los datos, no garantiza que los datos sean útiles.
Manténgase seguro: instale y actualice regularmente su software antivirus y antimalware. Considere cuidadosamente sus fuentes de descarga. No haga clic en los paquetes de instalación que contienen bundleware y más. Manténgase alejado de los sitios nefastos (lo sé, es más fácil decirlo que hacerlo). Utilice herramientas de bloqueo de scripts para detener scripts maliciosos.
7. Spidering
spidering enlaza con el ataque del diccionario que cubrimos anteriormente., Si un hacker se dirige a una institución o negocio específico, puede probar una serie de contraseñas relacionadas con el negocio en sí. El hacker podría leer y cotejar una serie de términos relacionados or o usar una araña de búsqueda para hacer el trabajo por ellos.
es posible que haya escuchado el término «araña» antes. Estas arañas de búsqueda son extremadamente similares a las que se arrastran a través de internet, indexando el contenido para los motores de búsqueda. La lista de palabras personalizadas se usa contra cuentas de usuario con la esperanza de encontrar una coincidencia.,
Pros: potencialmente puede desbloquear cuentas para personas de alto rango dentro de una organización. Relativamente fácil de armar y agrega una dimensión adicional a un ataque de diccionario.
contras: podría muy bien terminar infructuoso si la seguridad de la red organizacional está bien configurada.
Manténgase a salvo mediante: una vez más, solo use contraseñas fuertes de un solo uso compuestas de cadenas aleatorias—nada que vincule a su persona, negocio, organización, etc.
8. Shoulder Surfing
bien, la opción final es una de las más básicas., ¿Qué pasa si alguien simplemente mira por encima de su debería mientras usted está escribiendo su contraseña?
el surf de hombro suena un poco ridículo, pero sucede. Si estás trabajando en un concurrido café del centro y no prestas atención a tu entorno, Alguien podría acercarse lo suficiente como para anotar tu contraseña mientras escribes.
Pros: enfoque de baja tecnología para robar una contraseña.
contras: debe identificar el objetivo antes de averiguar la contraseña, podría revelarse en el proceso de robo.,
Manténgase seguro: permanezca atento a los que le rodean al escribir su contraseña, Cubra su teclado, oculte sus teclas durante la entrada.
siempre Use una contraseña Fuerte, única y de un solo uso
entonces, ¿cómo evitar que un hacker robe su contraseña? La respuesta muy corta es que realmente no puede ser 100% seguro. Las herramientas que los hackers utilizan para robar sus datos están cambiando todo el tiempo. Pero puede mitigar su exposición a la vulnerabilidad.
Una cosa es segura: usar una contraseña fuerte, única y de un solo uso nunca hace daño a nadie., Si desea herramientas para crear contraseñas y frases de contraseña seguras, ¡podemos ayudarlo!
- Seguridad
- Contraseña
- Seguridad en Línea
- Hacking
- Consejos de Seguridad
Sobre El Autor
Gavin es el Junior Editor para Windows y Tecnología, Explicó, un colaborador habitual de la Realmente Útil Podcast, y fue el Editor de MakeUseOf crypto enfocado en el sitio de la hermana, Bloques Decodificado., Tiene una licenciatura en escritura contemporánea (Hons) con prácticas de Arte Digital saqueadas de las colinas de Devon, así como más de una década de experiencia profesional en escritura. Disfruta de grandes cantidades de té, juegos de mesa y fútbol.más de Gavin Phillips