El primer jueves de cada mes de mayo desde 2011 se celebra el Password Day, o lo que es lo mismo: el Día Mundial de la Contraseña. Una jornada con un único objetivo: recordar la importancia de contraseñas seguras y proteger adecuadamente su información personal a través de claves robustas.
Puede parecer algo obvio, pero no lo es tanto si recordamos cuáles son las (todavía) contraseñas más usadas. 123456 y password son las claves más utilizadas por los usuarios a lo largo de 2018. La compañía de seguridad SplashData publica cada año esta lista de las contraseñas más usadas, y estas dos llevan años encabezando el ranking.
Muchos usuarios aún no son conscientes de la relevancia de contar con una contraseña robusta. De hecho, según un informe de Deloitte, casi el 90% de las contraseñas de los usuarios a nivel global son vulnerables a los ataques de los ciberdelincuentes.
Pero a pesar del creciente volumen de amenazas, una gran parte de la población aún mantiene hábitos poco seguros al respecto, como utilizar una misma clave para todas sus cuentas.
Contraseñas: la llave de nuestras vidas digitales
Lo que debemos comprender es que un ataque a nuestras claves digitales es un ataque a nuestra información. “En la era digital en la que vivimos, casi todos nuestros servicios online requieren una contraseña. Se han convertido en la llave para acceder a todos nuestros datos personales: contactos, detalles bancarios, fotos… Por eso, los cibercriminales con su malware, bots, spam y campañas de phishing, siempre están en busca y captura de nuestras contraseñas: es su forma de acceder a lo que más nos importa,”. Así lo explica Francisco Sancho, Product Partner Manager Consumer and Mobile en McAfee España.
¿La buena noticia? (porque sí, somos optimistas) es que los usuarios cada vez tenemos más herramientas para protegernos de estas amenazas. Soluciones de seguridad como gestores de contraseñas, pero también, la información y el conocimiento al que podemos acceder.
Los expertos de Entelgy Innotec Security apuntan que para tomar las precauciones necesarias, «es importante conocer primero qué técnicas son las más empleadas por parte de los ciberdelincuentes y qué errores de los usuarios les facilita la tarea». Hacemos un repaso a estos ataques más comunes.
Ciberamenazas a nuestras contraseñas (e información) más comunes
Spidering
Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o su trabajo. Los ciberdelincuentes son conscientes de ello y se aprovechan de ello para poder hacerse con ellas. En esta técnica se emplea una técnica denominada araña de búsqueda, que es similar a las empleadas en motores de búsqueda, que va introduciendo los términos.
Es un tipo de ataque muy efectivo contra grandes empresas, pues hay más información de ellas online, así como para obtener contraseñas de redes Wi-Fi, generalmente relacionadas con la propia compañía.
Fuerza bruta
El ciberdelincuente en este caso usa software diseñado para probar contraseñas al azar hasta dar con la correcta, tarde lo que tarde, por eso de denomina de «fuerza bruta». Eso sí, el atacante intenta primero las más comunes, tales como “1q2w3e4r5t”, “zxcvbnm” o “qwertyuiop”. Y por supuesto, combinaciones de números como 123456…
Si esto no le funciona, posteriormente tratará de obtener alguna pista consultando información relacionada con el usuario usando técnicas OSINT (Open Source Intelligence), o lo que es lo mismo: búsqueda en fuentes abiertas. Para ello, tan solo necesitará visitar sus perfiles en redes sociales y dar con lo que está buscando, ya que en muchas ocasiones están mal configuradas en términos de privacidad.
Ataque de diccionario
En este caso se usa también un programa informático, pero este está programado para probar cada palabra de un diccionario que está previamente definido. Este contiene las combinaciones de contraseñas más utilizadas en el mundo que pueden obtener de las bases de usuarios y contraseñas que se filtran cada año provenientes de brechas de seguridad.
Keylogger
De forma inconsciente, la víctima instala un malware en su dispositivo conocido como keylogger. Se trata de un malware tipo troyano cuyo vector de infección suele provenir de algún enlace malicioso o descarga de un archivo de internet.
Una vez instalado, el keylogger es capaz de capturar todas las pulsaciones del teclado, (incluyendo las contraseñas9, que serán enviadas automáticamente al ciberdelincuente. Por supuesto, este ataque es especialmente peligroso ya que registra todo lo que el usuario escribe.
Phishing
Los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al hacer clic en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea.
Este mensaje de phishing suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.
Ingeniería social
Esta técnica no se llevan a cabo a través de equipos informáticos, sino que se basa en conocer la mayor cantidad de información de los usuarios. En concreto la práctica conocida como shoulder surfing, (espiar a un usuario cuando está escribiendo sus credenciales). También, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, como puede ser el servicio ténico, o una tarea simple como buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología.
¿Cómo proteger nuestra información? Consejos para crear una clave segura
Hay algunos consejos básicos que es necesario seguir, además por supuesto del más clásico. Es importante recalcar que la práctica, todavía vigente, de dejar la contraseña apuntada en un post-it alrededor del equipo, es totalmente desaconsejable.
Es importante estar informado. Conocer cómo actúan los ciberdelincuentes (por ejemplo, siendo consciente de los tipos de ataques descritos antes) para así estar alerta si, por ejemplo, nos llega un correo electrónico fraudulento que lo único que quiere son nuestros datos.
Además de estos consejos, desde Entelgy Innotec Security recomiendan ponerlo difícil.
Según el último informe del Centro Nacional de Ciberseguridad de Reino Unido (NCSC), 23,2 millones de usuarios de todo el mundo que han resultado víctimas de una brecha de seguridad utilizaban como contraseña para sus cuentas la famosa clave 123456.
Para evitar estos ataques es recomendable, en primer lugar, modificar la contraseña la primera vez que accedemos a una nueva cuenta o equipo. Esa nueva clave, preferiblemente de más de 8 caracteres, deberá incluir signos, caracteres especiales y alternar mayúsculas y minúsculas.
Además, será importante evitar palabras comunes o relacionadas con información personal del usuario y nunca reutilizarla. Es fundamental crear una contraseña diferente para cada cuenta de usuario, de forma que si una es robada no se vean comprometidos varios servicios.
En el entorno corporativo, es fundamental asimismo contar con buenas prácticas e implantar una política de seguridad interna. Esta debe transmitir a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la compañía. Por ejemplo, la obligación de confidencialidad de la información manejada, bloquear la sesión al ausentarse del puesto de trabajo o la prohibición de instalar cualquier software sin previa autorización.
Hay que cuidar las contraseñas. Y protegerlas, para que ellas te puedan proteger a ti. Un 69% de profesionales admite compartir contraseñas con sus compañeros de trabajo, una práctica muy poco segura si, además, esta información se transmite por algún medio online.
Lo recomendable es no dar este dato a nadie ni dejarla apuntada en ningún documento al que pueda acceder otra persona.
Como medidas de protección y seguridad adicional, siempre es recomendable usar herramientas de almacenamiento de contraseñas, como los ya mencionados gestores de contraseñas.
Hay que tener en cuenta que ninguna tecnología es segura al 100%, pero sin duda será más difícil el robo de una contraseña si el usuario hace uso de estos gestores.
Además, algunos de ellos ofrecen la posibilidad de incluir una doble autenticación, es decir, proporcionar una capa de protección adicional.
Además, estas herramientas nos pueden ayudar a reducir el tiempo que empleamos en resetear la contraseña cuando nos olvidamos de ella en alguno de los (cientos) de servicios online que usamos.
Según el informe antes mencionado, los empleados de las empresas aseguran que pierden de media 12,6 minutos a la semana o 10,9 horas al año poniendo y reseteando contraseñas.
