Comprar tus datos robados y otros métodos para robar contraseñas
Desde comprarlas en la Dark Web a conseguirlas por métodos como el clásico Phishing o el peliculero Keystroke Logging’.
Cada vez que se produce un ataque hacker, inmediatamente los dueños de la web o plataforma de servicios emiten el mismo mensaje señalándonos que debemos cambiar de contraseña. Y de hecho hay muchos expertos en seguridad que recomiendan que modifiquemos el password a menudo, ya que de esa forma será más difícil para un hacker rastrearnos y piratearnos el sistema. Pero ellos siguen intentándolo una y otra vez de distintos métodos. Porque alguno caerá en su búsqueda de reventarse las contraseñas.
El método más básico para obtener una contraseña es, por descontado, empezar a probar una tras otra. Si se tiene el email usado por la víctima en una o varias cuentas, hay que empezar a probar desde los passwords más básicos y absurdos como ‘12345’ ó ‘qwerty’ (es sorprendente pero hay muchísima gente que los usa y los repite de una cuenta a otra) hasta nombres de famosos, de series, de personajes, deportistas, etc. Este proceso requiere mucho tiempo y paciencia, por lo que se puede pasar a algunos de los siguientes, como cuentan desde la web de BOTECH, expertos en prevención online para evitar fraudes:
Credenciales compradas
Llamado ‘Credential Stuffing’, ‘Breach Replay’ o ‘List Cleaning’, se trata de un método muy usado debido a su simpleza. Consiste en comprar credenciales recopiladas de sitios web y plataformas que han sido hackeados y de los que se han robado datos para usarlas posteriormente en múltiples plataformas. Como dijimos antes, es muy habitual la re-utilización de contraseñas para diversas aplicaciones.
Phishing
El clásico imperecedero de la Red, el Phishing, Suplantación de Identidad, ‘Man-in-the-Middle’ o ‘Credential Interception’ está muy extendido porque se trata de un procedimiento que no requiere de conocimientos de hacking. Se basa en mandar correos electrónicos prometiendo a la víctima algún tipo de beneficio o informando de una irregularidad de cualquier tipo, instándole a iniciar sesión en una web falsa. Algunos/as acaban picando por pura curiosidad o miedo infundado por el contenido del email y revelan sus datos.
Keystroke Logging
Uno de esos que suena a hackeo de película, el ‘Keystroke Logging’ o Registro de Pulsaciones de teclas es menos habitual que los anteriores por su complejidad: Un malware registra y transmite los nombres de usuario y las contraseñas ingresadas, aparte de todo aquello que es tecleado. Lo malo de este método es que hay que estudiar la información recopilada para poder determinar qué conjunto de caracteres podrían pertenecer a una contraseña. Para lograr hacerlo funcionar, es necesario transmitir un malware haciendo que el usuario a hackear haga click en un enlace que le enviemos.
Dumpster Diving
El Descubrimiento local o Dumpster Diving, reconocimiento físico o escaneo de red, consiste en localizar post-its, cuadernos, libretas o cualquier papel en el cual hayan sido apuntadas las claves del objetivo. Es un método físico y laborioso, por lo que no es muy usado pese a ser muy eficaz. Se puede usar información aparentemente inocente como una lista de teléfonos, un calendario o un organigrama para ayudar a un atacante en sus labores de ingeniería social.
Password Spray
Si un método es usado en “el 16% de los ataques” hackers del mundo, entonces es que es fiable, efectivo y eficaz. El Spray de Contraseña genera cientos de miles de ataques al día y millones de intentos. Consiste en probar de forma desatendida, mediante software, la misma contraseña en un gran número de nombres de usuario.
La mayoría de los ataques requieren de unas 10 contraseñas, aunque el número puede oscilar entre 2 y 50. Lo malo de este método es que es detectable y el servidor de inicio de sesión podría detener el proceso. Por eso, los atacantes necesitan maximizar su impacto antes de ser detectados, por lo que utilizan histogramas de fugas existentes y los usan para generar sus ataques.
Las principales contraseñas utilizadas en estos ataques son:
Se suelen utilizar a menudo porque son simples de teclear y recordar. La contraseña puede ser comprometida solo si está incluida en la lista que el atacante está utilizando.
Fuerza Bruta
Cuando todo lo demás falla, en vez de una pistola es mejor usar un cañón. El método de la Fuerza Bruta consiste en crackear bases de datos. Resulta sencillo si la organización objetivo tienen una defensa poco estricta, pero será complicado si se ha defendido apropiadamente. La dificultad también puede variar en función a la encriptación empleada, ya que se busca crackear el hash de los passwords.
Según Botech, “De todos los casos anteriores, el uso de una buena contraseña cobrará sentido únicamente en los métodos password spray y brute force. Para el resto, es indiferente que se hayan usado contraseñas seguras o no”.