Día Mundial de la Contraseña: los ciberataques más habituales y cómo evitar caer en ellos

El primer jueves del mes de mayo se celebra el Día Mundial de la Contraseña, una fecha que busca concientizar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos. 

Una forma de protegerse de posibles ciberataques consiste en conocer los tipos de ataques y las tácticas más habituales de los cibercriminales, así como los errores que comenten los usuarios con el objetivo de evitar caer en ellos. 

Por fuerza bruta

Una de las tácticas más frecuentes consiste en la «fuerza bruta», como señalan desde Entelgy Innotec Security. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como ‘1q2w3e4r5t’, ‘zxcvbnm’ o ‘qwertyuiop’. 
En este sentido, la combinación numérica ‘123456’ estaba presente en las cuentas hackeadas de más de 23,2 millones de usuarios de todo el mundo, según revela una investigación reciente del Centro Nacional de Ciberseguridad de Reino Unido. 

Si introducir una contraseña frecuente no funciona, el cibercriminal tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, tan sólo necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad. 

De diccionario

Otro ataque habitual es el conocido como de «diccionario». Un programa informático prueba cada palabra de un diccionario previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo. 

El espía

En el tipo de ataque denominado keylogger, el usuario instala inconscientemente un programa malicioso, conocido como keylogger, al acceder a un enlace o descargar un archivo de internet.  Una vez instalado, este captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. Como señalan desde Entelgy Innotec, este tipo de ataque es «especialmente peligroso» porque registra todo lo que el usuario escribe.

Phishing

En el caso del ataque de phishing, los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al cliquear en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.

Ingeniería social

Los cribercriminales también recurren a técnicas de ingeniería social, que son aquellas que no se llevan a cabo a través de equipos informáticos. La práctica conocida como shoulder surfing, es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología.
Una práctica muy común es dejar la contraseña apuntada en un post-it cerca del equipo, lo cual, como advierten desde la compañía de ciberseguridad, es «totalmente desaconsejable». 

Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y, por tanto, lo aprovechan para robarlas. 

En este contexto, la técnica «spidering» emplea una «araña» de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Es un ataque «especialmente efectivo contra grandes empresas», como indican desde Entelgy Innotec, porque «disponen de más información online, así como para obtener contraseñas de redes WiFi, generalmente relacionadas con la propia compañía».

FUENTE: La Voz.