Contraseñas fáciles, difíciles, ¿cómo las averiguan los cibercriminales?

Cibercrimen

¡Amigos del blog!

Seguro que los lectores de nuestro blog, aguerridos soldados de la seguridad cibernética, conocedores, aprendices o curiosos, seguro que TODOS manejáis un gran número de contraseñas seguras.

Relativo a la seguridad de la contraseña, por todos es sabido las distintas recomendaciones de los expertos informáticos, seres…, dejémoslo ahí, seres.

Tienes que tener una contraseña distinta para cada red social, para cada servicio. Esta a su vez debe ser compleja, con más de 8 caracteres. Hay que cambiarla cada cierto tiempo, y no estar repitiéndola constantemente. Algunos gurús recomiendan no seguir patrones, es decir, si tu clave es pepe2017, en 2018 no lo pongas… ¡porque te cazan!

Hasta aquí nada nuevo. Como todos, incumplimos cada uno o al menos varios de los puntos sistemáticamente y tampoco pasa nada :-)

Pero el mundo del cibercrimen va más allá de todo esto, y con esta entrada queremos concienciaros y mostraros como se averiguan realmente las contraseñas en Internet, como lo hacen los malos, y por supuesto como evitarlo.

 

Evitar ataques a la seguridad cibernética

 

Huir de contraseñas evidentes

No uses contraseñas evidentes. Aquí entran muchos casos. El más sencillo, no uses contraseñas que puedan estar entre el top 10, top 100, top 1000 de contraseñas más usadas. Me refiero a tu brillante idea de que tu contraseña sea “contraseña” o los más internacionales “passwords”, ohhh, la pesadilla de los delincuentes. “11111111” no es segura, por ende todas las “12345…” “87654…” y demás casos evidentes de posibles contraseñas no son válidas.

 

Fuerza Bruta

Los ciberdelicuentes emplean diccionarios personalizados con este tipo de contraseñas para probar, lo que se denomina fuerza bruta, y aunque 8 dígitos cumplan la complejidad que piden de longitud, no es seguro, “querty” tampoco lo es.

 

No confiar demasiado en la nomenclatura hacker

 Hay casos de usuarios “curiosos” los voy a llamar, que emplean la “nomenclatura hacker” de hace 30 años, que consiste en cambiar vocales y consonantes por otras “parecidas”. Te pongo un ejemplo: papa o p4p4, rojo o r0j0, lápiz o láp1z o l4p1z Esas substituciones no suelen ser la panacea tampoco, ya que un atacante las usará en tu contra.

 

Tips de seguridad cibernética

 

Pregunta de seguridad

Ya teníamos por un lado diccionarios con los tops más usados.

Por otro lado, tenemos un servicio que seguro te suena: ¡la pregunta de seguridad! Una pregunta que se nos solicita cuando nos registramos en algún servicio medio decente, que sirve para que, en caso de pérdida de contraseña, tener algún elemento que nos identifique. Muchos preguntan por el nombre de la mascota, otros por el primer colegio. Este dato suele ser FÁCIL de adivinar.

Recuerdo mis primeras experiencias “hackers” hace 20 años con los primeros correos. Había cadenas de correos con 15 /30 preguntas para conocerse, para ligar. Entre ellas, colabas la pregunta de seguridad de la víctima a la que querías vulnerar, y a esperar que lo rellene. Parece de película, pero funcionaba. Imagínate ahora, con las redes sociales, un post por ahí que te incita a poner el nombre de esa mascota que más quieres o un grupo de la red social de antiguos alumnos de… PRECAUCIÓN con estas preguntas.

Todas estas técnicas son conocidas por toda la comunidad desde hace muchos años, al igual que lo son las herramientas disponibles en Internet para todos, que permiten personalizar la tarea de hackear contraseñas.

 

Herramientas con diccionario personalizado

No me refiero a herramientas que realizan el ataque, sino las que permiten ser selectivos y realizar un diccionario personalizado para tu víctima.

Vamos a poner este ejemplo: http://2.bp.blogspot.com/-PcHcgp4DYZ4/UEmjs9AsmVI/AAAAAAAAAPU/83FLyeEQCHA/s1600/cuppi.JPG

Es una herramienta que nos va guiando en el proceso de la maldad: Dime como se llama tu víctima, dime como se apellida, dime el número de hijos que tiene, el nombre de su mujer, la fecha de nacimiento, y así, una seria de preguntas. Con esta información, la herramienta genera una lista de palabras relacionadas con los datos que seguramente nos brindará el acceso o la buscada contraseña.

Imagina una clave como Juanito1980, mercedes1989, juanmaria9798, 1978joaquin, sumada a las permutaciones de caracteres: Ju4n1t01980, etc…

¿Hemos descubierto el patrón de tu clave? :-)

Gustos y aficiones. Si eres un fan de la guerra de las galaxias, usar un diccionario relacionado con la temática en busca de claves como: jedi1980, hansolo77 y similar, no es una idea descabellada a la hora de buscar…

 

Buscar literales en la web de la empresa

Otro tipo de herramienta que usan los cibercriminales, y que usamos en nuestros procesos de auditoria y pentesting es la de buscar en la web de la empresa literales. Pongamos de ejemplo una web sanitaria, de un centro hospitalario. Mediante el uso de varias herramientas podemos recopilar un número interesante de PALABRAS que aparecen, descartando artículos, pronombres, determinantes, palabras comodín etc. De esta manera, podemos averiguar que palabras que se usan en un hospital son:

  • El nombre del hospital
  • Médico
  • Hospital
  • Cirugía

Con esta información, podemos sumar el resto de “tecnologías” o aproximaciones que hemos mencionado a nuestro proceso de maldad para intentar averiguar las contraseñas de una lista más acotada a la web que queremos evaluar, por ejemplo, tenemos de resultados: hospital2010, médicos, anestesia78, etc.

 

Emplear el nombre de usuario

Otro tipo de contraseñas que vemos en nuestros clientes son las relativas a su nombre de usuario y alguna modificación. Por ejemplo, en una empresa donde se usa N.Apellido@nombre_empresa  es normal encontrar con usuarios que emplean: J.Molina78, o J.M0l1n478, al final son contraseñas predecibles que con más o menos tesón, pueden ser obtenidas.

Desde el punto de vista de la empresa que ofrece el servicio, debemos ofrecer a nuestros usuarios seguridad, protección. Evitar que desde una misma ip se pueda realizar un ataque de fuerza bruta, detectar logins, debemos realizar una tarea mínima de seguridad.

 

Herramienta para gestionar contraseñas

Desde el punto de vista del usuario, mi consejo es utilizar una herramienta de gestión de contraseñas. Mi favorita es Keep Pass, gratuita. Podemos vincular la clave maestra a un USB, por lo que solo podrá ser abierto el fichero si está conectado el pendrive. 

Dentro de este programa vamos añadiendo servicios y apuntamos su contraseña. Lo suyo es ya que tenemos este “bloc de notas”, usar contraseñas complejas, complejas del tipo: 4?¿3ghgfeh5634FGgff,.-hj534l5h34l5h y acostumbrarnos a emplear el copy/paste cuando navegando necesitemos entrar a los servicios web. Al final no sabrás ninguna contraseña, y esa es la mejor manera de que nadie pueda averiguarla, con una combinación de cibernética y seguridad.

En Verne contamos con un servicio de ciberseguridad para que estés protegido frente a los ciberataques que puedan dañar tu empresa. Nuestra solución Bee Safe te ofrece una gestión integral de tuis equipos, de la mano de los mejores profesionales y la mejor tecnología del mercado.

Espero que os hayan servido estos aspectos básicos de la gestión de las contraseñas y como pueden ser empleadas en nuestra contra.

¿Se te ocurre alguna maldad más? ¡Anímate y comenta!

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>