¿Cómo roban los ciberdelincuentes las contraseñas? La empresa de ciberseguridad ESET recopila algunas de las técnicas más efectivas y usadas.

Una de las tareas más tediosas para un usuario es buscar una contraseña para proteger sus cuentas. Decimos tediosa porque nunca sabemos si es lo suficientemente segura para evitar problemas indeseados. Nos pasamos mucho tiempo pensando en una contraseña, y puede darse el caso de «agotamiento mental» y optar por la más fácil. Ya hemos caído en el primer error, el cual podría convertirse en una puerta de entrada para los ciberdelincuentes; una puerta enorme a decir verdad. ESET, compañía experta en ciberseguridad, ha querido enumerar algunos de los movimientos que más suelen usar los cibercacos para hacerse con nuestras contraseñas. La gran mayoría son muy conocidas, sobre todo para los que estamos inmersos dentro del sector; no obstante, hay un amplio sector de usuarios que las desconocen. Esta lista servirá para estar más al tanto de los ciberpeligros. ¿Cómo roban los ciberdelincuentes las contraseñas?

Phishing e ingeniería social

Phishing, smishing, vishing, y docenas de ishing… Estas técnicas de ataque son las preferidas por los ciberatacantes, sobre todo las que usan como cebo a entidades bancarias, empresas de mensajería o comercios electrónicos. Las víctimas, ajenas al embrollo en el que se pueden meter, no dudan en abrir el correo y descargar el archivo adjunto. Se dan muchos casos de esta índole, especialmente si hay Bancos de por medio. En estos casos, los usuarios se ponen nerviosos porque el mensaje suele mostrar un contenido negativo. En lugar de llamar al banco para comprobar la veracidad del mensaje, la víctima lo abre sin dudar y siegue las instrucciones proporcionadas por el ciberdelincuente. También entra en juego en estas técnicas la ingeniería social, logrando que hagamos cosas que no deberíamos.

Uso de Malware

Otra de las técnicas más populares y extensas que vemos tiene como protagonista al Malware. Raro es el día que no hablamos de un caso de malware que afecta a una empresa o a usuarios. Pueden entrar por cualquier dispositivo -PC, smartphone, tablets, etc.-, e ir camuflado de la forma más sorprendente posible. Podemos encontrarlos en correos electrónicos o en SMS, pero también en forma de app descargada a través de una Store digital. Existen casos de apps camufladas como juegos u otro software (linterna, para modificar caras, etc.) que se han usado para vulnerar la seguridad de los dispositivos. Los objetivos de estos malwares son variados, desde robar información hasta hacer capturas de pantalla del dispositivo y enviarlas a los ciberatacantes. Hay que extremar las precauciones.

Mediante Fuerza bruta

Uno de los errores más básicos que cometemos con las contraseñas es hacer uso de la misma para varias cuentas. Cuenta de banco, de Amazon, de redes sociales o de plataformas de streaming contratadas ligadas a la misma contraseña… El ciberdelincuente no es tonto, y si descubre la contraseña de nuestra red social intentará usarla para comprobar si es la misma, por ejemplo, de nuestra app de cuenta bancaria. A esta técnica se la denomina Fuerza Bruta, y consiste básicamente en introducir grandes volúmenes de combinaciones de nombres de usuario y contraseñas en un software automatizado. Esta herramienta prueba las credenciales en varios sitios para encontrar coincidencias. ESET estimó que en 2021 se produjeron 193.000 millones de intentos de esta clase.

Adivina, adivinanza

Quizás sea el método más simple y pobre, pero también el más efectivo. Nos duele la boca de decirlo, pero 1234567890 no es una contraseña segura, nuestra fecha de nacimiento no es una contraseña segura; password no es una contraseña segura. Así podríamos estar toda la mañana, pero no es plan… Por desgracia, estas contraseñas son muy usadas por el público, lo cual facilita enormemente la tarea a los ciberdelincuentes. Es tan sencillo como probar y esperar a ver si suena la flauta. Lamentablemente, la flauta suena más veces de lo que debería. La propia ESET ha publicado un estudio recientemente de las contraseñas más usadas en 2021; contraseñas que son inseguras para los usuarios. En  2021, como en anteriores, se siguió cometiendo el error de usar configuraciones muy vistas ya, tales como: 123456, 123456789 o 12345.

Mirar por encima del hombro

La última técnica mencionada se llama shoulder surfing, la cual consiste en algo tan sencillo como «mirar por encima del hombro». Un ciberdelincuente no actúa solo en redes, sino también en el mundo real. Podemos estar sacando dinero del cajero y, en un momento dado, alguien pasa por detrás nuestro y mira el PIN de la tarjeta crédito; estamos poniendo la contraseña de una red social en la calle y cerca nuestro hay alguien de dudosa moralidad y la ve… Tendemos a ser descuidados con estas cosas, y luego vienen los problemas. Hay que ser muy cuidadosos con las acciones que realizamos en la calle, sobre todo si hay gente de por medio. ¿Cómo roban los ciberdelincuentes las contraseñas?