Los métodos más usados y efectivos para descifrar contraseñas (y cómo puedes protegerte)

No hay contraseña infalible, pero si das con un método para generar claves lo más robustas que puedas, te evitarás muchos disgustos. Hay quien se dedica a tratar de conseguir contraseñas porque esa es la llave para iniciar sesión y obtener información de todo tipo, incluida la bancaria. Todo es cuestión de descifrar tu contraseña y a veces ya te advertimos que no cuesta demasiado: estos son los métodos más comunes para lograrlo.

Tirar del diccionario

Como advertíamos en la intro, hay contraseñas que no cuesta demasiado descifrar porque simple y llanamente basta con acudir al "diccionario" de contraseñas más comunes: 123456, qwerty, hola, password...

Así, basta con probar automáticamente con las combinaciones de contraseñas más utilizadas para tener éxito en la misión. Si pruebas en Nordpass en diferentes países y años, descubrirás que algunas son comunes con el paso de los años y las localizaciones y que no aprendemos.

Por tanto, no está de más recordar que si quieres tener una cuenta segura, nunca uses estas combinaciones populares y que requieren el mínimo esfuerzo tanto para crearlas como para descifrarlas. Afortunadamente, algunos servicios directamente ya exigen la combinación de letras, números, mayúsculas y minúsculas, así como cierta extensión para evitarlo.

Top contraseñas más usadas en España. Nordpass

Spidering

El spidering está relacionado con el ataque del diccionario en cierto modo: si un hacker tiene como objetivo conseguir las contraseñas de una corporación, puede simplemente probar con una serie de claves relacionadas con la institución.

Para resultar más efectivo, podría analizar términos relacionados o directamente usar una araña web, un programa diseñado para rastrear páginas inspeccionando su contenido de forma similar a como hacen los googlebots en busca de enlaces para indexar.

Teniendo en cuenta que la web de una empresa es mucho más pequeña que internet, es fácil realizar análisis completos y llegar a desbloquear cuentas importantes. Aquí la clave es tener una organización bien configurada y no descuidar la elaboración de contraseñas profesionales, prevaleciendo el uso de cadenas aleatorias frente al habitual recurso de emplear palabras o números relacionados con un puesto, persona, negocio, etc.

Tablas arcoíris (rainbow tables)

Las tablas arcoiris se usan para atacar contraseñas de servicios offline. Explicación: cualquier sistema informático con autenticación con contraseñas almacena una base de datos con credenciales y contraseñas pero, para mayor seguridad, no las guarda en texto plano sino de forma encriptada. Así, si alguien tiene acceso a ese archivo, no podrá usar las contraseñas y perfiles así como así.

La encriptación se produce con un hash criptográfico (nota: un hash es una función aplicada a un archivo para generar una clave que lorepresenta de forma única). Así, cuando un usuario introduce la contraseña, el sistema calcula su hash y lo compara con el hash almacenado. Si coincide, podrá acceder al servicio. Por tanto el atacante necesita una herramienta de reversión de hash para disponer de la contraseña: las tablas arcoiris.

Estas tablas, en lugar de procesar un elevado volumen de contraseñas potenciales en busca del hash resultante, dispone de un conjunto de hash específicos de algoritmos precalculados, lo que reduce drásticamente el tiempo necesario para descifrarlas.

Lo bueno de este sistema es que resulta efectivo para contraseñas sencillas, pero el hacker necesita mucho espacio para almacenar esas rainbow y su adquisición. Una forma de minimizar riesgos es evitar usar sitios que usen hash de tipo SHA1 o MD5 o que permitan contraseñas cortas. O más sencillo: en la medida de lo posible, usa siempre contraseñas complejas y extensas.

Ejemplo funcionamiento de las tablas arcoiris para averiguar la contraseña que produce el hash "re3xes". Fuente: Wikipedia

Con malware

Otra forma de robar tus credenciales pasa por tener instalador en tu ordenador, móvil u otro dispositivo un malware que disponga de registro de teclas (keylogger), lo que revelaría no una, sino todas las contraseñas que introduzcas después de su instalación.

No obstante, también podría tratarse de un malware que tuviera como objetivo rastrear en busca de datos privados, un troyano con acceso remoto o un programa que analice la red para robar contraseñas enviadas en texto plano. Como ves, las posibilidades son muchas en tanto en cuanto la variedad de malware existente y personalizable cuya presencia puede pasar desapercibida.

Protegerse del malware es una tarea compleja que requiere no bajar la guardia: mantener tu equipo y sus programas actualizados, disponer antivirus y pensártelo dos veces antes de descargar e instalar qué y desde dónde descargamos software son algunas de las medidas más efectivas.

Ataques de fuerza bruta

El nombre de por sí es bastante descriptivo: consiste en que quien ataca emplea todas las combinaciones posibles para adivinar una contraseña, un procedimiento que puede requerir una eternidad o ser moderadamente corto, por ejemplo para descifrar un pin de cuatro cifras (por eso deberías cambiar el PIN de tu teléfono por un código alfanumérico).

Las contraseñas a probar deben coincidir con los parámetros especificados por el servicio (por ejemplo, si exige que tengan al menos ocho caracteres, letras y números, esa será la base). No obstante, en los ataques de fuerza bruta también se prueban las combinaciones alfanuméricas más utilizadas, como por ejemplo 1q2w3e4r5t.

Sobre el papel este método tiene potencial para descubrirlas todas, pero en la práctica el factor tiempo importa. Una forma de añadir complejidad a tus contraseñas es hacerlas largas y añadir símbolos más allá de letras y números, por ejemplo $ o &.

Ataque patrón

El ataque patrón es similar al anterior en el sentido de que para averiguar la contraseña, quien probará diferentes combinaciones hasta tratar de dar con tu contraseña. La diferencia está en que en este caso el hacker ya conoce parte de la contraseña, lo que agiliza considerablemente el proceso... siempre y cuando tu contraseña sea corta y fácil.

Si es robusta y larga, seguirá siendo una operación tan larga que sea poco práctico averiguarla. Así que como en el caso anterior, no dudes en añadir símbolos, hacerla larga y que sea única, para que el hacker no tenga pistas ante posibles filtraciones.

Phising

El phising no es estrictamente un tipo de hacking, pero en la práctica es una forma efectiva de conseguir una contraseña. El procedimiento consiste en enviar un mensaje, puede ser un email, un SMS, un WhatsApp a una gran cantidad de gente en la que se finge ser otra persona o entidad de confianza.

El mensaje debe emular a la persona o entidad que está suplantando: con logos, fuentes, forma de expresarse, colores corporativos...y expresar algo que invita a la preocupación y la urgencia. En el mensaje hay un enlace que lleva a un inicio de sesión falso donde introduciremos nuestras credenciales. Si lo hacemos, estaremos facilitando la contraseña nosotros mismos.

Lo bueno de esta técnica es que aunque necesita que los hackers necesitan invertir tiempo en observar a la persona o entidad a suplantar e implementar la farsa (en envío de mensajes, la web, etc.), después el envío masivo resulta rápido y con que un porcentaje pequeño pique, tendrán éxito. No obstante, estos mensajes pueden ser filtrados (caso de los emails) y no llegar al receptor.

La mejor manera de evitar el phising es sospechar de esos mensajes acuciantes y, en caso de duda, consultar con la entidad. Un ejemplo: si te llega un email de tu banco pidiéndote tu contraseña para la banca online bajo la amenaza de cerrarte la cuenta, contacta con tu sucursal para verificarlo.


Ingeniería social

La ingeniería social es algo así como el phising, pero fuera de la pantalla. Así, por ejemplo una persona podría llamarte por teléfono diciendo que es de tu compañía de teléfono y que necesita tus datos bajo cualquier pretexto urgente (por ejemplo, una oferta irrechazable por tiempo limitado). Si te lo crees, le darás tus datos personales y contraseña

Si el atacante llama a la suficiente cantidad de gente y pilla a personas desprevenidas, con pocos conocimientos y/o crédulas, su tasa de éxito será alta. De aquí la importancia de informarse y desconfiar de todo:  lo de ser poco claro para "vender" ha funcionado toda la vida.

La mejor forma de esquivar esta forma de estafa es andar con mil ojos. Antes de dejarse llevar por las prisas, mejor comprobar que lo que nos están ofreciendo es verdad o no y no facilitar ningún dato.

Que directamente la vean

A veces la forma de conseguir una contraseña no tiene por qué ser complicada: basta con que uses el PIN de tu teléfono mientras estés en el metro o que te loguees en un servicio desde tu portátil en una cafetería para que unos ojos curiosos se queden con la información. Poca técnica y máxima efectividad.

De hecho, el primer caso es uno de los más efectivos en la actualidad para robarte tu vida digital cuando alguien se hace con tu teléfono. Obviamente no es un sistema para conseguir contraseñas a gran escala, pero si eres una de las personas que lo sufren, eso será lo de menos.

Para minimizar riesgos evita ejecutar operaciones sensibles en lugares sensibles, usa sistemas biométricos que te ahorren tener que teclear contraseñas y si tienes que hacerlo, oculta el teclado de la vista de miradas indiscretas.

Portada | Imagen de Jan Alexander en Pixabay

En Genbeta | Uso un gestor de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día

Ver todos los comentarios en https://www.genbeta.com

VER 2 Comentarios

Portada de Genbeta