ESET, compañía de ciberseguridad, ha señalado cuáles son los métodos más habituales utilizados por los ciberdelincuentes para robar contraseñas. Por supuesto, el phishing y el malware figuran en la lista, pero también lo hacen otras técnicas menos sofisticadas como los ataques fuerza bruta o el “shoulder surfing”, es decir, averiguar las credenciales mirando por encima del hombro de una víctima desprevenida.
Como bien dice ESET, “la contraseña es a menudo lo único que se interpone entre un ciberdelincuente y sus datos personales y financieros”, por lo que crear claves seguras y únicas es fundamental si queremos proteger nuestras cuentas frente a los piratas informáticos.
Desafortunadamente, esta no suele ser una costumbre para la mayoría de los usuarios. De hecho, un estudio reciente de WP Engine revelaba que las contraseñas más comunes, además de poco originales, son también las menos seguras. La razón principal de esta práctica es que las personas tienden a crear claves fáciles de recordar, sobre todo si disponen de cuentas en numerosos sitios, por lo que usar la misma contraseña en todos ellos también es una opción bastante extendida.
Con todo esto en mente, ESET ha revelado cuáles son los cinco métodos más empleados por los ciberdelincuentes en el robo de credenciales y ha proporcionado algunas pautas para evitarlo.
Phishing e ingeniería social
Probablemente, se trate de una de las técnicas más utilizadas por los piratas informáticos. Como sabemos, estos recurren a correos electrónicos fraudulentos para tratar de engañar a los usuarios. Por desgracia, muchas veces lo consiguen y la ingeniería social tiene gran parte de culpa.
Los criminales intentan manipular a sus potenciales víctimas haciéndose pasar por entidades legítimas e incluso familiares para obtener sus datos personales. Los mensajes suelen incluir malware o enlaces a páginas que imitan a las originales para que estas faciliten sus datos sin ninguna sospecha. Si a esa suplantación de identidad además le sumamos la sensación de urgencia que suelen generar, amenazando por ejemplo con cerrar una cuenta si el usuario no actúa en un corto periodo de tiempo, los usuarios pueden caer en la trampa más fácilmente.
A pesar de que el que se realiza a través de correo electrónico suele ser el más extendido, también existen otras variantes como el smishing, enviado por SMS, o el vhishing (suplantación de identidad basada en voz) por vía telefónica. En algunas plataformas de mensajería como WhatsApp comienzan a proliferar fraudes de esta índole, pero, en este caso, en lugar de robar credenciales, se limitan a chantajear a sus víctimas a cambio de dinero.
Malware
El software malicioso es otro de los canales más frecuentes. Como comentamos antes, los mensajes de phishing pueden incluir archivos adjuntos de esta naturaleza o redirigirnos a páginas (drive-by-download) que lo contengan, sin embargo, no es el único lugar donde los podemos encontrar.
El malware también puede presentarse cuando accedemos a un anuncio malicioso (malvertising) a través del navegador e incluso en aplicaciones móviles aparentemente legítimas, especialmente en las que se descargan a través de tiendas de terceros.
Según ESET, las dos técnicas más comunes para robar contraseñas por medio de malware son registrar las pulsaciones del teclado o capturar la pantalla de los dispositivos sin que el usuario sea consciente de ello.
Ataques de fuerza bruta
Como mencionamos antes, utilizar la misma contraseña en varios sitios diferentes suele ser una costumbre bastante extendida. Esto puede ser comprensible, ya que, según las estimaciones, la cantidad de claves que una persona gestiona de media aumentó un 25% en 2020.
Sin embargo, los que más se benefician de esta situación son los ciberdelincuentes, que pueden conseguir acceso a varias cuentas de un plumazo. Para ello, les son bastante útiles los ataques de fuerza bruta. Normalmente, les basta con introducir grandes volúmenes de credenciales previamente comprometidas en sistemas automatizados, que, posteriormente, las probarán en varios sitios hasta dar con un resultado coincidente. Esto es algo que podría ser realmente peligroso, ya que, recientemente, supimos que esta era una de las técnicas empleadas para hacerse con los datos de más de 4 millones de tarjetas bancarias.
Pero esta no es la única manera. Como los seres humanos solemos pensar de manera similar en este tipo de situaciones, los piratas informáticos pueden optar por ingresar contraseñas de uso frecuente en el software mencionado hasta dar en el clavo.
Acertar mediante ensayo y error
Esta estrategia va en la línea de lo que acabábamos de mencionar, pero es mucho más rudimentaria porque no utiliza software automatizado. En este caso, los actores de amenazas tratan de averiguar contraseñas manualmente por medio del ensayo y error.
Y es que, una vez más, conviene recordar que las más utilizadas son también las más vulnerables. Según WP Engine, las contraseñas -tan poco originales como seguras- “123456”, “password” y “12345678” son las más extendidas; y si, además, el usuario las emplea en varias cuentas, las consecuencias pueden ser catastróficas.
Miradas indiscretas
El “shoulder surfing” o mirar por encima del hombro es el último método de la lista y, seguramente, el más antiguo. Se trata del único que podría tiene lugar en el mundo real y no en el virtual, pero no por ello es menos importante. El ejemplo más habitual suele darse al sacar dinero en un cajero automático, no obstante, también podría servir para robar cuentas de algunas aplicaciones como Snapchat, como demostró Jake Moore.
Aparte del “shoulder surfing”, hay otras técnicas parecidas que pueden resultarles útiles a los ciberdelincuentes como el denominado “man-in-the-middle”. Dicho método permite que estos puedan obtener los datos de los usuarios que estén conectados a través de redes WiFi públicas, por lo que se recomienda ser cautos ante las miradas indiscretas o recurrir a herramientas VPN en estas situaciones.
