Por lo tanto, es necesario asegurarte de proteger tus cuentas aplicando las mejores medidas preventivas contra los diversos tipos de ataques de contraseña que se mencionan a continuación.
Una credencial de acceso es básicamente un nombre de usuario y una contraseña asociada a esa persona y a los permisos de accesos que tiene otorgados para una aplicación, servicio o sistema. También puede considerarse como credencial de acceso un certificado de usuario, o cualquier otra forma o método de autenticación cuya finalidad es poder disponer de acceso a un recurso, como una aplicación o una página web o servicio.
Las credenciales de acceso son empleadas a diario por todo tipo de perfil de usuario, tanto expertos en sistemas TIC como personas no habituadas a las nuevas tecnologías. Esto hace de ellas un blanco a atacar por parte de los ciberdelincuentes, que además requieren de estas credenciales para conseguir sus objetivos.
Los delitos dirigidos a conseguir credenciales de acceso crecen cada año, implementando nuevas técnicas y mecanismos para tratar de obtener estas.
Las credenciales de acceso son esenciales de cara a proteger la información de una organización y la personal, por lo que conviene tener claro qué ataques están enfocados a obtener estas y qué mecanismos y técnicas emplean.
.png)
Qué tipos de ataques son los mas comunes
Phishing
El phishing es uno de los ataques de contraseña que más afecta a usuarios en la red, solo en el año 2021, un estudio reveló que al menos 83 % de las organizaciones encuestadas reportaron ataques de phishing vía correo electrónico en los que los atacantes engañaron a los usuarios para que hicieran clic en enlaces maliciosos o descargaran archivos infectados con malware.Es fácil llevar a cabo este tipo de ataques, ya que los ciberdelincuentes se hacen pasar por fuentes genuinas y confiables con las que la víctima siente que puede responder y compartir información confidencial; en la actualidad hay cuatro formas de ataques comunes de phishing:
 |
¿Qué es el ‘phishing’ y cómo detectarlo? |
Phishing normal
Es también conocido como phishing regular, la victima recibe un correo que luce genuino para una función con la que está familiarizado, como por ejemplo restablecer su contraseña. Si la victima sigue adelante sin confirmar la autenticidad del remitente, automáticamente expone sus credenciales a los atacantes, ya que el enlace lo redirige a un sitio web falso que parece legítimo.
Spear phishing
Con los ataques de contraseña spear phishing, los ciberdelincuentes envían correos usando una dirección de confianza en tu directorio (generalmente un amigo o colega de trabajo), quien solicita que hagas clic a un enlace o descargues una aplicación maliciosa al abrir el correo.Smishing y Vishing
Estos son ataques de contraseña en los que recibes un SMS fraudulento (smishing) o una llamada de voz (vishing) que te solicitan compartir tus credenciales o transferir fondos
Whaling
Con los ataques whailing recibes correos de alguien con un cargo prominente dentro de tu empresa u organización que solicita información confidencial, quienes caen victima a este tipo de ataque generalmente no confirman la veracidad del correo y envían lo que se les solicita.
Otra modalidad de ataque de fuerza bruta son los ataques de máscara, los cuales son una táctica para descifrar contraseñas omitiendo combinaciones de caracteres no requeridos, lo que reduce el tiempo que lleva hackear una contraseña.
Los principales tipos de ataques de fuerza bruta incluyen también ataques de rocío de contraseñas y ataques de diccionario.
Evita el ataque de pulverización de contraseñas:
Ataques de fuerza bruta
Los ataques de fuerza bruta sirven para robar contraseñas usando el método “hit-and-try.” Bajo esta modalidad los ciberdelincuentes realizan múltiples intentos para obtener contraseñas usando programas automatizados que facilitan la cantidad de intentos de acceso, generalmente pueden omitir la cantidad de veces que se puede ingresar una contraseña, lo que facilita más aún el pirateo de cuentas. Una medida preventiva que es bastante eficaz contra los ataques de fuerza bruta es el uso de un administrador de contraseñas.Otra modalidad de ataque de fuerza bruta son los ataques de máscara, los cuales son una táctica para descifrar contraseñas omitiendo combinaciones de caracteres no requeridos, lo que reduce el tiempo que lleva hackear una contraseña.
Los principales tipos de ataques de fuerza bruta incluyen también ataques de rocío de contraseñas y ataques de diccionario.
Rocío de contraseñas (password spraying)
En los ataques de rocío de contraseñas, los ciberdelincuentes usan una selección de claves de acceso comunes en una gran cantidad de cuentas, los atacantes se dirigen a una plataforma con pantalla de inicio de sesión o basada en la nube y como sugiere el término, se procede a rociar estas contraseñas para intentar piratear miles (o incluso millones) de cuentas a la vez, lo que a su vez reduce el riesgo de que el ciberdelincuente sea atrapado.Evita el ataque de pulverización de contraseñas:
•Utilizando herramientas que garanticen la seguridad de tus contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
•periodos de validez para las contraseñas;
•posibilidad de reutilización de contraseñas ya usadas;
•formato de la contraseña: longitud mínima;
•tipos de caracteres que deben incluir;
•cumplimiento de reglas semánticas.
•posibilidad de elección y modificación de la contraseña por parte del usuario;
•almacenamiento de las claves:tamaño del histórico de claves a almacenar para cada usuario;
•método de cifrado de las claves.
•número de intentos de autenticación permitidos.
Ataques de diccionario
En los ataques de diccionario, los ciberdelincuentes ponen a prueban una lista de palabras y frases de uso común en lugar de intentos que saltan de un carácter a otro como los ataques de contraseña de fuerza bruta. Estos ataques se llevan a cabo usando el nombre de mascotas populares, personajes de películas famosas e incluso información en línea disponible de forma pública y notoria como el nombre de tu hijo, nombre completo, cumpleaños, etc.Evita el ataque de diccionario creando contraseñas robustas que cumplan las siguientes directrices:
•Deben contener al menos ocho caracteres y combinarlos de distinto tipo (mayúsculas, minúsculas, números y símbolos);
•No deben contener los siguientes tipos de palabras:palabras sencillas en cualquier idioma (palabras de diccionarios);
•Nombres propios, fechas, lugares o datos de carácter personal;
•No deben contener los siguientes tipos de palabras:palabras sencillas en cualquier idioma (palabras de diccionarios);
•Nombres propios, fechas, lugares o datos de carácter personal;
•Palabras que estén formadas por caracteres próximos en el teclado;
•Palabras excesivamente cortas.
•Tampoco utilizaremos claves formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
•Se establecerán contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas;
•Se tendrá en cuenta lo expuesto en los puntos anteriores también en el caso de utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras).
Los ciberdelincuentes roban contraseñas y proceden a comprobar si también son usadas en otras plataformas, para esto se valen de herramientas automatizadas que sirven para verificar qué contraseñas siguen siendo válidas y en que otras plataformas funcionan; es por eso que lo mejor es usar autenticación de dos factores para proteger tus datos esenciales.
Evita el ataque de relleno de credenciales:
•Se establecerán contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas;
•Se tendrá en cuenta lo expuesto en los puntos anteriores también en el caso de utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras).
Relleno de Credenciales (credential stuffing / credential reuse)
Un ataque de contraseña de relleno de credenciales es aquel que se lleva cabo con credenciales robadas por parte de los actores maliciosos; esta táctica se vale de la psicología humana y la mala costumbre de usar contraseñas similares para múltiples programas, cuentas de redes sociales, banca por Internet, etc.Los ciberdelincuentes roban contraseñas y proceden a comprobar si también son usadas en otras plataformas, para esto se valen de herramientas automatizadas que sirven para verificar qué contraseñas siguen siendo válidas y en que otras plataformas funcionan; es por eso que lo mejor es usar autenticación de dos factores para proteger tus datos esenciales.
Evita el ataque de relleno de credenciales:
•Habilitando la autenticación de dos factores en tus cuentas online cuando sea posible. Considera además del uso de la contraseña otros factores como:
•huella digital;
•tokens criptográficos hardware;
•sistemas OTP (One Time Password);
•tarjetas de coordenadas.
•Utilizando contraseñas únicas, es decir, que solo utilices en ese servicio específico.
•Usando la cuenta de la empresa solo para registrarte en servicios corporativos.
Ataques Keylogger
Los ataques de keylogger o keystroke logger son una táctica de spyware, ya que se usa software malicioso que permite a los ciberdelincuentes obtener información en secreto registrando cada tecleada que das.Los ataques de contraseña Keylogger son muy dañinos ya que exponen las contraseñas más seguras, bajo esta modalidad los ciberdelincuentes no necesitan descifrar contraseña alguna ya que el usuario les otorga toda la información que necesitan cada vez que pulsan una tecla al momento de escribir. Los keyloggers no solo registran contraseñas, sino también todo lo que escribes, lo que hace que este tipo de ataque sea aún más peligroso para tu privacidad.
Los ciberdelincuentes que se valen de software keylogger no tienen que usar ninguna otra técnica para obtener tu nombre de usuario, número de tarjeta de crédito, número de seguro social y otra información vital para causar daño; por lo tanto, la mejor medida preventiva de seguridad para tus datos físicos y digitales es la encriptación mediante un algoritmo, el cual impide que los actores maliciosos accedan a tu computadora y cuentas, incluso si tienen tus contraseñas.
Evita los ataques de keylogger:
•Comprobando la legitimidad de los adjuntos y ficheros descargables antes de abrirlos o ejecutarlos.
•Instalando software antimalware en tus dispositivos.
•Revisando que no haya conectado ningún dispositivo extraño en tu ordenador.
Ataques de intermediario (Man-in-The Middle)
Un ataque de intermediario involucra tres partes: un usuario, un ciberdelincuente y la plataforma a la que el usuario intenta acceder. Los atacantes se posicionan en secreto entre los usuarios para interceptar y robar datos, estos pueden disfrazarse de terceros y redirigir al usuario desprevenido a un sitio web que luce legítimo, similar al mecanismo del phishing.MY2022, una aplicación obligatoria para todos los asistentes a los Juegos Olímpicos de Invierno de Beijing, fue manipulada mediante ataques de intermediario. Ya que esta contenía información confidencial sobre los deportistas, tales como detalles del pasaporte, historial médico, detalles demográficos, etc. Los atacantes también ganaron acceso a mensajes de audio y otros archivos cargados en la plataforma.
A partir del 17 de enero, la falla aún existe en la versión 2.0.5 de MY2022 para iOS, solo imagina cómo esto puede dañar a los asistentes y sus familias.
Evita los ataques de Man-in-the-middle:
•Aprendiendo a identificar la legitimidad de los correos.
•Evitando las conexiones de riesgo como por ejemplo las wifi públicas.
•Aplicando consejos de navegación segura I y II.
Esto también es posible con el secuestro de SSL, donde los ciberdelincuentes crean puentes para interceptar información que se envía entre dos entidades, con la mala suerte de que la información interceptada puede ser una contraseña.
Una tabla de arcoíris es la clave para descifrar contraseñas cifradas en hashing, ya que estas permiten a los ciberdelincuentes comparar valores y descifrar numerosas contraseñas.
•Evitando las conexiones de riesgo como por ejemplo las wifi públicas.
•Aplicando consejos de navegación segura I y II.
Intercepción de tráfico (Traffic interception)
La intercepción de tráfico es un tipo de técnica implementada para realizar ataques de negación de servicio con contraseñas largas, ya que este tipo de ataques cierran los sistemas para que los usuarios no puedan acceder a él. Con la intercepción de tráfico, el atacante lee o escucha en secreto información en tráfico de la red, dado que las puertas de enlace más comunes para este tipo de ataques son accesos de Wi-Fi que no son seguros o conexiones de red que no están encriptadas.Esto también es posible con el secuestro de SSL, donde los ciberdelincuentes crean puentes para interceptar información que se envía entre dos entidades, con la mala suerte de que la información interceptada puede ser una contraseña.
Ataques de tablas de arcoíris
Para conocer el mecanismo de ataque de tabla de arcoíris, es necesario entender que es hashing, este es un proceso en el que las empresas convierten y encriptan matemáticamente las contraseñas de los usuarios, lo cual las mantiene almacenadas como secuencias criptográficas para que los ciberdelincuentes solo vean valores cifrados y no las contraseñas reales.Una tabla de arcoíris es la clave para descifrar contraseñas cifradas en hashing, ya que estas permiten a los ciberdelincuentes comparar valores y descifrar numerosas contraseñas.
Herramientas de apoyo para los ataques de fuerza bruta
Para adivinar la contraseña de un usuario o sitio concreto es necesario mucho tiempo, por lo que se han desarrollado herramientas que agilizan esta tarea.
Los diccionarios son la herramienta más básica. Se utilizan diccionarios íntegros y amplían palabras con ayuda de caracteres especiales y números, o bien utilizan diccionarios especiales, aunque este método de ataque secuencial resulta engorroso.
En un ataque estándar, se elige un destino y combina posibles contraseñas con el nombre de usuario seleccionado. A este tipo de ataques se les denomina ataques de diccionario.
Como su nombre implica, un ataque de fuerza bruta inverso consiste en invertir la estrategia de ataque, comenzando con una contraseña conocida (como las contraseñas filtradas disponibles en línea) y buscando millones de usuarios hasta que se encuentra una coincidencia.
También hay disponibles algunas herramientas automatizadas que pueden ayudar en los ataques de fuerza bruta, como Brutus, Medusa, THC Hydra, Ncrack, John The Ripper, Aircrack-ng y Rainbow. Muchos de ellos pueden descifrar una contraseña consistente en una única palabra que pertenezca a un diccionario en un segundo.
Estas herramientas se ejecutan contra muchos protocolos informáticos (por ejemplo FTP, MySQL, SMPT y Telnet) y permiten identificar contraseñas débiles, descifrar contraseñas en almacenamientos cifrados, traducir palabras a leetspeak (por ejemplo, "don't'hackme'" se convierte en "d0n7H4cKm3"), probar todas las combinaciones de caracteres posibles y ejecutar ataques de diccionario.
Algunas herramientas analizan tablas Rainbow previamente calculadas en busca de las entradas y salidas de las funciones hash conocidas (el método de cifrado basado en algoritmos utilizado para traducir contraseñas en largas series de longitud fija compuestas de letras y números).
Cómo protegernos ante estos ataques los especialistas de IT
Los administradores también deben añadir sal al hash , es decir, distribuir de forma aleatoria los hashes de las contraseñas mediante la adición de una cadena aleatoria de letras y números (sal) a la propia contraseña. Esta cadena deberá estar almacenada en una base de datos independiente y poder recuperarla y añadirla antes del hash. De esta manera, los usuarios con la misma contraseña tendrán hash diferentes. Además, los administradores pueden solicitar la autenticación en dos pasos e instalar un sistema de detección de intrusiones que detecte los ataques de fuerza bruta.
Al limitar el número de intentos también se reduce la susceptibilidad de los ataques de fuerza bruta. Si solo se permiten, por ejemplo, tres intentos para introducir la contraseña correcta antes de bloquear al usuario durante varios minutos, se pueden causar retrasos significativos, lo que haría que apuntaran hacia un blanco más fácil.
Cómo podemos protegernos los usuarios y fortalecer las contraseñas
Crear contraseñas robustas que cumplan las siguientes directrices:
•Al menos entre 10 y 12 caracteres, combinando los de distinto tipo (mayúsculas, minúsculas, números y
símbolos);
•No se deben emplear:
•Palabras sencillas en cualquier idioma (palabras de diccionarios);
•Nombres propios, fechas, lugares o datos de carácter personal;
•Nombres propios, fechas, lugares o datos de carácter personal;
•Palabras que estén formadas por caracteres próximos en el teclado;
•Palabras excesivamente cortas.
•Evitar el uso de contraseñas formadas por elementos o palabras que puedan ser públicas o fácilmente adivinables (ej. nombre + fecha de nacimiento);
•Crear contraseñas más fuertes y robustas, totalmente distintas a otras, para el acceso a servicios o aplicaciones críticas
•No reutilizar contraseñas en ningún caso, especialmente aquellas que se empleen para accesos a sistemas críticos.
•Habilitar el MFA (múltiple factor de autenticación) o el 2FA (doble factor de autenticación) siempre que el sistema al que se accede lo permita.
•Considerar acceder mediante factores distintos al propio “usuario/contraseña”, tales como:Sistemas biométricos como la huella dactilar, iris, etc.
•Tokens criptográficos, por software o hardware
•Tarjetas de coordenadas
•Accesos por OTP (One time Password)
•Evitar usar la cuenta y correo corporativos para registrarse en servicios que no sean corporativos.
.png)
No hay comentarios:
Publicar un comentario