En este artículo os vamos a explicar cuáles son los ataques más frecuentes con los que los ciberdelincuentes roban las contraseñas y cómo evitar dichos ataques para proteger la seguridad de la empresa.

 

Es de gran importancia proteger la información de tu empresa. Por ello, vamos a identificar los principales ataques que existen para robar las contraseñas y cómo evitarlos para mantener a salvo tu organización.

Tipos de ataques para robar tus contraseñas

En primer lugar, nos encontramos con el ataque de fuerza bruta. Éste es un método en el cual el ciberdelincuente prueba a entrar muchas veces en un sistema con diferentes combinaciones de caracteres utilizando un software y espera que se de alguna coincidencia con nuestra contraseña.

Por ello, es importante que los usuarios no utilicen contraseñas simples, comunes o las que vienen por defecto como “123456” o “admin”, ya que, de esta forma, los ciberdelincuentes lo tienen más fácil para acceder a nuestras cuentas.

Dentro de los ataques de fuerza bruta nos encontramos diferentes tipos:

  • Ataque de diccionario: este ataque se da cuando el usuario utiliza una sola palabra como contraseña. Así, el ciberdelincuente utiliza un software con el que introduce contraseñas de forma automática y prueba con todas las palabras del diccionario. Otra opción más avanzada es que el ciberdelincuente recopile información personal sobre el usuario (fecha de nacimiento, nombres, mascotas, etc.) y pruebe esas palabras como contraseñas.
  • Relleno de credenciales: este ataque consiste en utilizar credenciales robadas en brechas de seguridad. Los ciberdelincuentes prueban de manera automatizada nombres de usuario y contraseñas para entrar en cuentas y perfiles online. 
  • Password spraying: este ataque se produce cuando un ciberdelincuente emplea un gran número de contraseñas robadas en un grupo de cuentas con el objetivo de obtener acceso.

Para continuar, podemos encontrar los ataques de ingeniería social. La ingeniería social es muy común y se basa en una manipulación para obtener información confidencial. Existen varias técnicas que son el phishing, smishing, vishing y warshipping que utilizan un correo electrónico, un SMS, una llamada telefónica y un regalo tecnológico infectado, respectivamente, para que los usuarios entreguen sus credenciales. Otro método de ataque de ingeniería social es el shoulder surfing, el cual consiste en espiar a las personas que utilizan sus dispositivos en público mientras escriben sus credenciales.

Otro ataque que nos podemos encontrar es el ataque de keylogger. El keylogger es un software utilizado para rastrear y registrar lo que se escribe con el teclado. De esta forma, los ciberdelincuentes pueden obtener las credenciales de acceso a nuestras cuentas.

Por último, tenemos el ataque Man-in-the-middle. En este ataque el ciberdelincuente es capaz de interceptar la comunicación entre 2 o más personas, pudiendo suplantar la identidad de uno u otro. La interceptación del tráfico (traffic interception) es un tipo de ataque man-in-the-middle, en el cual el ciberdelincuente espía la actividad de la red para conseguir contraseñas u otra información.

Cómo evitar estos ataques

Para evitar el ataque de diccionario, se deben crear contraseñas robustas que contengan como mínimo 8 caracteres y combinando mayúsculas, minúsculas, números y símbolos. No se deben utilizar palabras sencillas, nombres propios, fechas, lugares, datos personales, palabras formadas por caracteres próximos en el teclado ni palabras muy cortas. También es importante establecer contraseñas más fuertes para servicios o aplicaciones más críticas. 

En cuanto al ataque de relleno de credenciales, para evitarlo se debe habilitar la autenticación de dos factores en las cuentas online, además de poder emplear una huella digital (tokens, tarjetas de coordenadas o sistemas OTP). Por otro lado, se debe utilizar contraseñas únicas y utilizar la cuenta de empresa solo para servicios corporativos.

Con respecto al ataque de password spraying, para evitarlo se deben utilizar herramientas que garanticen la seguridad de las contraseñas, así como la de los servicios externos.

Para evitar los ataques de ingeniería social, es necesario concienciar y formar a los empleados, además de comprobar siempre si las páginas web a las que accedemos son legítimas antes de introducir las credenciales.

Para evitar los ataques de keylogger, se debe comprobar la legitimidad de los archivos adjuntos descargables antes de abrirlos, instalar software antimalware en los dispositivos y revisar que no haya ningún dispositivo extraño conectado al ordenador.

Por último, para evitar los ataques de man-in-the-middle, se debe aprender a identificar la legitimidad de los correos y evitar las conexiones de riesgo (wifi públicas).