En el marco del mes de la ciberseguridad, Guardicore (ahora parte de Akamai) advierte a las organizaciones y a los usuarios que las contraseñas débiles son el blanco principal de los ciberataques. Existen distintas formas en que los piratas informáticos pueden descifrar las contraseñas, incluso pueden comprar credenciales en la web oscura o engañar al usuario para que revele una contraseña en un ataque de phishing.
De acuerdo a Oswaldo Palacios, Senior Account Executive para Guardicore, las contraseñas siempre han sido un eslabón frágil en la cadena de seguridad y los ciberdelincuentes no dudarán en explotar esa debilidad. Muchos usuarios que navegan por la red utilizan contraseñas que son poco robustas y fáciles de adivinar para los atacantes.
Según el estudio anual 2021 de NordPass, los países más afectados en Latinoamérica por filtraciones de datos en función del número de contraseñas filtradas per cápita fueron Brasil (125.012.162), México (59.058.882), Colombia (29.071.696) y Chile (18.167.013).
Para evitar que los usuarios sean hackeados por la utilización de contraseñas débiles, Oswaldo Palacios resalta las 4 tácticas que los piratas informáticos utilizan para descifrar contraseñas:
1- Ingeniería social: Los ciberdelincuentes se hacen pasar por entidades legítimas como amigos, familiares, instituciones públicas y empresas conocidas. Los correos electrónicos o mensajes de texto recibidos parecerán genuinos, pero contendrán un enlace o archivo adjunto malicioso que, si se hace clic, descargará malware o lo llevará a una página que le pedirá que ingrese datos personales.
2- Ataques de fuerza bruta: Es un método de prueba y error utilizado para decodificar datos confidenciales. El atacante suele utilizar una computadora de alto rendimiento, que realiza una gran cantidad de cálculos por segundo y, en consecuencia, puede probar un gran número de combinaciones en el menor tiempo posible. Su éxito dependerá de la longitud y complejidad de la contraseña.
3- Ataques de diccionario: Es un método empleado para romper la seguridad de los sistemas basados en contraseñas en la que el atacante intenta dar con la clave adecuada probando todas (o casi todas) las palabras posibles o recogidas en un diccionario idiomático.
4- Ataque keylogger: Un procedimiento similar al phishing que comienza con una infección de malware. La víctima descarga un malware en su computadora al hacer clic en un enlace o archivo adjunto de un email. Una vez instalado el keylogger, este programa informático registra toda la actividad en Internet y envía esta información a los servidores de los ciberdelincuentes.
A fin de reforzar la seguridad en las contraseñas, Oswaldo Palacios recomendó las siguientes acciones para no caer en las trampas de la ciberdelincuencia:
– Autenticación de dos factores: Permite tener una contraseña verificable con un código de seis dígitos que recibimos a través de SMS o de una aplicación específica y que debemos introducir en la web o aplicación para poder acceder a nuestra cuenta.
– Acceder a sitios que comiencen con https: Asegúrese de que cualquier sitio web donde ingrese las credenciales comience con “https” en lugar de “http”. Si un sitio es seguro, se mostrará un pequeño candado en la barra de direcciones.
– Evitar Wi-Fi públicos: Si alguien con malas intenciones se conecta a esa red, podrá aprovecharse de otros usuarios rápidamente. Cuando esté en un Wi-Fi público, utilice una red privada virtual que establezca un “túnel” seguro y encriptado para sus transferencias de datos.
