¿Cuáles son los ciberataques más comunes y cómo se pueden evitar?
Ataque de diccionario, ‘keylogger’ o ‘spidering’ son algunas de las técnicas que los ciberdelincuentes utilizan para robar las contraseñas de los internautas
2 mayo, 2019 16:37Como es tradición, el primer jueves de mayo se celebra el Día Mundial de las Contraseñas, una jornada con la que se busca concienciar a los internautas sobre la necesidad de cuidar al máximo este mecanismo de seguridad en los dispositivos electrónicos.
Entelgy Innotec Security se suma a esta efeméride con una pequeña guía con algunas recomendaciones para que tanto usuarios como empresas eviten el robo de sus contraseñas y, por tanto, el acceso a sus datos personales e información confidencial. Aunque para poder tomar las precauciones necesarias, “es importante conocer primero qué técnicas son las más empleadas por parte de los ciberdelincuentes y qué errores de los usuarios les facilita la tarea”, comentan sus expertos.
Seis ciberataques para poner en jaque a los internautas
- Fuerza bruta: El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta. Si esto no funciona, tratará de obtener alguna pista consultando información relacionada con el usuario. Para ello, únicamente necesitará visitar sus perfiles en redes sociales, en muchas ocasiones mal configurados en términos de privacidad.
- Ataque de diccionario: Un programa informático prueba cada palabra de un ‘diccionario’ previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.
- Ataque keylogger: El usuario instala inconscientemente un malware, conocido como keylogger, al acceder a un enlace o al descargar un archivo de internet. Una vez instalado, este captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes. “Es especialmente peligroso, ya que registra todo lo que el usuario escribe”, señalan.
- Phishing: Los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al pinchar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.
- Ingeniería social: Son aquellas medidas que no se llevan a cabo a través de equipos informáticos. La práctica conocida como shoulder surfing (espiar a un usuario cuando está escribiendo sus credenciales), una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña. De hecho, una muy común es dejar la contraseña apuntada en un pósit alrededor del equipo, “lo cual es totalmente desaconsejable”.
- Spidering: Uno de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y lo aprovechan para robarlas. En esta técnica se emplea una ‘araña’ de búsqueda, muy similar a las empleadas en motores de búsqueda, que va introduciendo los términos. Se trata de un ataque especialmente efectivo contra grandes empresas, pues disponen de más información en internet, así como para obtener contraseñas de redes wifi, generalmente relacionadas con la propia compañía.
¿Cómo mantener segura la información?
El equipo de expertos de Entelgy Innotec Security ha ofrecido una serie de recomendaciones para prevenir que la información personal de los usuarios y sus contraseñas caigan en manos ajenas. A la hora de crear y proteger una contraseña, tanto a nivel individual como dentro de una empresa, su consejo es tener en cuenta estas cuatro máximas:
Una foto de archivo de un hacker / EFE
- Transmitir buenas prácticas: Implantar una política de seguridad interna debería ser la primera medida que deberían poner en marcha las empresas para transmitir a los empleados las obligaciones y buenas prácticas en relación con la seguridad de la compañía. Entre ellas se encuentran la obligación de confidencialidad de la información manejada, bloquear la sesión al ausentarse del puesto de trabajo o la prohibición de instalar cualquier software sin previa autorización.
- Ponerlo difícil: Según el último informe del NCSC, 23’2 millones de usuarios de todo el mundo que han resultado víctimas de una brecha de seguridad utilizaban como contraseña para sus cuentas '123456'. Para evitar estos ataques es recomendable, en primer lugar, modificar la contraseña la primera vez que accedemos a una nueva cuenta o equipo. Esa nueva clave, preferiblemente de más de ocho caracteres, deberá incluir signos, caracteres especiales y alternar mayúsculas y minúsculas. Además, será importante evitar palabras comunes o relacionadas con información personal del usuario. Por último, esta contraseña se debe modificar cada seis meses y no reutilizarla.
- Cuidar la contraseña: Un 69 % de profesionales admite compartir contraseñas con sus compañeros de trabajo, una práctica muy poco segura si, además, esta información se transmite por algún medio online. Lo recomendable es no dar este dato a ningún compañero de trabajo ni dejarla apuntada en ningún documento. También es muy importante crear una contraseña diferente para cada cuenta de usuario, de forma que si una es robada no se vean comprometidos varios servicios.
- Utilizar herramientas de almacenamiento de contraseñas: Como medida de seguridad extra y más profesional, el usuario puede optar por emplear alguna herramienta de almacenamiento y administración de contraseñas. Si bien es cierto que éstas no son 100 % seguras, sin duda será más difícil el robo de una contraseña si el usuario hace uso de estos gestores. Asimismo, algunos de ellos ofrecen la posibilidad de incluir una doble autenticación, es decir, proporcionar una capa de protección adicional.