¿Cómo roban los hackers las contraseñas?

Los hackers roban sus contraseñas a través de diversos métodos, como las violaciones de datos, el descifrado de contraseñas, la adivinación, el robo físico y el malware. Esto puede tener graves consecuencias, especialmente si los hackers consiguen acceder a sus cuentas, pero afortunadamente hay maneras de protegerse.

Siga leyendo para obtener más información sobre qué métodos utilizan los hackers para robar contraseñas y cómo evitar que puedan acceder a sus cuentas.

¿Qué sucede cuando le roban su contraseña?

Cuando le roban su contraseña, los cibercriminales pueden vender su información en la dark web a otros hackers o bien utilizarla para cometer más ciberdelitos.

El robo de sus credenciales puede dar acceso a los hackers a cuentas importantes, como su cuenta bancaria, y permitirles robar otra información de identificación personal (PII), lo que puede acarrearle graves consecuencias, como el robo de dinero y la suplantación de identidad. Recuperarse de una suplantación de identidad puede ser un proceso lento y costoso, y las consecuencias pueden perseguir a las víctimas durante años.

Métodos que los hackers utilizan para robar contraseñas

Estos son algunos de los métodos que los hackers utilizan para robar contraseñas.

1. Violaciones de datos

Las violaciones de datos son uno de los métodos más habituales tras un robo de credenciales. En 2022, más de 422 millones de personas en los Estados Unidos se vieron afectadas por 1802 violaciones de datos. Estas violaciones, a menudo en grandes empresas con millones de usuarios, pueden dejar al descubierto los nombres de usuario y las contraseñas, información sanitaria, números de tarjetas de crédito, números de seguridad social y mucho más.

Para averiguar rápidamente si sus credenciales se han visto comprometidas en una violación, realice un análisis de la dark web.

2. Descifrado de contraseñas por fuerza bruta

La fuerza bruta es un método de descifrado de contraseñas que utiliza un bot para intentar adivinar contraseñas de forma aleatoria y constante hasta dar con la correcta. Estos bots pueden probar cientos de contraseñas por segundo, pero es más probable que adivinen contraseñas que incluyan palabras de diccionario (lo que se conoce como ataque de diccionario) o que sean cortas.

Una contraseña aleatoria de ocho caracteres puede hackearse en menos de ocho horas. Las contraseñas más cortas pueden descifrarse casi de forma instantánea. Una contraseña aleatoria de dieciocho caracteres con una mezcla de números, letras y caracteres especiales tardaría miles de millones de años en descifrarse.

3. Adivinación

Los hackers pueden recopilar información estudiando su huella digital para intentar adivinar su contraseña en función de lo que hayan aprendido sobre usted. Podrían, por ejemplo, intentar utilizar los nombres de sus seres queridos, sus cumpleaños o la dirección de su domicilio como parte de una contraseña. Por desgracia, los cibercriminales suelen tener éxito en estos intentos, pues es habitual que la gente cree sus contraseñas con esta información. Evite utilizar datos personales, especialmente los que se pueden encontrar en sus redes sociales, para que sus contraseñas sean más seguras.

La adivinación podría incluir también probar las contraseñas predeterminadas más comunes, más fáciles de adivinar que una contraseña aleatoria. Es importante cambiar sus credenciales en las nuevas cuentas, de la contraseña predeterminada a una contraseña exclusiva y compleja.

4. Espiar por encima del hombro

Espiar por encima del hombre hace referencia a sustraerle información, incluidas las contraseñas, mediante la observación física de la víctima cuando introduce la información. Las técnicas pueden incluir a los criminales que espían a la gente cuando introduce su PIN en un cajero automático o que graban en vídeo a un usuario cuando escribe su contraseña. Esto puede suceder en una oficina, en un espacio de coworking, en una cafetería o en cualquier lugar donde quede visible su teclado o la pantalla de su computadora.

Para evitar que le espíen por encima del hombro, es importante no anotar sus contraseñas en ningún sitio, utilizar pantallas de privacidad y utilizar la función de «ocultar contraseña» cuando las introduzca en lugares públicos.

5. Malware y registro de pulsaciones de teclas

Los enlaces y archivos malintencionados pueden contener malware, un software dañino diseñado por los cibercriminales. Los usuarios pueden descargar malware por accidente, cuando son víctimas de estafas en línea, como los ataques de phishing. Hay muchas maneras en que el malware puede poner su computadora en peligro, pero uno de los tipos más comunes, el registrador de pulsaciones, grabará sus pulsaciones en el teclado. A partir de esta grabación, el cibercriminal podrá robar sus credenciales y cualquier otra información confidencial o sensible que teclee en su computadora.

6. Ataques de intermediario

Los ataques de intermediario se producen cuando los cibercriminales interceptan datos enviados entre dos partes. Existen diversos métodos para conseguirlo, pero los cibercriminales suelen aprovechar las redes wifi públicas para atacar a sus víctimas. A través de los ataques de intermediario puede robarse una gran cantidad de información confidencial, incluidas las credenciales.

Evitar las redes wifi públicas, establecer una contraseña segura para su red doméstica y utilizar una VPN pueden ayudar a evitar estos ataques.

7. Ingeniería social

Los cibercriminales suelen utilizar la ingeniería social para robar credenciales. La ingeniería social, que puede utilizarse en combinación con otros métodos, como el phishing, es la práctica de utilizar métodos psicológicos para ganarse la confianza de la víctima y aumentar la probabilidad de que proporcione información confidencial. Estas técnicas suelen partir de investigaciones de la huella digital de la víctima para ganarse su confianza. Algunos ejemplos de estos métodos pueden incluir utilizar un mensaje urgente para que la víctima se asuste y entregue la información sin pensar, o hacerse pasar por un ser querido.

8. Rociado de contraseñas

En el caso del rociado de contraseñas, los hackers utilizarán algunas de las contraseñas más habituales para atacar múltiples cuentas en un mismo sitio web o aplicación. Las contraseñas más habituales, como 123456, son como la fruta madura, ya que mucha gente las utiliza a pesar de saber que no son seguras. Este tipo de ataque es probable que permita al hacker acceder a cientos de cuentas en las grandes plataformas y evita los bloqueos de contraseñas que se producen en los ataques de fuerza bruta.

Utilizar contraseñas exclusivas y complejas en todas sus cuentas evitará este tipo de ataque.

9. Phishing

Uno de los ataques más comunes, el phishing, se produce cuando un hacker se hace pasar por una entidad legítima, como su banco, y solicita información confidencial, como su contraseña. Pueden incluso llegar a utilizar un sitio falsificado, una página de inicio de sesión falsa que se parece a la real, para recopilar sus credenciales.

Cómo saber si le han robado sus contraseñas

Dependiendo del tipo de ataque, puede descubrir que su contraseña ha sido robada de diferentes maneras. Si no puede acceder a su cuenta porque han cambiado su contraseña, es señal de que un cibercriminal le ha robado su contraseña y se ha apoderado de su cuenta. Las contraseñas filtradas en las violaciones de datos se venden en la dark web. Podría averiguar si le han robado una de sus credenciales a través de una herramienta de monitoreo de la dark web.

Cómo proteger sus contraseñas de los hackers

A continuación, le presentamos algunos consejos que puede utilizar para proteger sus contraseñas.

Utilice contraseñas seguras y únicas para cada cuenta

Los cibercriminales tienen mucho éxito probando las contraseñas más habituales, porque todavía hay mucha gente que las sigue utilizando.

Algunas de las contraseñas más comunes del mundo, según una investigación de SplashData, son:

• 123456
• password
• 12345
• 12345678
• football
• qwerty
• 1234567890

Recomendamos utilizar una contraseña de al menos 16 caracteres, incluidas mayúsculas y minúsculas, números y símbolos especiales. La contraseña debe ser aleatoria, sin palabras de diccionario ni datos personales, como cumpleaños.

Tener contraseñas exclusivas en todas sus cuentas hace que sean más difíciles de recordar, pero un gestor de contraseñas puede ayudarle. Los gestores de contraseñas almacenan sus contraseñas en una bóveda que solo puede desbloquearse con su contraseña maestra, la única contraseña que tendrá que recordar.

Cambie sus contraseñas cuando se produzcan violaciones

Utilice una herramienta de monitoreo de la dark web para saber cuándo se producen violaciones de datos y cuándo se han vulnerado sus cuentas. Cuando reciba una notificación informándole de que se ha vulnerado una de sus contraseñas, cambie su contraseña de inmediato.

Aprenda a reconocer los intentos de phishing

Identificar los intentos de phishing se ha vuelto mucho más complicado ahora que la IA es capaz de imitar la escritura de la gente real. El phishing puede tomar la forma de correos electrónicos, mensajes de texto u de otro tipo y, a menudo, insta al usuario a completar una tarea de forma urgente para evitar perder dinero o tener que enfrentarse a alguna otra consecuencia. El mensaje podría pedir al usuario que ofrezca información acerca de su cuenta o PII como su número de seguridad social.

Para evitar el phishing, muéstrese escéptico ante los mensajes inesperados y esté atento a las noticias de seguridad cibernética para enterarse de los nuevos tipos de ataques que vayan surgiendo.

Proteja sus contraseñas de los hackers

Utilizar contraseñas únicas y complejas con una mezcla de tipos de caracteres es la mejor forma de proteger sus contraseñas de los hackers.

Keeper Password Manager generará automáticamente contraseñas seguras, las almacenará de forma segura en un cofre cifrado y rellenará automáticamente las contraseñas en los sitios web para que no tenga que escribirlas manualmente. Para estar protegido de forma sencilla frente a los cibercriminales, aproveche una prueba gratuita de 30 días de Keeper Password Manager.