Una contraseña es vulnerada cuando se filtra en una violación de datos y se pone a disposición de cualquiera en la dark web, lo que permite
Algunos de los tipos más comunes de ataques de contraseñas incluyen el descifrado de contraseñas, el rociado de contraseñas, los ataques de diccionario, el relleno de credenciales, los ataques de fuerza bruta y los ataques de tabla de arco iris. Cuanto mejores sean sus hábitos en lo que se refiere a contraseñas, menos susceptible será a sufrir ataques. El informe sobre gestión de contraseñas de Keeper reveló que tan solo el 25 % de los encuestados usa contraseñas seguras y únicas para cada cuenta, lo que significa que el 75 % de los encuestados pone sus cuentas en peligro debido a contraseñas debiles.
Continúe leyendo para obtener información sobre los seis tipos más comunes de ataques de contraseñas, por qué son peligrosos y qué puede hacer para protegerse contra este tipo de ataques.
Descifrado de contraseñas
El desciframiento de contraseñas es cuando los cibercriminales utilizan programas y herramientas para obtener acceso no autorizado a las cuentas en línea. Si bien hay varios tipos de técnicas de descifrado de contraseñas, todas tienen el objetivo común de comprometer las cuentas de los usuarios con fines maliciosos. A medida que la inteligencia artificial (IA) se ha vuelto más avanzada, los cibercriminales están utilizando la IA para su ventaja porque las herramientas de IA facilitan el descifrado de las contraseñas. Con la IA, la velocidad a la que los cibercriminales pueden descifrar las contraseñas ha aumentado significativamente.
Ataque de fuerza bruta
Un ataque de fuerza bruta es cuando los cibercriminales utilizan el software en un intento de adivinar las credenciales de inicio de sesión a través del método de prueba y error. El software de fuerza bruta funciona introduciendo varias combinaciones diferentes de credenciales hasta que pueda encontrar una coincidencia. Si bien puede parecer ineficiente intentar adivinar las contraseñas a través de prueba y error, el software que utilizan los cibercriminales puede procesar billones de combinaciones de contraseñas en un corto período de tiempo.
Difusión de contraseñas
El rociado de contraseñas, también llamado ataque de rociado de contraseñas, es cuando los cibercriminales utilizan una lista de contraseñas de uso común para intentar obtener acceso a varias cuentas en un dominio. Estas listas contienen contraseñas débiles que mucha gente utiliza, como 123456 o «contraseña». Con una herramienta de rociado de contraseñas, los cibercriminales pueden introducir estas listas y utilizar la herramienta para descifrar varias contraseñas a la vez.
Ataque de diccionario
Un ataque de diccionario es un ataque de contraseñas que utiliza palabras y frases comunes del diccionario para comprometer las cuentas. En un ataque de diccionario, los cibercriminales utilizan una lista de frases y palabras comúnmente utilizadas como contraseñas. A continuación, utilizan un programa de descifrado de contraseñas para introducir las combinaciones de palabras en diferentes cuentas de usuario en un intento de descifrar las contraseñas.
Relleno de credenciales
El relleno de credenciales es un ataque de contraseñas que aprovecha el hecho de que muchas personas las reutilizan en varias cuentas. En un ataque de relleno de credenciales, los cibercriminales utilizan un conjunto de credenciales para intentar comprometer varias cuentas a la vez. A menudo, los cibercriminales utilizan credenciales filtradas en las violaciones de datos públicas.
Ataque de tabla de arco iris
Un ataque de tabla de arco iris es cuando los cibercriminales utilizan una tabla especial en un intento de descifrar los hash de las contraseñas. Los hashes de contraseñas son cuando las contraseñas se cambian en una cadena de caracteres ilegibles. Si una empresa con la que tiene una cuenta cifra las contraseñas de los usuarios, eso significa que solo almacenan los hash de las contraseñas. Esto es para que los cibercriminales no puedan saber cuál es la contraseña de su cuenta si esa empresa sufriera una violación de datos.
Sin embargo, las contraseñas con hash siguen siendo vulnerables a los ataques de tablas de arco iris. En un ataque de tabla de arco iris, los cibercriminales recopilan una lista de posibles contraseñas que generalmente consisten en combinaciones de contraseñas de uso común. A continuación, utilizan una función de hash para convertir cada una de esas contraseñas en hashes de contraseñas: tanto la contraseña en texto plano como los hashes de contraseñas se almacenan en la tabla de arco iris. Los hashes de las contraseñas se reducen aún más para crear una cadena de hashes que se utilizan para intentar encontrar una coincidencia. Cuando se encuentra un valor de hash correspondiente, el cibercriminal sabe qué contraseña utilizar para comprometer la cuenta en línea de un usuario.
Por qué los ataques de contraseñas son peligrosos
Los ataques a las contraseñas son peligrosos porque pueden comprometer la seguridad de una cuenta o tomar posesión de ella, lo que puede dar lugar al robo de su identidad y a que sufra pérdidas financieras. La apropiación de cuentas es cuando una persona no autorizada obtiene acceso a una o más de sus cuentas en línea y le bloquea cambiando su contraseña. Debido a que su contraseña fue cambiada, puede tomar un tiempo recuperar el acceso a su cuenta o, en algunos casos, es posible que no pueda recuperarlo en absoluto.
Durante el tiempo que una persona no autorizada tiene acceso a su cuenta, puede recopilar información confidencial sobre usted y utilizar esa información para robar su identidad. El robo de identidad puede ser difícil de recuperar y dar lugar a graves pérdidas financieras.
¿Cómo puedo protegerme contra los ataques de contraseñas?
Estas son algunas formas en que puede protegerse contra los ataques de contraseñas.
Utilice claves de acceso si se admiten en el sitio web o la aplicación
Las claves de acceso son una nueva tecnología de autenticación que le permite iniciar sesión en sus cuentas en línea sin tener que introducir una contraseña. En lugar de tener que crear una contraseña usted mismo, las claves de acceso se generan automáticamente en su dispositivo, navegador o gestor de contraseñas cuando las crea. Con las claves de acceso, nunca tiene que preocuparse de que sean débiles o se reutilicen como lo hace con las contraseñas tradicionales. Las claves de acceso se hacen seguras de forma predeterminada y no se pueden comprometer fácilmente como las contraseñas, lo que las convierte en una de las formas más seguras de autenticar quién es al iniciar sesión en una cuenta.
Las claves de acceso siguen siendo nuevas, por lo que solo ciertos sitios web y aplicaciones las admiten en este momento. En lugar de utilizar contraseñas, que son susceptibles a los ataques de contraseñas, opte por utilizar claves de acceso en cualquier sitio web o aplicación con la que tenga una cuenta que admita el uso de ellas. Puede ver qué sitios web y aplicaciones admiten actualmente el uso de claves de acceso en nuestro Directorio de claves de acceso.
Utilice contraseñas seguras y únicas.
No todos los sitios web admiten claves de acceso, por lo que aún tendrá que crear contraseñas seguras para la mayoría de sus cuentas en línea. Al crear contraseñas, asegúrese de que sigan las prácticas recomendadas de contraseñas para garantizar que no se puedan adivinar o descifrar fácilmente. Le recomendamos utilizar un generador de contraseñas al crear sus contraseñas para que siempre sean seguras y únicas.
Si le preocupa cómo va a recordar varias contraseñas seguras y únicas, considere la posibilidad de utilizar un gestor de contraseñas. Los gestores de contraseñas ayudan a los usuarios a generar contraseñas seguras para cada una de sus cuentas en línea y almacenarlas de forma segura junto con otros métodos de autenticación, como claves de acceso y códigos de autenticación multifactor. La única contraseña que tendrá que recordar es su contraseña maestra.
Habilite la MFA siempre que sea una opción
La autenticación multifactor (MFA) es una medida de seguridad que puede habilitar en la mayoría de sus cuentas en línea. Con la MFA habilitada, además de introducir su nombre de usuario y contraseña, también tendría que proporcionar uno o más factores de autenticación adicionales para iniciar sesión en una cuenta. Incluso si un cibercriminal pudiera descifrar su contraseña, no podría comprometer sus cuentas en línea porque no podría autenticar su identidad.
Tenga cuidado con los ataques de ingeniería social
La ingeniería social es cuando los cibercriminales utilizan la manipulación psicológica para que las víctimas revelen información confidencial. Uno de los tipos más comunes de ataques de ingeniería social es el phishing. El phishing es cuando los cibercriminales hacen que las víctimas revelen información confidencial fingiendo ser alguien que la víctima conoce, como una empresa con la que tienen una cuenta o un miembro de la familia.
Los ataques de ingeniería social comúnmente intentan que las víctimas revelen sus credenciales de inicio de sesión para sus cuentas en línea. Si no tiene cuidado con los ataques de ingeniería social, podría renunciar fácilmente a sus credenciales de inicio de sesión y arriesgar el compromiso de la cuenta. Una de las mejores maneras de evitar los ataques de ingeniería social es nunca dar su información personal a cualquier persona, especialmente los inicios de sesión de sus cuentas en línea. También debe evitar hacer clic en cualquier enlace que le envíen no solicitado para evitar descargar malware o introducir sus credenciales de inicio de sesión u otra información confidencial en un sitio web de phishing.
No permita que los ataques de contraseñas conduzcan a cuentas comprometidas
Con tantas cuentas en línea, puede ser abrumador crear contraseñas seguras y únicas para cada cuenta, al tiempo que habilita la MFA siempre que sea una opción. Garantizar que cada una de sus cuentas en línea sea segura no tiene por qué ser difícil: un gestor de contraseñas como Keeper® puede ayudar a mantener sus cuentas a salvo de los ataques de contraseñas comunes.
Con Keeper, puede gestionar sus claves de acceso, contraseñas e incluso códigos 2FA, para que pueda proteger sus cuentas en línea sin tener que preocuparse por las contraseñas débiles o reutilizadas. Comience hoy mismo una prueba gratuita de 30 días de Keeper para evitar que sus cuentas se vean comprometidas debido a los ataques de contraseñas.