Para la mayoría de nosotros, una contraseña es simplemente el método más común de autenticación en innumerables servicios online. Pero, para los ciberdelincuentes, es mucho más que eso: es un atajo para poder adentrarse en la vida de otra persona, una herramienta de trabajo de gran importancia y una mercancía que se puede vender. Al conseguir acceder a una contraseña, los delincuentes no solo pueden apoderarse de tus cuentas, tus datos, tu dinero e incluso tu identidad; sino que también puede convertirse en un punto débil para atacar de forma online a tus amigos, familiares o incluso a la empresa para la que trabajas o administras.
¿Cómo puede caer tu contraseña en manos de los ciberdelincuentes?
Normalmente se cree erróneamente y de forma generalizada que, para que los ciberdelincuentes se hagan con tu contraseña tienes que cometer un error: descargar y ejecutar un archivo no verificado de Internet, abrir un documento de un remitente desconocido o introducir tus credenciales en algún sitio web sospechoso. Es cierto que todos esos patrones de comportamiento pueden hacerles la vida mucho más fácil a los atacantes, pero también se dan otras situaciones. Estos son los métodos más comunes que utilizan los ciberdelincuentes para obtener acceso a tus cuentas:
Phishing
Este es uno de esos métodos de recopilación de credenciales que está basado principalmente en el error humano. Diariamente aparecen miles de correos electrónicos que conducen a cientos de sitios de phishing. Y, si por alguna razón crees que nunca caerás en las redes del phishing, estás equivocado. Este método es casi tan antiguo como Internet, por lo que los ciberdelincuentes han tenido mucho tiempo para desarrollar numerosos trucos de ingeniería social y estrategias para su encubrimiento. A veces, incluso los profesionales son incapaces de distinguir a simple vista un correo electrónico de phishing de uno real.
Malware
El malware es otro de los métodos más comunes para robar las credenciales. Según nuestras estadísticas, gran parte del malware activo está formado por troyanos ladrones cuyo principal objetivo es esperar hasta que un usuario inicie sesión en alguna web o servicio, copiar sus contraseñas y enviárselas a sus creadores. Si no utilizas soluciones de protección, los troyanos pueden ocultarse en tu ordenador durante años sin ser detectados y no sabrás que algo anda mal, porque no causan ningún daño visible, solo hacen su trabajo sigilosamente.
Y los troyanos ladrones no son el único malware que va en busca de contraseñas. A veces, los ciberdelincuentes inyectan skimmers en los sitios web y roban todos los datos que introducen los usuarios: credenciales, nombres, datos bancarios, etc.
Fugas de terceros
No obstante, tú no eres el único que puede cometer un error. Basta con que seas usuario de algún servicio de Internet con poca seguridad o seas cliente de una empresa de la que se haya filtrado la base de datos de sus clientes. Normalmente, las empresas que se toman en serio su ciberseguridad no almacenan tus contraseñas o lo hacen de forma cifrada. Pero nunca se puede estar seguro de que se hayan implementado suficientes medidas. Por ejemplo, la filtración de datos de SuperVPN que se produjo este año contenía los datos personales y las credenciales de inicio de sesión de 21 millones de usuarios.
Además, algunas empresas no pueden evitar el almacenamiento de las contraseñas. Sí, estoy hablando del famoso hackeo del gestor de contraseñas LastPass. Según la información más reciente, un desconocido actor de amenazas accedió al almacenamiento basado en la nube mediante algunos datos de clientes, entre los que se incluían las copias de seguridad de las bóvedas de los clientes. Sí, esas bóvedas se cifraron correctamente y LastPass nunca almacenó ni conoció las claves de descifrado. Pero ¿qué pasa si los clientes de LastPass bloquearan sus bóvedas con una contraseña que ya se haya filtrado de alguna otra fuente? Si reutilizaran una contraseña insegura, ahora los ciberdelincuentes podrían acceder a todas sus cuentas.
Brokers de acceso inicial
Y aquí llegamos a otra fuente de contraseñas robadas: el mercado negro. Los ciberdelincuentes modernos prefieren especializarse en ciertos campos. Pueden robar tus contraseñas, pero no necesariamente usarlas: es más rentable venderlas al por mayor. Comprar tales bases de datos de contraseñas es especialmente atractivo para los ciberdelincuentes porque les ofrece un todo en uno: los usuarios tienden a usar las mismas contraseñas en varias plataformas y cuentas, a menudo vinculándolas todas al mismo correo electrónico. Por lo tanto, al tener la contraseña de una plataforma, los ciberdelincuentes pueden acceder a muchas otras cuentas de la víctima, desde sus cuentas de juegos hasta su correo electrónico personal o incluso sus cuentas privadas en sitios web para adultos.
En el mismo mercado negro también se venden las bases de datos corporativas filtradas que pueden o no contener credenciales. El precio de estas bases de datos varía según la cantidad de datos y el sector al que pertenezca la empresa: algunas bases de datos de contraseñas pueden venderse por miles de dólares.
Hay ciertos servicios en la darknet que agregan contraseñas y bases de datos filtradas, y luego permiten el acceso de pago por suscripción o un acceso único a sus recopilaciones. En octubre de 2022, el famoso grupo de ransomware LockBit hackeó a una empresa de asistencia sanitaria y robó su base de datos de usuarios que contenía información médica. No solo vendieron las suscripciones a esta información en la darknet, sino que, presuntamente, también compraron el acceso inicial en el mismo mercado negro.
Ataques de fuerza bruta
En algunos casos, los ciberdelincuentes ni siquiera necesitan una base de datos robada para averiguar tus contraseñas y hackear tus cuentas. Pueden usar ataques de fuerza bruta, es decir, probar miles de variantes de las contraseñas típicas hasta que una de ellas funcione. Sí, no suena demasiado fiable, pero realmente no necesitan intentar todas las combinaciones posibles: existen ciertas herramientas (generadores de listas de palabras) que pueden generar una lista de posibles contraseñas comunes (los llamados diccionarios de fuerza bruta) teniendo en cuenta los datos personales de la víctima.
Estos programas parecen un minicuestionario sobre la víctima. Piden el nombre, apellidos, fecha de nacimiento, los datos personales de parejas, hijos e incluso mascotas. Los atacantes pueden incluso añadir palabras clave adicionales que conozcan sobre su objetivo que se puedan incluir en esta mezcla. Utilizando esta combinación de palabras relacionadas, nombres, fechas y otros datos, los generadores de listas de palabras crean miles de variantes de contraseñas que los atacantes luego prueban al iniciar sesión.
Para usar este método, los ciberdelincuentes primero deben realizar una investigación, y aquí es cuando esas bases de datos filtradas pueden serles útiles. Estas pueden contener información como fechas de nacimiento, direcciones o respuestas a “preguntas secretas”. Otra fuente de datos habitual son las redes sociales, en las que se tiende a compartir demasiada información, algo que parece absolutamente insignificante como una foto del 6 de diciembre en la que se diga: “hoy es el cumpleaños de mi querido perrito”.
Posibles consecuencias de una contraseña filtrada o forzada
Hay algunas consecuencias evidentes como que los ciberdelincuentes pueden apoderarse de tu cuenta y pedir un rescate por ella, usarla para estafar a tus contactos y amigos online o, si pueden obtener la contraseña de tu web o aplicación bancaria, pueden vaciar tu cuenta. Sin embargo, a veces su intención no está tan clara.
Por ejemplo, con el aumento de los juegos que cuentan con su propia moneda dentro del juego y con el aumento de las microtransacciones, hay más usuarios que tienen sus métodos de pago vinculados a sus cuentas. Esto convierte a los jugadores en un objetivo interesante para los hackers. Al obtener acceso a la cuenta del juego, pueden robar objetos de valor del juego, como máscaras, artículos raros o moneda interna del juego, o hacer un mal uso de los datos de la tarjeta de crédito de la víctima.
Las bases de datos filtradas y la información que se puede obtener al buscar en sus cuentas se pueden usar no solo para obtener ganancias financieras, sino también para dañar la reputación y producir otros tipos de daños sociales, entre los que se incluye el doxing. Si eres una persona conocida, puedes ser chantajeado y puedes verte en la tesitura de tener que elegir entre la divulgación de algún tipo de información personal (que podría afectar a tu reputación) o la pérdida de dinero.
Sin embargo, aunque no seas una persona conocida, también puedes convertirte en víctima del doxing (el acto de revelar información sobre la identidad de alguien online), como tu nombre real, tu domicilio, tu lugar de trabajo, tu número de teléfono, tus datos bancarios u otros datos personales. Los ataques de doxing pueden ser muy variados, desde ataques relativamente inofensivos, como registros en innumerables listas de correo o pedidos falsos a tu nombre de comida a domicilio, hasta algunos mucho más peligrosos, como diversas formas de ciberacoso, robo de identidad o incluso acoso en persona.
En conclusión, si usas la misma contraseña para tus cuentas personales y las de trabajo, los ciberdelincuentes pueden apoderarse de tu correo electrónico corporativo y usarlo como una herramienta para comprometer el correo electrónico comercial o incluso para realizar ataques dirigidos.
Cómo proteger tus cuentas frente a accesos no deseados
En primer lugar, ten siempre en cuenta ciertas pautas para la seguridad de las contraseñas:
- no reutilices la misma contraseña para varias cuentas;
- crea contraseñas largas y seguras;
- guarda tus contraseñas de forma segura;
- cambia tus contraseñas inmediatamente en cuanto escuches cualquier noticia sobre una brecha de datos en un servicio o un sitio web que utilices.
Nuestro software de gestión de contraseñas puede ayudarte con todas esas tareas. Está disponible como parte de nuestras soluciones de seguridad tanto para las pequeñas y medianas empresas como para los clientes domésticos.
Y aquí van algunos consejos adicionales:
- Activa siempre que sea posible la autenticación de dos factores. Esta proporciona una capa adicional de seguridad y evitará que los cibercriminales accedan a tu cuenta, incluso aunque alguien logre obtener tu nombre de usuario y contraseña.
- Configura tus redes sociales con una mejor privacidad. Esto hará que sea más difícil encontrar información sobre ti y, por lo tanto, complicará el uso de un diccionario de fuerza bruta para atacar tus cuentas.
- Intenta no compartir demasiados datos personales, incluso aunque solo sea visible para tus amigos. Tus amigos de hoy en día pueden convertirse en tus enemigos el día de mañana.