Un especialista en ciberseguridad explica las formas de descifrar cualquier contraseña y las técnicas de seguridad
Según el gestor de contraseñas NordPass, más del 70% de las contraseñas se pueden descifrar en solo unos segundos. ¿De qué manera los hackers obtienen acceso a cuentas ajenas y cómo proteger los datos personales? Te lo contamos en el artículo.
- Qué tan Peligroso es el Descifrado de Contraseñas
- Método 1. Ataque de Diccionario
- Método 2. Ataque de Fuerza Bruta
- Método 3. Tablas Arcoíris
- Método 4. Phishing
- Método 5. Contraseñas Guardadas
- Método 6. Programas Espía
- Método 7. Ingeniería Social
- Método 8. Adivinación de Contraseñas
- Cómo Proteger tu Cuenta
Qué tan Peligroso es el Descifrado de Contraseñas
El descifrado de contraseñas es una situación desagradable que puede sucederle a cualquiera. La mayoría de las veces se descifran cuentas protegidas con contraseñas demasiado simples, como “qwerty
” o “123456
“. Es más fácil para el usuario recordar algo obvio que crear una combinación compleja de letras y números.
Al descifrar una cuenta, personas ajenas pueden obtener:
- Acceso a fotos personales, mensajes y documentos.
- Acceso directo a dinero (sistemas de pago, cuentas bancarias).
- Oportunidad de chantaje.
Y al descifrar servidores y cuentas de administrador, obtienen control total sobre el sitio web y la información alojada en él. Para entender cómo protegerse de los hackers, es necesario comprender cómo logran descifrar cualquier contraseña.
La mayoría de las veces, las personas son vulnerables porque dejan sus datos en fuentes no confiables. Se registran en sitios pequeños, foros, usan servicios externos para la autorización a través de la cuenta de Google. Cuando una persona acumula una cantidad crítica de estas fuentes, en algún momento ocurre una filtración y sus datos se hacen públicos.
Prevenir esto es bastante difícil, especialmente si se trata de una pequeña empresa. Un empleado descontento o un infiltrado puede descargar la base de datos del servidor y venderla por una suma simbólica. Luego, estos datos circulan por la darknet, foros y, finalmente, se hacen de acceso público. Esto sucede con bastante frecuencia en sitios pequeños, pero situaciones similares no están excluidas en grandes corporaciones.
Método 1. Ataque de Diccionario
Los hackers tienen su propio diccionario: un archivo txt
que contiene combinaciones de las contraseñas más comúnmente usadas.
Incluye no solo palabras comunes como “password“, sino también frases populares: “sim sim salabim”, “soy superadmin“, “pass12345“, etc.
Durante un ataque hacker, el programa recorre automáticamente las combinaciones hasta encontrar la correcta. Solo una contraseña compleja y única que no esté en el diccionario puede protegerte del descifrado.
Lista de contraseñas que se pueden descifrar en menos de un segundo:
Contraseña | Veces que la contraseña se ha filtrado en la red |
---|---|
123456 | 23,5 millones |
123456789 | 7,8 millones |
password | 3,7 millones |
12345678 | 2,9 millones |
111111 | 3,1 millones |
123123 | 2,2 millones |
12345 | 2,3 millones |
Método 2. Ataque de Fuerza Bruta
El método de fuerza bruta, o brute force, es similar al ataque de diccionario, pero el programa recorre todas las posibles combinaciones, no solo las que los usuarios utilizan con mayor frecuencia. Por ejemplo, si la contraseña tiene 9 caracteres, el programa generará secuencias aleatorias hasta encontrar la combinación correcta. Cuanto más larga sea la contraseña, más difícil será descifrar el código. Un administrador del sitio puede proteger contra estos ataques limitando el número de intentos de acceso.
Si el descifrado tiene éxito, los hackers intentarán acceder a otras cuentas utilizando la misma contraseña. Por eso es tan importante crear una contraseña única para cada servicio.
Método 3. Tablas Arcoíris
Una tabla arcoíris (o tablas Rainbow) es una lista de hashes previamente calculados (contraseñas cifradas). Cuando nos registramos en un sitio, el propietario no almacena las contraseñas en su forma original, sino que utiliza un algoritmo de hash especial. Existen varios, como sha1, md5, md6, sha256, tiger, entre otros.
Con el algoritmo MD5, una contraseña común como “12345” se convierte en una combinación compleja “827ccb0eea8a706c4c34a16891f84e7b
“. Incluso si los hackers obtienen acceso al servidor, solo verán un código largo con el que no podrán acceder a tu cuenta.
Es casi imposible convertir un hash de nuevo al formato de texto, ya que el hash es una función unidireccional. Pero se puede encontrar la contraseña correspondiente al hash. Para ello, se utilizan “tablas arcoíris“, que contienen los hashes de las contraseñas más populares. Solo unos segundos de búsqueda en la tabla y los hackers obtendrán acceso a tus cuentas.
Método 4. Phishing
No siempre los hackers utilizan técnicas de descifrado de contraseñas; a veces los usuarios mismos proporcionan todos los datos a los delincuentes. Para ello, se utilizan sitios de phishing que copian recursos web populares, bancos y recopilan información personal.
Muchos usuarios escriben la dirección del sitio directamente en la barra de direcciones y terminan automáticamente en el sitio de phishing. Los sitios de phishing no parecen fraudulentos, a menudo imitan sitios reales de grandes empresas, sistemas de pago y bancos. Los delincuentes pueden cambiar una “a” en inglés por una “a” en ruso o agregar una letra adicional. Aquellos que cometen un error al escribir terminan en el sitio de phishing, que visualmente copia el original.
En Bing o Google, la probabilidad de llegar a un sitio de phishing es bastante baja. Los sitios que aparecen en los resultados de búsqueda son cuidadosamente verificados. Además, las propias empresas trabajan para identificar estos sitios, ya que también están interesadas en que sus clientes no caigan en situaciones desagradables. Es más común llegar a un sitio de phishing a través de correos electrónicos o cuentas comprometidas de personas cercanas, cuando en las redes sociales recibes un enlace de alguien de confianza. Por eso siempre debes verificar la información y ser escéptico con todo lo que ves en internet.
Las campañas de phishing también son comunes en el ámbito corporativo. En las pruebas de penetración (pentesting), las empresas a menudo envían correos electrónicos falsos con ofertas tentadoras, como un seguro médico favorable o cursos de inglés gratuitos para empleados. Esto ayuda a entender cómo se comportan los trabajadores en estas situaciones y a realizar medidas preventivas a tiempo.
Método 5. Contraseñas Guardadas
Para no tener que recordar las contraseñas, la mayoría de los navegadores ofrece guardarlas. Este método es excelente para quienes usan la computadora en casa y rara vez tienen invitados. Pero si te gusta trabajar en una cafetería, organizar fiestas en casa o llevar tu portátil a la oficina, personas ajenas pueden acceder fácilmente a tus contraseñas.
Lo mismo ocurre con el uso de tus cuentas en computadoras ajenas. Si en casa de amigos o en la oficina guardas accidentalmente una contraseña, tus datos pueden caer en manos de personas malintencionadas.
Guardar contraseñas en el navegador de tu propia computadora es bastante seguro si no almacenas información importante. Por ejemplo, puedes guardar los datos para acceder a Pinterest o X. Pero es mejor no guardar en el navegador accesos importantes, como la cuenta personal del banco. No porque Google o Yandex puedan filtrar la información, sino porque no siempre podemos garantizar que nuestra computadora no caiga en manos ajenas.
Método 6. Programas Espía
Es posible conocer la contraseña de otra persona si se instala software espía en su computadora o teléfono. Los programas pueden funcionar de diferentes maneras: algunos interceptan información del teclado, otros hacen capturas de pantalla durante la autorización y otros buscan archivos con contraseñas.
Uno de los programas espía más conocidos (códigos maliciosos para espionaje) es Pegasus. Este software puede infiltrarse en el teléfono sin que el propietario se dé cuenta. Según datos de 2021, más de 50,000 teléfonos en todo el mundo estaban infectados con Pegasus. El programa obtiene acceso total al sistema, incluyendo fotos, imágenes, conversaciones y mensajes.
Los usuarios pueden descargar programas similares accidentalmente junto con otro software. Sin embargo, la mayoría de los keyloggers son detectados con éxito por los antivirus. Los sistemas móviles Android e iOS tienen sus propios medios de protección incorporados.
Método 7. Ingeniería Social
Este tipo de fraude es común en el ámbito corporativo. Los hackers pueden llamar a una empresa y hacerse pasar por empleados del departamento de TI. O llevar una credencial de la empresa y obtener información confidencial en una conversación cara a cara. Algunos se infiltran en la oficina como personal de mantenimiento y anotan las contraseñas que los empleados dejan en notas adhesivas en sus escritorios.
Método 8. Adivinación de Contraseñas
Incluso si no usas contraseñas simples, aún puedes ser vulnerable. Por ejemplo, si usas como contraseña un pasatiempo favorito, el nombre de una mascota o la fecha de tu boda. Esta previsibilidad hace que la cuenta sea vulnerable, ya que la mayoría de la información se puede encontrar fácilmente en la red. Los delincuentes pueden cargar las palabras necesarias en un programa de adivinación de contraseñas y obtener acceso.
Los datos personales hacen que la contraseña sea predecible y aumentan el riesgo de descifrado. Las contraseñas del diccionario, como 1111 o admin, se usan más comúnmente en servidores que en cuentas personales. Si es necesario adivinar la contraseña de una persona en particular, es poco probable que el método del diccionario funcione. Lo más probable es que la contraseña esté relacionada con una fecha de nacimiento o un perro favorito. Estos datos se cargan en el programa de adivinación de contraseñas, y el programa genera las secuencias por sí mismo.
Este mismo método se utiliza para descifrar cuentas comerciales. Al estudiar la literatura corporativa y el sitio web de la empresa, se puede crear una lista de palabras clave y cargarlas en el programa. Los hackers avanzados a menudo utilizan aplicaciones especiales “web” similares a las que generan listas de palabras clave para SEO.
Cómo Proteger tu Cuenta
Para que tu contraseña no sea una presa fácil para los hackers, asegúrate de seguir estas reglas:
- Usa contraseñas largas de al menos ocho caracteres.
- Usa una combinación aleatoria de letras, números y signos.
- Añade números no solo al principio o al final de la contraseña, sino también en el medio.
- Usa diferentes mayúsculas y minúsculas, colocando letras mayúsculas no solo al principio o al final de la contraseña, sino también en el medio.
- Donde sea posible, activa la autenticación multifactorial para confirmar el acceso con tu teléfono móvil o correo electrónico.
- Crea contraseñas únicas para cada servicio.
No uses para la contraseña:
- Palabras reales y frases comunes.
- Información personal (fechas importantes, nombres, direcciones, marca de automóvil, etc.).
- Secuencias de números o sus fragmentos (12345678).
- “Figuras geométricas” en el teclado (qwerty, etc.).
Para proteger de manera segura las contraseñas almacenadas, se pueden utilizar gestores de contraseñas o cofres electrónicos.
Es muy importante mantener un equilibrio entre la paranoia digital y la ingenuidad. Por un lado, se desea disfrutar de internet y sus posibilidades, y por otro, siempre existe el riesgo de filtración de contraseñas. La regla principal de seguridad para el usuario común es recordar la higiene digital: usar contraseñas complejas, no visitar sitios dudosos, no descargar aplicaciones sospechosas, usar contraseñas diferentes, no dejar tus datos en dispositivos ajenos.
Es recomendable usar gestores de contraseñas, aunque tampoco garantizan una seguridad del 100%. Por lo tanto, no guardes todas las contraseñas en un solo lugar. Los datos de cuentas bancarias o cuentas de corredores de bolsa es mejor no almacenarlos en formato electrónico. Por lo general, no los necesitamos a diario. Y para acceder a la aplicación bancaria, se puede usar la huella digital o FaceID.