Las 10 técnicas favoritas de los hackers para descifrar contraseñas

Comprender las técnicas de descifrado de contraseñas que utilizan los hackers para vulnerar tus cuentas en línea es una excelente manera de asegurarte de que nunca te suceda.

Sin duda, siempre tendrás que cambiar tu contraseña, y a veces con más urgencia de lo que crees. Empero, mitigar el robo es una excelente manera de mantenerse al tanto de la seguridad de tu cuenta.

Siempre puedes visitar www.haveibeenpwned.com para verificar si estás en riesgo. Porque simplemente pensar que tu contraseña es lo suficientemente segura como para no ser hackeada es una posición arriesgada.

Entonces, para ayudarte a comprender cómo los hackers obtienen tus contraseñas, hemos reunido una lista de las diez técnicas más populares de descifrado de contraseñas.

Algunos de los métodos descritos a continuación son ciertamente anticuados, pero eso no ha disminuido su popularidad.

Las diez técnicas más comunes que utilizan los hackers para descifrar contraseñas

1. Ataque de diccionario

El ataque de diccionario, como su nombre lo indica, es un método que utiliza un índice de palabras. Este índice suele ser una compilación de las contraseñas más utilizadas por los usuarios.

Esta es una versión un poco menos sofisticada del ataque de fuerza bruta. Empero, aún se basa en que los hackers bombardean un sistema con intentos hasta que algo funcione.

Si crees que, al unir palabras, como “chicosuperaministrador”, te defenderá de tal ataque, piénsalo de nuevo. El ataque de diccionario es capaz de adaptarse a esto, y como tal solo retrasará el descifrado en cuestión de segundos.

2. Ataque de fuerza bruta

Similar en función al ataque de diccionario, el ataque de fuerza bruta se considera un poco más sofisticado. En lugar de usar una lista de palabras, los ataques de fuerza bruta pueden detectar términos que no son del diccionario, como combinaciones alfanuméricas.

Esto significa que las contraseñas que incluyen cadenas como “aaa1” o “zzz10” podrían estar en riesgo por un ataque de fuerza bruta.

La desventaja es que este método es mucho más lento como resultado, especialmente cuando se usan contraseñas más largas.

Sin embargo, este estilo de ataque generalmente está respaldado por una potencia informática adicional para reducir el tiempo de hacking. Esto ya sea mediante la asignación de más recursos de CPU a la tarea o mediante la creación de una granja de procesamiento distribuido. Similar a los utilizados por los mineros de criptomonedas.

3. Ataque de Rainbow tables

Las Rainbow tables (tablas arcoíris) pueden sonar inocuas, pero de hecho son herramientas increíblemente útiles en el arsenal de un hacker.

Cuando las contraseñas se almacenan en un sistema informático, se procesan mediante cifrado. La naturaleza unidireccional de este proceso significa que es imposible ver cuál es la contraseña sin el hash asociado.

En pocas palabras, las rainbow table funcionan como una base de datos precalculada de contraseñas y sus valores hash correspondientes.

Esto se utilizará como índice para hacer referencias cruzadas de hashes encontrados en una computadora con los que ya se calcularon previamente en la rainbow tables. En comparación con un ataque de fuerza bruta, que hace gran parte del cálculo durante la operación, este reduce el ataque a solo una búsqueda en una tabla.

Sin embargo, las rainbow tables son cosas enormes y difíciles de manejar. Requieren una gran cantidad de almacenamiento para ejecutarse y una tabla se vuelve inútil si el hash que intenta encontrar ha sido “salteado”. Esto mediante la adición de caracteres aleatorios a tu contraseña antes del hash del algoritmo.

Se habla de rainbow tables salteadas existentes, pero estas serían tan grandes que serían difíciles de usar en la práctica. Es probable que solo funcionen con un conjunto predefinido de “caracteres aleatorios” y cadenas de contraseña inferiores a 12 caracteres. Esto porque el tamaño de la tabla sería prohibitivo incluso para hackers de nivel estatal.

4. Phishing

Hay una manera fácil de hackear: solicitar al usuario su contraseña. Un correo electrónico de phishing lleva al lector desprevenido a una página de inicio de sesión falsa. Esta página puede estar asociada con cualquier servicio al que el hacker quiera acceder, solicitando al usuario que solucione algún problema terrible con su seguridad. Esa página luego toma tu contraseña y el hacker puede usarla para su propio propósito.

¿Por qué molestarse en descifrar la contraseña cuando el usuario felizmente te la dará?

5. Ingeniería social

La ingeniería social lleva todo el concepto de “preguntar al usuario” del phishing a otro nivel en el mundo real.

Un favorito del ingeniero social es llamar a una oficina haciéndose pasar por un técnico de seguridad de TI y simplemente pedir la contraseña de acceso a la red. Te sorprendería la frecuencia con que esto funciona.

Algunos incluso tienen el descaro de ponerse un traje y una tarjeta de identificación. Esto antes de entrar en un negocio para hacerle a la recepcionista la misma pregunta cara a cara.

6. Malware

Un malware puede instalar un keylogger o u otra herramienta que registra todo lo que escribes durante un proceso de inicio de sesión. El malware posteriormente reenvía una copia de este archivo al hacker.

Algunos programas maliciosos buscarán la existencia de un archivo de contraseñas del navegador web y lo copiarán. El cual, a menos que esté debidamente cifrado, contendrá contraseñas guardadas de fácil acceso del historial de navegación del usuario.

7. Cracking sin conexión

Ahora se considera estándar de la industria limitar el número de intentos que una persona tiene al ingresar su contraseña. Generalmente para permitir que un propietario legítimo de la cuenta corrija errores tipográficos o pruebe una cantidad de contraseñas usadas regularmente. Esto en caso de que olviden cuál está asociada con esa cuenta.

Esta es una forma efectiva de evitar que un usuario no autorizado utilice fuerza bruta en tu cuenta. Empero, no hace nada para evitar el cracking sin conexión, que es donde ocurre la mayoría del hacking de contraseñas en estos días.

El proceso generalmente se deriva de una violación reciente de datos de los sistemas de una empresa, que permite a los hackers obtener acceso a los archivos hash del usuario. Con esto en mano, un hacker puede tardar todo el tiempo que necesite en descifrar las contraseñas lentamente. Esto le permite enmascararse como propietario legítimo de cuentas que inician sesión con éxito por primera vez.

8. Shoulder surfing (espiar por encima del hombro)

La idea de un delincuente disfrazado que entra en un edificio para robar secretos es algo que podrías pensar que solo se encuentra en películas. Sin embargo, este tipo de robo de credenciales sigue siendo una amenaza muy real en 2020.

En el caso de los ataques contra las empresas, el “uniforme” del personal de servicio proporciona una especie de pase gratuito para pasear sin obstáculos. Un unirme proporciona la oportunidad de husmear literalmente sobre los hombros de los miembros genuinos del personal.

Al espiar, se puede obtener las contraseñas que los empleados ingresan. Asimismo, detectar contraseñas que los trabajadores conscientes de la seguridad han anotado en notas adhesivas o en blocs de notas.

Por supuesto, cuanto más robusto es un sistema de seguridad, más fácil es evitar tales ataques.

Es poco probable que las organizaciones más grandes sean víctimas de este tipo de hacking. No obstante, las empresas más pequeñas, particularmente aquellas sin seguridad en la recepción, aún podrían ser susceptibles.

También está la cuestión del fraude al consumidor, ya que esta técnica a menudo se asocia con el robo de credenciales. Por ejemplo, en cajeros automáticos o en largas colas, esencialmente en cualquier lugar donde un criminal pueda mantener una distancia cercana a su posible víctima.

9. Rastreo

Algunas técnicas de hacking se basan en conocer íntimamente a su víctima, lo cual es particularmente cierto en el caso de esta técnica. Muchas organizaciones usan contraseñas corporativas que se relacionan con sus negocios de alguna manera. Por ejemplo, usando una variación de su marca como contraseña para su red Wi-Fi.

Algunos hackers expertos se han dado cuenta de que, al estudiar la literatura corporativa de una empresa pueden obtener grandes resultados.  Basta con leer la misión de la empresa o su material de ventas. Con esto pueden crear una lista de palabras altamente efectiva que puede usarse como parte de un ataque de fuerza bruta.

Para perfeccionar realmente esta técnica, algunos hackers incluso han implementado herramientas automatizadas. Estas rastrean enormes volúmenes de listas de palabras clave asociadas con un objetivo, lo que ayuda a mejorar la eficiencia del proceso.

10. Suposiciones

El mejor amigo de los descifradores de contraseñas, por supuesto, es la previsibilidad del usuario. A menos que se haya creado una contraseña verdaderamente aleatoria utilizando un software dedicado a la tarea, es poco probable que una contraseña aleatoria generada por el usuario sea de ese tipo.

Gracias al apego emocional de nuestro cerebro a las cosas que nos gustan, lo más probable es que esas contraseñas aleatorias sean fáciles de adivinar. Lo más probable es que esas contraseñas se basen en nuestros intereses, pasatiempos, mascotas, familia, etc.

De hecho, las contraseñas tienden a basarse en todas las cosas sobre las que nos gusta chatear en las redes sociales. Incluso podríamos incluirlas en nuestros perfiles.

Es muy probable que los descifradores de contraseñas vean esta información y hagan algunas suposiciones educadas (a menudo correctas). Esto al intentar descifrar una contraseña de usuario sin recurrir a ataques de diccionario o de fuerza bruta.