Ciberdelitos: las contraseñas siguen siendo un punto débil
Aún las passwords más “robustas” pueden ser capturadas y robadas por los hackers y constituyen un eslabón endeble en la estrategia de seguridad de muchas organizaciones
- 4 minutos de lectura'
PARA LA NACIONGabriel Zurdo
El nombre de nuestras mascotas, el club de futbol, marca de auto, nombre de nuestros hijos o número de teléfono; las contraseñas siguen siendo el método principal de autenticación, la necesidad de mejorar la construcción de las mismas permanece, las técnicas de hacking mejoran mucho más rápido que las habilidades de los usuarios y de la industria. “Admin” y “123456″ permanecen como las más comprometidas y comunes, al igual que “contraseña”, “password”, “pass@123″, “p@ssw0rd”. La posibilidad de reutilización de códigos en organizaciones que no implementan controles estrictos es una constante.
Las claves más largas son más difíciles de adivinar y descifrar mediante ataques de fuerza bruta y del uso de técnicas de diccionario híbrido. Las llaves de acceso siguen siendo un problema y un punto de debilidad en las estrategias de ciberseguridad de muchas organizaciones. El 61 % de los usuarios tiene una “única password” y el 55% admite que utiliza contraseñas débiles u obvias. Las más largas no están a salvo de esfuerzos de desencripción mediante el empleo de herramientas veloces y potentes.
Una cantidad importante de los ciberdelitos todavía se nutren de una materia prima fundamental, robar y traficar contraseñas es un nuevo negocio; venderlas y utilizarlas como punto de acceso inicial para las organizaciones infractoras. En nuestra experiencia de campo el 80 % de los incidentes de ciberseguridad son provocados por errores humanos y cerca del 41% se vinculan con passwords robadas.
El 32% de los usuarios de plataformas web dice realizar un pequeño cambio en una contraseña anterior, como por ejemplo cambiar el mes o el año; y el 25 % que simplemente reutiliza una antigua (tarea de campo de BTR).
Las formas en que generalmente se obtienen contraseñas débiles incluyen básicamente dos modelos: ataque de fuerza bruta, que utilizan software para intentar todas las combinaciones posibles de caracteres hasta encontrar la correcta; o clave de descifrado correcta, es decir; “contraseña” podría ser el término base de una lista de diccionario. Un ataque de fuerza bruta probará todas las variaciones posteriores, como “contraseña, Contraseña, Contraseña1, Contraseña2″. etc.
Mask attack es una forma de fuerza bruta, en la que los atacantes utilizan elementos conocidos y pre-armados de construcción de contraseñas comunes y pueden reducir la cantidad de combinaciones que necesitarán para acertar. El delincuente asume que muchas tienen ocho caracteres, comienzan con una letra mayúscula y terminan con varios caracteres de puntuación, como “¡Bienvenido1!”. Por lo tanto, es posible que solo prueben combinaciones que coincidan con este patrón, lo que reduce la cantidad de contraseñas a intentar.
Dictionary attack, utiliza “listas de diccionarios” predefinidas de posibles posibilidades para adivinar claves. Estos podrían variar desde códigos de uso frecuente y frases comunes hasta términos de industrias específicas, explotando la tendencia humana a optar por la simplicidad y la familiaridad al crear contraseñas. Los piratas informáticos utilizan las plataformas de redes sociales para recopilar información sobre usuarios específicos y sus organizaciones, obteniendo información de inteligencia sobre los posibles nombres de usuario y contraseñas que pueden elegir.
Un paseo por el teclado, donde los caracteres están uno al lado del otro es una constante. La gente elige estos “paseos con los dedos”, ya que son rápidos de escribir y fáciles de recordar. Si bien, el resultado no es una palabra real, los delincuentes saben que deben incluir estos patrones comunes en su diccionario y en sus ataques de fuerza bruta. Los patrones más utilizados son “qwerty”, “qwert” y “werty”.
Los ciberdelincuentes buscarán elevar los privilegios de una cuenta de usuario básico, por lo que es recomendable proteger todas las cuentas, pero mecánicamente buscarán comprometer una cuenta de administrador, ya que tendrá más opciones después de obtener acceso no autorizado.
Solo 2 de cada 10 usuarios utiliza una contraseña segura. EL 22% las anota en papel o en un medio digital en su celular o computadora.
Es necesario tener una política de contraseñas que impida que los usuarios finales creen unas débiles, pero aún las seguras pueden verse comprometidas mediante filtraciones de datos, técnicas de phishing e intrusiones sobre medios en donde los usuarios resguardan sus passwords.
Especialista en riesgo tecnológico y negocio
Por Gabriel Zurdo
Conforme a los criterios de
