Cómo tu contraseña puede caer en las manos equivocadas

Una contraseña simplemente es el método más común de verificación para la mayoría de nosotros en innumerables servicios online. Pero, para los ciberdelincuentes, es mucho más: un atajo para adentrarse en la vida de otra persona, una herramienta de trabajo de suma importancia y una mercancía que está a la venta. Al acceder a una contraseña, los delincuentes no solo pueden apoderarse de tus cuentas, tus datos, tu dinero y hasta tu identidad, también pueden usarlo como punto débil para atacar online a tus amigos, familiares o hasta a la empresa en la que trabajas o administras.

¿Cómo tu contraseña puede caer en manos de los ciberdelincuentes?

Usualmente se cree de forma generalizada y errónea que, para que los ciberdelincuentes roben tu contraseña debes cometer un error: descargar y ejecutar un archivo no verificado de Internet, abrir un documento de un remitente desconocido o introducir tus datos en algún sitio web sospechoso. Claro que todos esos patrones de comportamiento pueden facilitar el trabajo de los atacantes, pero también se dan otras situaciones. Estos son los métodos más comunes que los ciberdelincuentes usan para acceder a tus cuentas:

Phishing

Este es uno de esos métodos de recopilación de datos que principalmente se basa en el error humano. Diario aparecen miles de correos electrónicos que llevan a cientos de sitios de phishing. Y si crees, por alguna razón, que jamás caerás en las redes del phishing, te equivocas. Este método es casi tan viejo como Internet, por lo que los ciberdelincuentes se han tomado el tiempo para desarrollar numerosos trucos de ingeniería social y estrategias para encubrirlo. Hasta los profesionales, en ocasiones, no son capaces de distinguir a simple vista un correo electrónico de phishing de uno real.

Malware

El malware es otro de los métodos más comunes para robar las datos. De acuerdo con nuestras estadísticas, gran parte del malware activo se forma de troyanos ladrones cuya principal meta es esperar a que un usuario inicie sesión en alguna web o servicio, copiar sus contraseñas y enviárselas a sus creadores. Si no utilizas soluciones de protección, los troyanos pueden ocultarse en tu computadora sin ser detectados durante años y no sabrás que algo está mal, porque no causan daños visibles, hacen su trabajo de forma silenciosa.

Y los troyanos ladrones no son el único malware que va en busca de contraseñas. A veces, los ciberdelincuentes inyectan skimmers en los sitios web y roban todos los datos que introducen los usuarios: credenciales, nombres, datos bancarios, etc.

Fugas de terceros

No obstante, el error puede no solo ser tuyo. Basta con que seas usuario de algún servicio de Internet con poca seguridad o cliente de una empresa de la que se haya filtrado la base de datos de sus clientes. Usualmente, las empresas que se toman en serio su ciberseguridad no guardan tus contraseñas o lo hacen de forma cifrada. Pero nunca se puede estar seguro de que las medidas necesarias han sido implementadas. Por ejemplo, la filtración de datos de SuperVPN que se produjo este año contenía los datos personales y de inicio de sesión de 21 millones de usuarios.

Además, algunas empresas no pueden evitar el almacenamiento de las contraseñas. Sí, hablamos del famoso hackeo del gestor de contraseñas LastPass. De acuerdo con datos más recientes, un desconocido actor de amenazas accedió al almacenamiento basado en la nube mediante algunos datos de clientes, entre los que se incluían sus copias de seguridad de las bóvedas. Sí, esas bóvedas se cifraron correctamente y LastPass nunca almacenó ni conoció las claves de descifrado. Pero ¿qué pasa si los clientes de LastPass bloquearan sus bóvedas con una contraseña que ya se haya filtrado de alguna otra fuente? Si reutilizaran una contraseña insegura, los ciberdelincuentes tendrían acceso a todas sus cuentas.

Brokers de acceso inicial

Estamos ante otra fuente de contraseñas robadas: el mercado negro. Actualmente, los ciberdelincuentes prefieren especializarse en ciertos campos. Pueden robar tus contraseñas, pero quizá no usarlas: es más rentable venderlas al por mayor. Comprar tales bases de datos de contraseñas es sumamente atractivo para los ciberdelincuentes porque les ofrece un todo en uno: los usuarios tienden a usar las mismas contraseñas en varias plataformas y cuentas, vinculándolas todas al mismo correo electrónico. Por ende, al tener la contraseña de una plataforma, los ciberdelincuentes pueden acceder a muchas otras cuentas de la víctima, desde sus cuentas de juegos hasta su correo electrónico personal o incluso sus cuentas privadas en sitios para adultos.

Anuncio en un foro de un hacker: alguien ofrece 280.000 nombres de usuario y contraseñas para varias plataformas de juegos por solo 4.000 dólares.

En el mismo mercado negro se venden también las bases de datos corporativas filtradas que pueden o no contener credenciales. El costo de dichas bases de datos varía según la cantidad de datos y el sector al que la empresa pertenezca: algunas bases de datos de contraseñas pueden valer miles de dólares.

Existen ciertos servicios en la darknet que agregan contraseñas y bases de datos filtradas, y luego permiten el acceso de pago por suscripción o un acceso único a sus recopilaciones. En octubre de 2022, el famoso grupo de ransomware LockBit hackeó a una empresa de asistencia sanitaria y robó su base de datos de usuarios con información médica. No solo vendieron en la darknet las suscripciones a esta información, sino que, supuestamente, también compraron el acceso inicial en el mismo mercado negro.

Un servicio de la darknet que brinda el acceso de pago a bases de datos robadas.

Ataques de fuerza bruta

Hay casos en que los ciberdelincuentes ni siquiera necesitan una base de datos robada para averiguar tus contraseñas y hackear tus cuentas. Pueden usar la fuerza bruta, o sea, probar miles de variantes de las contraseñas típicas hasta que alguna funcione. Sí, no suena demasiado caro, pero en realidad no necesitan intentar todas las combinaciones posibles: existen herramientas (generadores de listas de palabras) que pueden generar una lista de posibles contraseñas comunes (los llamados diccionarios de fuerza bruta) tomando en cuenta los datos personales de la víctima.

Estos programas parecen un minicuestionario sobre la víctima. Piden nombre, apellidos, fecha de nacimiento, los datos personales de parejas, hijos e incluso mascotas. Incluso, los atacantes pueden añadir palabras clave adicionales que conozcan sobre su objetivo para incluir en esta mezcla. Al usar esta combinación de palabras relacionadas, nombres, fechas y otros datos, los generadores de listas de palabras crean miles de variantes de contraseñas que luego los atacantes prueban para iniciar sesión.

Un servicio que puede generar un diccionario para ataques de fuerza bruta en función de los datos conocidos sobre la posible víctima.

Para esto, primero los ciberdelincuentes deben realizar una investigación, y aquí es cuando esas bases de datos filtradas pueden ser de utilidad. Estas pueden contener información como fechas de nacimiento, direcciones o respuestas a “preguntas secretas”. Otra fuente de datos usual son las redes sociales, en las que se tiende a compartir demasiada información, algo que parece absolutamente insignificante como una foto del 6 de diciembre en la que se diga: “hoy es el cumpleaños de mi amado cachorro”.

Posibles consecuencias de una contraseña filtrada o forzada

Existen consecuencias evidentes como que los ciberdelincuentes pueden apoderarse de tu cuenta y pedir un rescate por ella, usarla para estafar a tus contactos y amigos online o, si pueden obtener la contraseña de tu web o aplicación bancaria, vaciar tu cuenta. No obstante, a veces su intención no es tan clara.

Ejemplo, con el auge de los juegos que cuentan con su propia moneda dentro del juego y con el aumento de las microtransacciones, hay más usuarios con sus métodos de pago vinculados a sus cuentas. Esto convierte a los jugadores en un objetivo interesante para los hackers. Si acceden a la cuenta del juego, pueden robar objetos de valor como máscaras, artículos raros o monedas internas, o hacer un mal uso de los datos de la tarjeta de crédito de la víctima.

Las bases de datos filtradas y la información que se puede obtener al buscar en sus cuentas puede utilizarse no solo para obtener ganancias financieras, sino también para dañar la reputación y producir otros tipos de daños sociales, como el doxing. Si eres una persona conocida, te pueden chantajear y ponerte en la encrucijada de tener que elegir entre la divulgación de algún tipo de información personal (que afectaría tu reputación) o la pérdida de dinero.

No obstante, aunque no seas una persona conocida, también puedes convertirte en víctima del doxing (el acto de revelar información sobre la identidad de alguien online), como tu nombre real, domicilio, lugar de trabajo, número telefónico, datos bancarios y demás datos personales. Los ataques de doxing pueden ser muy variados, desde aquellos relativamente inofensivos, como registros en innumerables listas de correo o pedidos falsos de comida a domicilio a tu nombre, hasta otros mucho más peligrosos, como diversas formas de ciberacoso, robo de identidad o incluso acoso en persona.

En conclusión, si utilizas la misma contraseña para todas tus cuentas personales y de trabajo, los ciberdelincuentes pueden apoderarse de tu correo electrónico corporativo y usarlo como una herramienta para comprometer el correo electrónico comercial o incluso para realizar ataques dirigidos.

Cómo proteger tus cuentas ante accesos no deseados

Primero, siempre toma en cuenta ciertas pautas para la seguridad de las contraseñas:

• no reutilices la misma contraseña para diversas cuentas;
• crea contraseñas largas y seguras;
• guarda tus contraseñas de forma segura;
• cambia tus contraseñas inmediatamente en cuanto escuches cualquier noticia sobre una brecha de datos en un servicio o un sitio web que utilices.

Nuestro software de gestión de contraseñas puede ayudarte con todas esas tareas. Está disponible como parte de nuestras soluciones de seguridad tanto para las pequeñas y medianas empresas como para los clientes domésticos.

Y aquí algunos consejos adicionales:

1. Siempre que sea posible, activa la autenticación de dos factores. Esta proporciona una capa extra de seguridad y evitará que los hackers accedan a tu cuenta, incluso aunque alguien logre obtener tu nombre de usuario y contraseña.
2. Configura con mayor privacidad tus redes sociales. Así será más difícil encontrar información sobre ti y, por ende, complicará el uso de un diccionario de fuerza bruta para atacar tus cuentas.
3. Intenta no compartir demasiados datos personales, incluso aunque solo sea visible para tus amigos. Tus amigos de hoy pueden convertirse en los enemigos del mañana.