{"id":25675,"date":"2023-01-10T12:26:55","date_gmt":"2023-01-10T18:26:55","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25675"},"modified":"2023-01-10T12:29:06","modified_gmt":"2023-01-10T18:29:06","slug":"how-criminals-can-get-your-password","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/how-criminals-can-get-your-password\/25675\/","title":{"rendered":"C\u00f3mo tu contrase\u00f1a puede caer en las manos equivocadas"},"content":{"rendered":"

Una contrase\u00f1a simplemente es el m\u00e9todo m\u00e1s com\u00fan de verificaci\u00f3n para la mayor\u00eda de nosotros en innumerables servicios online<\/em>. Pero, para los ciberdelincuentes, es mucho m\u00e1s: un atajo para adentrarse en la vida de otra persona, una herramienta de trabajo de suma importancia y una mercanc\u00eda que est\u00e1 a la venta. Al acceder a una contrase\u00f1a, los delincuentes no solo pueden apoderarse de tus cuentas, tus datos, tu dinero y hasta tu identidad, tambi\u00e9n pueden usarlo como punto d\u00e9bil para atacar online<\/em> a tus amigos, familiares o hasta a la empresa en la que trabajas o administras.<\/p>\n

\u00bfC\u00f3mo tu contrase\u00f1a puede caer en manos de los ciberdelincuentes?<\/h2>\n

Usualmente se cree de forma generalizada y err\u00f3nea que, para que los ciberdelincuentes roben tu contrase\u00f1a debes cometer un error: descargar y ejecutar un archivo no verificado de Internet, abrir un documento de un remitente desconocido o introducir tus datos en alg\u00fan sitio web sospechoso. Claro que todos esos patrones de comportamiento pueden facilitar el trabajo de los atacantes, pero tambi\u00e9n se dan otras situaciones. Estos son los m\u00e9todos m\u00e1s comunes que los ciberdelincuentes usan para acceder a tus cuentas:<\/p>\n

Phishing<\/h2>\n

Este es uno de esos m\u00e9todos de recopilaci\u00f3n de datos que principalmente se basa en el error humano. Diario aparecen miles de correos electr\u00f3nicos que llevan a cientos de sitios de phishing.<\/em> Y si crees, por alguna raz\u00f3n, que jam\u00e1s caer\u00e1s en las redes del phishing<\/em>, te equivocas. Este m\u00e9todo es casi tan viejo como Internet, por lo que los ciberdelincuentes se han tomado el tiempo para desarrollar numerosos trucos de ingenier\u00eda social y estrategias para encubrirlo. Hasta los profesionales, en ocasiones, no son capaces de distinguir a simple vista un correo electr\u00f3nico de phishing <\/em>de uno real.<\/p>\n

Malware<\/h2>\n

El malware es otro de los m\u00e9todos m\u00e1s comunes para robar las datos. De acuerdo con nuestras estad\u00edsticas, gran parte del malware <\/em>activo se forma de troyanos ladrones cuya principal meta es esperar a que un usuario inicie sesi\u00f3n en alguna web o servicio, copiar sus contrase\u00f1as y envi\u00e1rselas a sus creadores. Si no utilizas soluciones de protecci\u00f3n, los troyanos pueden ocultarse en tu computadora sin ser detectados durante a\u00f1os y no sabr\u00e1s que algo est\u00e1 mal, porque no causan da\u00f1os visibles, hacen su trabajo de forma silenciosa.<\/p>\n

Y los troyanos ladrones no son el \u00fanico malware<\/em> que va en busca de contrase\u00f1as. A veces, los ciberdelincuentes inyectan skimmers <\/em>en los sitios web y roban todos los datos que introducen los usuarios: credenciales, nombres, datos bancarios, etc.<\/p>\n

Fugas de terceros<\/h2>\n

No obstante, el error puede no solo ser tuyo. Basta con que seas usuario de alg\u00fan servicio de Internet con poca seguridad o cliente de una empresa de la que se haya filtrado la base de datos de sus clientes. Usualmente, las empresas que se toman en serio su ciberseguridad no guardan tus contrase\u00f1as o lo hacen de forma cifrada. Pero nunca se puede estar seguro de que las medidas necesarias han sido implementadas. Por ejemplo, la filtraci\u00f3n de datos de SuperVPN<\/u> que se produjo este a\u00f1o conten\u00eda los datos personales y de inicio de sesi\u00f3n de 21 millones de usuarios.<\/p>\n

Adem\u00e1s, algunas empresas no pueden evitar el almacenamiento de las contrase\u00f1as. S\u00ed, hablamos del famoso hackeo del gestor de contrase\u00f1as LastPass. De acuerdo con datos m\u00e1s recientes, un desconocido actor de amenazas accedi\u00f3 al almacenamiento basado en la nube mediante algunos datos de clientes, entre los que se inclu\u00edan sus copias de seguridad de las b\u00f3vedas. S\u00ed, esas b\u00f3vedas se cifraron correctamente y LastPass nunca almacen\u00f3 ni conoci\u00f3 las claves de descifrado. Pero \u00bfqu\u00e9 pasa si los clientes de LastPass bloquearan sus b\u00f3vedas con una contrase\u00f1a que ya se haya filtrado de alguna otra fuente? Si reutilizaran una contrase\u00f1a insegura, los ciberdelincuentes tendr\u00edan acceso a todas sus cuentas.<\/p>\n

Brokers de acceso inicial<\/h2>\n

Estamos ante otra fuente de contrase\u00f1as robadas: el mercado negro. Actualmente, los ciberdelincuentes prefieren especializarse en ciertos campos. Pueden robar tus contrase\u00f1as, pero quiz\u00e1 no usarlas: es m\u00e1s rentable venderlas al por mayor. Comprar tales bases de datos de contrase\u00f1as es sumamente atractivo para los ciberdelincuentes porque les ofrece un todo en uno: los usuarios tienden a usar las mismas contrase\u00f1as en varias plataformas y cuentas, vincul\u00e1ndolas todas al mismo correo electr\u00f3nico. Por ende, al tener la contrase\u00f1a de una plataforma, los ciberdelincuentes pueden acceder a muchas otras cuentas de la v\u00edctima, desde sus cuentas de juegos hasta su correo electr\u00f3nico personal o incluso sus cuentas privadas en sitios para adultos.<\/p>\n

\"\"

Anuncio en un foro de un hacker: alguien ofrece 280.000 nombres de usuario y contrase\u00f1as para varias plataformas de juegos por solo 4.000 d\u00f3lares.<\/p><\/div>\n

En el mismo mercado negro se venden tambi\u00e9n las bases de datos corporativas filtradas que pueden o no contener credenciales. El costo de dichas bases de datos var\u00eda seg\u00fan la cantidad de datos y el sector al que la empresa pertenezca: algunas bases de datos de contrase\u00f1as pueden valer miles de d\u00f3lares.<\/p>\n

Existen ciertos servicios en la darknet <\/em>que agregan contrase\u00f1as y bases de datos filtradas, y luego permiten el acceso de pago por suscripci\u00f3n o un acceso \u00fanico a sus recopilaciones. En octubre de 2022, el famoso grupo de ransomware<\/em> LockBit hacke\u00f3<\/a> a una empresa de asistencia sanitaria y rob\u00f3 su base de datos de usuarios con informaci\u00f3n m\u00e9dica. No solo vendieron en la darknet<\/em> las suscripciones a esta informaci\u00f3n, sino que, supuestamente, tambi\u00e9n compraron el acceso inicial en el mismo mercado negro.<\/p>\n

\"\"

Un servicio de la darknet que brinda el acceso de pago a bases de datos robadas.<\/p><\/div>\n

Ataques de fuerza bruta<\/h2>\n

Hay casos en que los ciberdelincuentes ni siquiera necesitan una base de datos robada para averiguar tus contrase\u00f1as y hackear tus cuentas. Pueden usar la fuerza bruta, o sea, probar miles de variantes de las contrase\u00f1as t\u00edpicas hasta que alguna funcione. S\u00ed, no suena demasiado caro, pero en realidad no necesitan intentar todas las combinaciones posibles: existen herramientas (generadores de listas de palabras) que pueden generar una lista de posibles contrase\u00f1as comunes (los llamados diccionarios de fuerza bruta) tomando en cuenta los datos personales de la v\u00edctima.<\/p>\n

Estos programas parecen un minicuestionario sobre la v\u00edctima. Piden nombre, apellidos, fecha de nacimiento, los datos personales de parejas, hijos e incluso mascotas. Incluso, los atacantes pueden a\u00f1adir palabras clave adicionales que conozcan sobre su objetivo para incluir en esta mezcla. Al usar esta combinaci\u00f3n de palabras relacionadas, nombres, fechas y otros datos, los generadores de listas de palabras crean miles de variantes de contrase\u00f1as que luego los atacantes prueban para iniciar sesi\u00f3n.<\/p>\n

\"\"

Un servicio que puede generar un diccionario para ataques de fuerza bruta en funci\u00f3n de los datos conocidos sobre la posible v\u00edctima.<\/p><\/div>\n

Para esto, primero los ciberdelincuentes deben realizar una investigaci\u00f3n, y aqu\u00ed es cuando esas bases de datos filtradas pueden ser de utilidad. Estas pueden contener informaci\u00f3n como fechas de nacimiento, direcciones o respuestas a \u201cpreguntas secretas\u201d. Otra fuente de datos usual son las redes sociales, en las que se tiende a compartir demasiada informaci\u00f3n, algo que parece absolutamente insignificante como una foto del 6 de diciembre en la que se diga: \u201choy es el cumplea\u00f1os de mi amado cachorro\u201d.<\/p>\n

Posibles consecuencias de una contrase\u00f1a filtrada o forzada<\/h2>\n

Existen consecuencias evidentes como que los ciberdelincuentes pueden apoderarse de tu cuenta y pedir un rescate por ella, usarla para estafar a tus contactos y amigos online<\/em> o, si pueden obtener la contrase\u00f1a de tu web o aplicaci\u00f3n bancaria, vaciar tu cuenta. No obstante, a veces su intenci\u00f3n no es tan clara.<\/p>\n

Ejemplo, con el auge de los juegos que cuentan con su propia moneda dentro del juego y con el aumento de las microtransacciones, hay m\u00e1s usuarios con sus m\u00e9todos de pago vinculados a sus cuentas. Esto convierte a los jugadores en un objetivo interesante para los hackers<\/em>. Si acceden a la cuenta del juego, pueden robar objetos de valor como m\u00e1scaras, art\u00edculos raros o monedas internas, o hacer un mal uso de los datos de la tarjeta de cr\u00e9dito de la v\u00edctima.<\/p>\n

Las bases de datos filtradas y la informaci\u00f3n que se puede obtener al buscar en sus cuentas puede utilizarse no solo para obtener ganancias financieras, sino tambi\u00e9n para da\u00f1ar la reputaci\u00f3n y producir otros tipos de da\u00f1os sociales, como el doxing<\/em>. Si eres una persona conocida, te pueden chantajear y ponerte en la encrucijada de tener que elegir entre la divulgaci\u00f3n de alg\u00fan tipo de informaci\u00f3n personal (que afectar\u00eda tu reputaci\u00f3n) o la p\u00e9rdida de dinero.<\/p>\n

No obstante, aunque no seas una persona conocida, tambi\u00e9n puedes convertirte en v\u00edctima del doxing<\/em> (el acto de revelar informaci\u00f3n sobre la identidad de alguien online)<\/em>, como tu nombre real, domicilio, lugar de trabajo, n\u00famero telef\u00f3nico, datos bancarios y dem\u00e1s datos personales. Los ataques de doxing<\/em> pueden ser muy variados, desde aquellos relativamente inofensivos, como registros en innumerables listas de correo o pedidos falsos de comida a domicilio a tu nombre, hasta otros mucho m\u00e1s peligrosos, como diversas formas de ciberacoso, robo de identidad o incluso acoso en persona.<\/p>\n

En conclusi\u00f3n, si utilizas la misma contrase\u00f1a para todas tus cuentas personales y de trabajo, los ciberdelincuentes pueden apoderarse de tu correo electr\u00f3nico corporativo y usarlo como una herramienta para comprometer el correo electr\u00f3nico comercial o incluso para realizar ataques dirigidos.<\/p>\n

C\u00f3mo proteger tus cuentas ante accesos no deseados<\/h2>\n

Primero, siempre toma en cuenta ciertas pautas para la seguridad de las contrase\u00f1as:<\/p>\n