El Instituto Nacional de Ciberseguridad (INCIBE) ha lanzado una “Guía de ciberataques. Todo lo que debes saber a nivel usuario.” en la que podrás aprender cuáles son los tipos y las características de los ciberataques de los que podemos ser víctimas sólo con el simple hecho de navegar por la Red. Iremos desglosando la información contenida en una serie de artículos, para que se vaya entendiendo poco a poco y correctamente. 

Los ciberdelincuentes se encuentran siempre al acecho de nuevas formas con las que atacarnos a los usuarios aprovechándose de nuestro desconocimiento o vulnerabilidades en nuestras defensas. Sus objetivos son muchos y pueden tener distintas consecuencias para el usuario. Iremos explicando los objetivos concretos de cada tipo de ataque según los cubramos, así como su funcionamiento y claves para protegernos de ellos. 

Hay varios tipos de ciberataques. En este artículo explicaremos el ataque a contraseñas.

Los ciberdelincuentes se sirven de diversas técnicas y herramientas con las que atacar a nuestras credenciales. Como usuarios no siempre les dificultamos esta tarea, y solemos caer en malas prácticas que ponen en peligro nuestra seguridad. Las más comunes serían las siguientes: 

  • Utilizar la misma contraseña para distintos servicios.
  • Escoger contraseñas débiles, fáciles de recordar y de atacar.
  • Usar información personal a modo de contraseñas, como la fecha de nacimiento.
  • Apuntarlas en notas o archivos sin cifrar.
  • Guardar las contraseñas en webs o en el navegador.
  • Y, finalmente, hacer uso de patrones sencillos, como utilizar la primera letra en mayúscula, seguida de 4 o 5 en minúscula y añadir 1 o 2 números o un carácter especial. Estos patrones acaban por popularizarse, facilitando aún más la tarea a los ciberdelincuentes.

Hay dos subtipos de ataques dentro del denominado ataque a contraseñas: la fuerza bruta y el ataque por diccionario.

Fuerza Bruta.

Consiste en adivinar nuestra contraseña a base de ensayo y error. Los atacantes comienzan probando diferentes combinaciones con nuestros datos personales, en caso de conocerlos por otras vías. Luego, continúan haciendo combinaciones de palabras al azar, conjugando nombres, letras y números, hasta que dan con el patrón correcto.

Ataque por diccionario.

Los ciberdelincuentes utilizan un software que, de forma automática, trata de averiguar nuestra contraseña. Para ello, realiza diferentes comprobaciones, empezando con letras simples como “a”, “AA” o “AAA” y, progresivamente, va cambiando a palabras más complejas.

¿Cuál es su objetivo?

El objetivo de los ciberdelincuentes siempre será conseguir la información almacenada en nuestras cuentas. Dependiendo de si se trata de un correo electrónico, con el que obtener datos personales y contactos; una red social, con la que poder suplantar nuestra identidad; o datos bancarios, con los que llevar a cabo transferencias a su cuenta o realizar compras sin nuestro consentimiento, el atacante hará uso de esta información para su propio beneficio.

¿Cómo me protejo?

Como protección, es fundamental evitar caer en los errores anteriores y mejorar la seguridad de las cuentas utilizando contraseñas robustas. Además, es conveniente aplicar el factor de autenticación múltiple, siempre que el servicio lo permita, y utilizar gestores de contraseñas.

Enlaces de interés: 
Una contraseña fácil, ¿pero cuántas cuentas comprometidas? 
El factor de autenticación doble y múltiple


Puedes acceder a la guía completa en el siguiente enlace: https://www.osi.es/es/guia-ciberataques