La mayoría de los usuarios conocen los buenos hábitos de seguridad en Internet. Sin embargo, muchas veces no los aplican en toda su extensión, con lo que quedan expuestos a los ataques por diccionario. A pesar de saber que deben proteger sus cuentas en línea, muchos no siguen recomendaciones sencillas como crear contraseñas seguras. De hecho, un estudio de Google reveló que aproximadamente el 65 % de los usuarios reutilizan contraseñas en varias cuentas. Por su parte, el 59 % utiliza en sus contraseñas datos personales fáciles de adivinar o descubrir, como nombres de mascotas y fechas de nacimiento.
Además, la gente suele utilizar contraseñas simples y obvias que son muy fáciles de descifrar. Los estudios han demostrado que ejecuciones de teclado como "123456" y "qwerty", y frases como "Password", "iloveyou" y "Welcome" se encuentran entre las más utilizadas y aparecen con regularidad en filtraciones de datos.
Así pues, es evidente que estos ataques son muy frecuentes —y tienen mucho éxito— simplemente porque los usuarios no se toman en serio la prevención de los ataques por diccionario.
Dicho de la forma más sencilla, un ataque por diccionario es un tipo de ataque por fuerza bruta en el que los piratas informáticos intentan adivinar la contraseña de una cuenta en línea de un usuario a través de una lista de palabras, frases y combinaciones numéricas de uso frecuente. Cuando un ataque por diccionario consigue descifrar una contraseña, los piratas informáticos pueden utilizarla para acceder a cuentas bancarias, perfiles de redes sociales e incluso archivos protegidos por contraseña. Es entonces cuando puede convertirse en un verdadero problema para la víctima del atacante.
Este tipo de pirateo utiliza un enfoque sistémico para descifrar contraseñas. Básicamente hay tres pasos para llevar a cabo con éxito estos pirateos y entenderlos resulta útil para aprender a evitar un ataque por diccionario.
Para compilar la lista de posibles contraseñas, el atacante suele utilizar, por ejemplo, nombres habituales de mascotas, personajes reconocibles de la cultura popular o grandes equipos deportivos y atletas. Esto se debe a que muchas personas utilizan este tipo de palabras para crear contraseñas que tengan un significado para ellos y que puedan recordar fácilmente. Por lo general, en la lista se incluyen variaciones de las mismas contraseñas, como distintas combinaciones de palabras o la adición de caracteres especiales.
La ejecución de esta lista con herramientas automatizadas también contribuye a la eficacia de los ataques por diccionario. El uso conjunto de una lista de contraseñas y una herramienta automatizada hace que sea mucho más rápido intentar descifrar una contraseña y piratear una cuenta en línea. Si esto se hiciera manualmente, el ataque llevaría demasiado tiempo y daría al propietario de la cuenta —o al administrador del sistema— tiempo para darse cuenta e implementar una defensa contra el ataque.
Por la forma en que funcionan, estos ataques de diccionario no suelen tener un objetivo individual. En su lugar, se llevan a cabo con la esperanza de que una de las contraseñas de la lista sea la correcta. Sin embargo, si el atacante tiene como objetivo un lugar u organización concretos, creará una lista de palabras más específica y localizada. Por ejemplo, si tiene previsto llevar a cabo el ataque en España, es posible que utilice palabras habituales en español en lugar de inglés. O, si apunta a una organización concreta, tal vez utilice palabras asociadas a esa empresa.
Aunque el pirateo por diccionario es un tipo de ataque de fuerza bruta, hay una diferencia importante entre ambos. Mientras que los ataques por diccionario utilizan una lista preestablecida de palabras para intentar descifrar sistemáticamente las contraseñas de las cuentas, los ataques por fuerza bruta no utilizan una lista y, en su lugar, recorren todas las combinaciones aleatorias de letras, símbolos y números que podrían utilizarse para crear una contraseña. Por ello, los ataques por diccionario suelen ser más eficaces —y tienen más probabilidades de éxito— simplemente porque tienen muchas menos combinaciones que probar.
Con 26 letras del alfabeto y 10 números de un solo dígito -un total de 36 caracteres-, la cantidad de combinaciones posibles que un ataque de fuerza bruta debe realizar para tener éxito es casi inviable. Por ejemplo, para que a través de un ataque de fuerza bruta se pueda piratear una contraseña de 10 caracteres, habría que examinar 3,76 cuatrillones de posibles contraseñas alfanuméricas.
No obstante, la ventaja de los ataques de fuerza bruta es que es más probable que puedan descifrar contraseñas difíciles y únicas con su método de ensayo y error. Dado que recorren una lista tan amplia de posibles contraseñas, existe una mayor probabilidad de que con estos ataques se acabe encontrando la combinación correcta de caracteres de cualquier contraseña.
Comprender qué es un ataque por diccionario y cómo funciona es un paso para evitar que se produzcan. Pero para los que se toman en serio la prevención de ataques por diccionario, estos consejos pueden ayudar:
Los administradores de contraseñas son una forma útil de administrar las credenciales de tus cuentas de forma segura y minimizar la probabilidad de ser víctima del pirateo por diccionario. Aplicaciones como Kaspersky Password Manager ofrecen una serie de ventajas que te ayudarán a proteger tus contraseñas. Estos son algunos motivos para plantearse utilizar uno:
El pirateo por diccionario es un tipo muy frecuente de delito cibernético que los piratas informáticos utilizan para acceder a las cuentas privadas de los usuarios, como cuentas bancarias, perfiles en redes sociales y correos electrónicos. Al conseguir este acceso, los piratas informáticos pueden perpetrar todo tipo de acciones, desde fraudes financieros y publicaciones maliciosas en las redes sociales hasta otros delitos cibernéticos como el phishing. Sin embargo, la prevención de los ataques por diccionario puede ser tan sencilla como aplicar ciertas medidas de seguridad para minimizar el riesgo de ser víctima de estos ataques. Utilizar hábitos inteligentes de administración de contraseñas, emplear distintos tipos de autenticación y usar administradores de contraseñas de fácil acceso, entre otros, permiten proteger las contraseñas y las cuentas.
Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y usabilidad de un producto de seguridad de endpoints para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.
Artículos y vínculos relacionados:
Productos y servicios relacionados: