¿Qué es un ataque por diccinario?

La mayoría de los usuarios conocen los buenos hábitos de seguridad en Internet. Sin embargo, muchas veces no los aplican en toda su extensión, con lo que quedan expuestos a los ataques por diccionario. A pesar de saber que deben proteger sus cuentas en línea, muchos no siguen recomendaciones sencillas como crear contraseñas seguras. De hecho, un estudio de Google reveló que aproximadamente el 65 % de los usuarios reutilizan contraseñas en varias cuentas. Por su parte, el 59 % utiliza en sus contraseñas datos personales fáciles de adivinar o descubrir, como nombres de mascotas y fechas de nacimiento.

Además, la gente suele utilizar contraseñas simples y obvias que son muy fáciles de descifrar. Los estudios han demostrado que ejecuciones de teclado como "123456" y "qwerty", y frases como "Password", "iloveyou" y "Welcome" se encuentran entre las más utilizadas y aparecen con regularidad en filtraciones de datos.

Así pues, es evidente que estos ataques son muy frecuentes —y tienen mucho éxito— simplemente porque los usuarios no se toman en serio la prevención de los ataques por diccionario.

Ataques por diccionario: una definición

Dicho de la forma más sencilla, un ataque por diccionario es un tipo de ataque por fuerza bruta en el que los piratas informáticos intentan adivinar la contraseña de una cuenta en línea de un usuario a través de una lista de palabras, frases y combinaciones numéricas de uso frecuente. Cuando un ataque por diccionario consigue descifrar una contraseña, los piratas informáticos pueden utilizarla para acceder a cuentas bancarias, perfiles de redes sociales e incluso archivos protegidos por contraseña. Es entonces cuando puede convertirse en un verdadero problema para la víctima del atacante.

¿Cómo funciona un ataque por diccionario?

Este tipo de pirateo utiliza un enfoque sistémico para descifrar contraseñas. Básicamente hay tres pasos para llevar a cabo con éxito estos pirateos y entenderlos resulta útil para aprender a evitar un ataque por diccionario.

1. Por lo general, el atacante crea una lista predefinida de posibles contraseñas —un diccionario de fuerza bruta— con combinaciones de palabras y números populares.
2. Luego, el software automatizado utiliza este diccionario de fuerza bruta para intentar piratear las cuentas en línea.
3. Una vez que un pirata informático ha conseguido introducirse en una cuenta vulnerable, utiliza los datos confidenciales almacenados en el perfil para sus propios fines. La finalidad puede ser cometer fraude, realizar acciones maliciosas o simplemente acceder a cuentas para obtener beneficios económicos.

Para compilar la lista de posibles contraseñas, el atacante suele utilizar, por ejemplo, nombres habituales de mascotas, personajes reconocibles de la cultura popular o grandes equipos deportivos y atletas. Esto se debe a que muchas personas utilizan este tipo de palabras para crear contraseñas que tengan un significado para ellos y que puedan recordar fácilmente. Por lo general, en la lista se incluyen variaciones de las mismas contraseñas, como distintas combinaciones de palabras o la adición de caracteres especiales.

La ejecución de esta lista con herramientas automatizadas también contribuye a la eficacia de los ataques por diccionario. El uso conjunto de una lista de contraseñas y una herramienta automatizada hace que sea mucho más rápido intentar descifrar una contraseña y piratear una cuenta en línea. Si esto se hiciera manualmente, el ataque llevaría demasiado tiempo y daría al propietario de la cuenta —o al administrador del sistema— tiempo para darse cuenta e implementar una defensa contra el ataque.

Por la forma en que funcionan, estos ataques de diccionario no suelen tener un objetivo individual. En su lugar, se llevan a cabo con la esperanza de que una de las contraseñas de la lista sea la correcta. Sin embargo, si el atacante tiene como objetivo un lugar u organización concretos, creará una lista de palabras más específica y localizada. Por ejemplo, si tiene previsto llevar a cabo el ataque en España, es posible que utilice palabras habituales en español en lugar de inglés. O, si apunta a una organización concreta, tal vez utilice palabras asociadas a esa empresa.

Ataque por diccionario y fuerza bruta: ¿cuál es la diferencia?

Aunque el pirateo por diccionario es un tipo de ataque de fuerza bruta, hay una diferencia importante entre ambos. Mientras que los ataques por diccionario utilizan una lista preestablecida de palabras para intentar descifrar sistemáticamente las contraseñas de las cuentas, los ataques por fuerza bruta no utilizan una lista y, en su lugar, recorren todas las combinaciones aleatorias de letras, símbolos y números que podrían utilizarse para crear una contraseña. Por ello, los ataques por diccionario suelen ser más eficaces —y tienen más probabilidades de éxito— simplemente porque tienen muchas menos combinaciones que probar.

Con 26 letras del alfabeto y 10 números de un solo dígito -un total de 36 caracteres-, la cantidad de combinaciones posibles que un ataque de fuerza bruta debe realizar para tener éxito es casi inviable. Por ejemplo, para que a través de un ataque de fuerza bruta se pueda piratear una contraseña de 10 caracteres, habría que examinar 3,76 cuatrillones de posibles contraseñas alfanuméricas.

No obstante, la ventaja de los ataques de fuerza bruta es que es más probable que puedan descifrar contraseñas difíciles y únicas con su método de ensayo y error. Dado que recorren una lista tan amplia de posibles contraseñas, existe una mayor probabilidad de que con estos ataques se acabe encontrando la combinación correcta de caracteres de cualquier contraseña.

Cómo evitar los ataques por diccionario

Comprender qué es un ataque por diccionario y cómo funciona es un paso para evitar que se produzcan. Pero para los que se toman en serio la prevención de ataques por diccionario, estos consejos pueden ayudar:

1. Evita las contraseñas siempre que sea posible: la forma más fácil e infalible de evitar el pirateo por diccionario es eliminar por completo el uso de contraseñas. En su lugar, cuando exista la opción, utiliza soluciones de autenticación sin contraseña e inicios de sesión biométricos para mantener la seguridad de tus cuentas.
2. Utiliza contraseñas aleatorias: evita crear contraseñas que incorporen datos personales como fechas de nacimiento, nombres de mascotas u otra información que pueda descubrirse fácilmente. Un administrador de contraseñas puede ayudar a crear, almacenar e ingresar las contraseñas en un formato seguro.
3. Evita lo obvio: resulta sorprendente que muchos usuarios utilicen como contraseñas combinaciones básicas de palabras y números fáciles de piratear, como "Password123" o "abcd1234". Estas son las más susceptibles de sufrir pirateos porque los ataques por diccionario están específicamente diseñados para descifrar contraseñas fáciles de adivinar.
4. Escoge una frase secreta: En lugar de elegir una combinación de palabra y número como contraseña, crea frases completas para acceder a las cuentas. Son mucho más difíciles de adivinar, pero suelen ser fáciles de recordar para los usuarios. Por ejemplo, a alguien a quien le guste el fútbol americano podría utilizar la frase "Quiero ser defensa de los Patriots". Para que la frase de contraseña sea aún más segura, añada números, caracteres y letras mayúsculas aleatorios, convirtiéndola en "IW@nT2B@L!n3B@ckER4THEPatr!0tS!".
5. Utiliza la autenticación de dos factores: configura las cuentas para que cada inicio de sesión requiera dos (o más) factores de autenticación. Por ejemplo, una contraseña, una contraseña de un solo uso generada por una aplicación de autenticación y una huella dactilar.
6. Prueba las aplicaciones de autenticación: siempre que sea posible, intenta utilizar aplicaciones de autenticación en lugar de contraseñas, o utiliza ambas. Muchas de estas aplicaciones se descargan fácilmente en un teléfono móvil y se vinculan a una cuenta concreta, y proporcionan contraseñas de un solo uso generadas aleatoriamente para cada intento de inicio de sesión.
7. Restringe los intentos de inicio de sesión: algunos sitios web y aplicaciones ahora restringen la cantidad de intentos de inicio de sesión permitidos dentro de un período de tiempo determinado. Si esta es una opción, habilítala en todas las cuentas para evitar ataques por diccionario.
8. Obliga el restablecimiento: el pirateo por diccionario suele basarse en muchos intentos para descifrar una contraseña. Reduce al mínimo la probabilidad de un ataque resulte al obligar a restablecer la contraseña después de una cierta cantidad de intentos fallidos. Si no es una opción que puedas habilitar automáticamente en tus cuentas, puedes implementar una versión más manual y hacer que las cuentas en línea te envíen un correo electrónico en caso de un intento fallido de inicio de sesión. Si te avisan de que alguien está intentando acceder a una cuenta, sobre todo si recibes varias notificaciones de este tipo seguidas, puedes entrar y cambiar tu contraseña para protegerla.
9. Evita utilizar determinadas palabras: evitar el uso de palabras habituales en todas tus contraseñas aumenta la protección de la seguridad de tu cuenta.

¿Los administradores de contraseñas ayudan a evitar los ataques por diccionario?

Los administradores de contraseñas son una forma útil de administrar las credenciales de tus cuentas de forma segura y minimizar la probabilidad de ser víctima del pirateo por diccionario. Aplicaciones como Kaspersky Password Manager ofrecen una serie de ventajas que te ayudarán a proteger tus contraseñas. Estos son algunos motivos para plantearse utilizar uno:

• Utiliza una sola contraseña: con un administrador de contraseñas, solo tienes que recordar una contraseña maestra para acceder a tu cuenta y administrar todos los demás inicios de sesión de las cuentas en cuestión.
• Crea contraseñas seguras y aleatorias: la mayoría de estos programas permiten a los usuarios crear contraseñas muy seguras generadas aleatoriamente. Como no utilizan palabras o frases habituales, suelen estar a salvo del pirateo por diccionario. Aunque, por supuesto, un ataque de fuerza bruta aún podría tener éxito.
• Accede fácilmente a las cuentas: los administradores de contraseñas suelen ofrecer la posibilidad de almacenar de forma segura los datos de inicio de sesión de cada cuenta para, luego, ingresarlos automáticamente cada vez que se intente acceder a un sitio web, una cuenta o una aplicación.
• Comparte contraseñas de forma segura: En caso de que sea necesario compartir las contraseñas de las cuentas —por ejemplo, con amigos, familiares o compañeros de trabajo—, los administradores de contraseñas les ofrecen a los usuarios esta posibilidad de forma segura y, al mismo tiempo, administran el acceso.
• Utiliza un almacenamiento seguro: muchos administradores de contraseñas ahora también ofrecen la posibilidad de almacenar documentos personales, historiales médicos y fotos en un formato cifrado para que los datos confidenciales permanezcan seguros.

Toma medidas para evitar un ataque por diccionario

El pirateo por diccionario es un tipo muy frecuente de delito cibernético que los piratas informáticos utilizan para acceder a las cuentas privadas de los usuarios, como cuentas bancarias, perfiles en redes sociales y correos electrónicos. Al conseguir este acceso, los piratas informáticos pueden perpetrar todo tipo de acciones, desde fraudes financieros y publicaciones maliciosas en las redes sociales hasta otros delitos cibernéticos como el phishing. Sin embargo, la prevención de los ataques por diccionario puede ser tan sencilla como aplicar ciertas medidas de seguridad para minimizar el riesgo de ser víctima de estos ataques. Utilizar hábitos inteligentes de administración de contraseñas, emplear distintos tipos de autenticación y usar administradores de contraseñas de fácil acceso, entre otros, permiten proteger las contraseñas y las cuentas.

Kaspersky Endpoint Security recibió tres premios AV-TEST al mejor rendimiento, protección y usabilidad de un producto de seguridad de endpoints para empresas en 2021. En todas las pruebas, Kaspersky Endpoint Security demostró un rendimiento, protección y usabilidad excepcionales para las empresas.

Artículos y vínculos relacionados:

• Consejos de higiene cibernética para estar seguro en Internet
• Consejos para generar contraseñas seguras y únicas
• Cómo proteger tus datos en línea con un administrador de contraseñas

Productos y servicios relacionados:

• Kaspersky Premium
• Kaspersky Password Manager