{"id":28239,"date":"2023-01-10T19:47:48","date_gmt":"2023-01-10T17:47:48","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28239"},"modified":"2023-01-10T19:47:48","modified_gmt":"2023-01-10T17:47:48","slug":"how-criminals-can-get-your-password","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/how-criminals-can-get-your-password\/28239\/","title":{"rendered":"C\u00f3mo puede caer tu contrase\u00f1a en las manos equivocadas"},"content":{"rendered":"

Para la mayor\u00eda de nosotros, una contrase\u00f1a es simplemente el m\u00e9todo m\u00e1s com\u00fan de autenticaci\u00f3n en innumerables servicios online<\/em>. Pero, para los ciberdelincuentes, es mucho m\u00e1s que eso: es un atajo para poder adentrarse en la vida de otra persona, una herramienta de trabajo de gran importancia y una mercanc\u00eda que se puede vender. Al conseguir acceder a una contrase\u00f1a, los delincuentes no solo pueden apoderarse de tus cuentas, tus datos, tu dinero e incluso tu identidad; sino que tambi\u00e9n puede convertirse en un punto d\u00e9bil para atacar de forma online<\/em> a tus amigos, familiares o incluso a la empresa para la que trabajas o administras.<\/p>\n

\u00bfC\u00f3mo puede caer tu contrase\u00f1a en manos de los ciberdelincuentes?<\/h2>\n

Normalmente se cree err\u00f3neamente y de forma generalizada que, para que los ciberdelincuentes se hagan con tu contrase\u00f1a tienes que cometer un error: descargar y ejecutar un archivo no verificado de Internet, abrir un documento de un remitente desconocido o introducir tus credenciales en alg\u00fan sitio web sospechoso. Es cierto que todos esos patrones de comportamiento pueden hacerles la vida mucho m\u00e1s f\u00e1cil a los atacantes, pero tambi\u00e9n se dan otras situaciones. Estos son los m\u00e9todos m\u00e1s comunes que utilizan los ciberdelincuentes para obtener acceso a tus cuentas:<\/p>\n

Phishing<\/em><\/h3>\n

Este es uno de esos m\u00e9todos de recopilaci\u00f3n de credenciales que est\u00e1 basado principalmente en el error humano. Diariamente aparecen miles de correos electr\u00f3nicos que conducen a cientos de sitios de phishing.<\/em> Y, si por alguna raz\u00f3n crees que nunca caer\u00e1s en las redes del phishing<\/em>, est\u00e1s equivocado. Este m\u00e9todo es casi tan antiguo como Internet, por lo que los ciberdelincuentes han tenido mucho tiempo para desarrollar numerosos trucos de ingenier\u00eda social y estrategias para su encubrimiento. A veces, incluso los profesionales son incapaces de distinguir a simple vista un correo electr\u00f3nico de phishing <\/em>de uno real.<\/p>\n

Malware<\/em><\/h3>\n

El malware es otro de los m\u00e9todos m\u00e1s comunes para robar las credenciales. Seg\u00fan nuestras estad\u00edsticas, gran parte del malware <\/em>activo est\u00e1 formado por troyanos ladrones cuyo principal objetivo es esperar hasta que un usuario inicie sesi\u00f3n en alguna web o servicio, copiar sus contrase\u00f1as y envi\u00e1rselas a sus creadores. Si no utilizas soluciones de protecci\u00f3n, los troyanos pueden ocultarse en tu ordenador durante a\u00f1os sin ser detectados y no sabr\u00e1s que algo anda mal, porque no causan ning\u00fan da\u00f1o visible, solo hacen su trabajo sigilosamente.<\/p>\n

Y los troyanos ladrones no son el \u00fanico malware<\/em> que va en busca de contrase\u00f1as. A veces, los ciberdelincuentes inyectan skimmers <\/em>en los sitios web y roban todos los datos que introducen los usuarios: credenciales, nombres, datos bancarios, etc.<\/p>\n

Fugas de terceros<\/em><\/h3>\n

No obstante, t\u00fa no eres el \u00fanico que puede cometer un error. Basta con que seas usuario de alg\u00fan servicio de Internet con poca seguridad o seas cliente de una empresa de la que se haya filtrado la base de datos de sus clientes. Normalmente, las empresas que se toman en serio su ciberseguridad no almacenan tus contrase\u00f1as o lo hacen de forma cifrada. Pero nunca se puede estar seguro de que se hayan implementado suficientes medidas. Por ejemplo, la filtraci\u00f3n de datos de SuperVPN<\/u> que se produjo este a\u00f1o conten\u00eda los datos personales y las credenciales de inicio de sesi\u00f3n de 21 millones de usuarios.<\/p>\n

Adem\u00e1s, algunas empresas no pueden evitar el almacenamiento de las contrase\u00f1as. S\u00ed, estoy hablando del famoso hackeo del gestor de contrase\u00f1as LastPass. Seg\u00fan la informaci\u00f3n m\u00e1s reciente, un desconocido actor de amenazas accedi\u00f3 al almacenamiento basado en la nube mediante algunos datos de clientes, entre los que se inclu\u00edan las copias de seguridad de las b\u00f3vedas de los clientes. S\u00ed, esas b\u00f3vedas se cifraron correctamente y LastPass nunca almacen\u00f3 ni conoci\u00f3 las claves de descifrado. Pero \u00bfqu\u00e9 pasa si los clientes de LastPass bloquearan sus b\u00f3vedas con una contrase\u00f1a que ya se haya filtrado de alguna otra fuente? Si reutilizaran una contrase\u00f1a insegura, ahora los ciberdelincuentes podr\u00edan acceder a todas sus cuentas.<\/p>\n

Brokers<\/em> de acceso inicial<\/h3>\n

Y aqu\u00ed llegamos a otra fuente de contrase\u00f1as robadas: el mercado negro. Los ciberdelincuentes modernos prefieren especializarse en ciertos campos. Pueden robar tus contrase\u00f1as, pero no necesariamente usarlas: es m\u00e1s rentable venderlas al por mayor. Comprar tales bases de datos de contrase\u00f1as es especialmente atractivo para los ciberdelincuentes porque les ofrece un todo en uno: los usuarios tienden a usar las mismas contrase\u00f1as en varias plataformas y cuentas, a menudo vincul\u00e1ndolas todas al mismo correo electr\u00f3nico. Por lo tanto, al tener la contrase\u00f1a de una plataforma, los ciberdelincuentes pueden acceder a muchas otras cuentas de la v\u00edctima, desde sus cuentas de juegos hasta su correo electr\u00f3nico personal o incluso sus cuentas privadas en sitios web para adultos.<\/p>\n

\u00a0<\/p>\n

\"Un

Un anuncio de un foro de hackers: alguien est\u00e1 ofreciendo 280.000 nombres de usuario y contrase\u00f1as para varias plataformas de juegos por solo 4.000 d\u00f3lares.<\/p><\/div>\n

En el mismo mercado negro tambi\u00e9n se venden las bases de datos corporativas filtradas que pueden o no contener credenciales. El precio de estas bases de datos var\u00eda seg\u00fan la cantidad de datos y el sector al que pertenezca la empresa: algunas bases de datos de contrase\u00f1as pueden venderse por miles de d\u00f3lares.<\/p>\n

Hay ciertos servicios en la darknet <\/em>que agregan contrase\u00f1as y bases de datos filtradas, y luego permiten el acceso de pago por suscripci\u00f3n o un acceso \u00fanico a sus recopilaciones. En octubre de 2022, el famoso grupo de ransomware<\/em> LockBit hacke\u00f3<\/a> a una empresa de asistencia sanitaria y rob\u00f3 su base de datos de usuarios que conten\u00eda informaci\u00f3n m\u00e9dica. No solo vendieron las suscripciones a esta informaci\u00f3n en la darknet<\/em>, sino que, presuntamente, tambi\u00e9n compraron el acceso inicial en el mismo mercado negro.<\/p>\n

\"Un

Un servicio de la darknet que proporciona acceso de pago a bases de datos con datos robados.<\/p><\/div>\n

Ataques de fuerza bruta<\/h3>\n

En algunos casos, los ciberdelincuentes ni siquiera necesitan una base de datos robada para averiguar tus contrase\u00f1as y hackear tus cuentas. Pueden usar ataques de fuerza bruta, es decir, probar miles de variantes de las contrase\u00f1as t\u00edpicas hasta que una de ellas funcione. S\u00ed, no suena demasiado fiable, pero realmente no necesitan intentar todas las combinaciones posibles: existen ciertas herramientas (generadores de listas de palabras) que pueden generar una lista de posibles contrase\u00f1as comunes (los llamados diccionarios de fuerza bruta) teniendo en cuenta los datos personales de la v\u00edctima.<\/p>\n

Estos programas parecen un minicuestionario sobre la v\u00edctima. Piden el nombre, apellidos, fecha de nacimiento, los datos personales de parejas, hijos e incluso mascotas. Los atacantes pueden incluso a\u00f1adir palabras clave adicionales que conozcan sobre su objetivo que se puedan incluir en esta mezcla. Utilizando esta combinaci\u00f3n de palabras relacionadas, nombres, fechas y otros datos, los generadores de listas de palabras crean miles de variantes de contrase\u00f1as que los atacantes luego prueban al iniciar sesi\u00f3n.<\/p>\n

\"Un

Un servicio que puede generar un diccionario para ataques de fuerza bruta en funci\u00f3n de los datos conocidos sobre la posible v\u00edctima.<\/p><\/div>\n

Para usar este m\u00e9todo, los ciberdelincuentes primero deben realizar una investigaci\u00f3n, y aqu\u00ed es cuando esas bases de datos filtradas pueden serles \u00fatiles. Estas pueden contener informaci\u00f3n como fechas de nacimiento, direcciones o respuestas a \u201cpreguntas secretas\u201d. Otra fuente de datos habitual son las redes sociales, en las que se tiende a compartir demasiada informaci\u00f3n, algo que parece absolutamente insignificante como una foto del 6 de diciembre en la que se diga: \u201choy es el cumplea\u00f1os de mi querido perrito\u201d.<\/p>\n

Posibles consecuencias de una contrase\u00f1a filtrada o forzada<\/h2>\n

Hay algunas consecuencias evidentes como que los ciberdelincuentes pueden apoderarse de tu cuenta y pedir un rescate por ella, usarla para estafar a tus contactos y amigos online<\/em> o, si pueden obtener la contrase\u00f1a de tu web o aplicaci\u00f3n bancaria, pueden vaciar tu cuenta. Sin embargo, a veces su intenci\u00f3n no est\u00e1 tan clara.<\/p>\n

Por ejemplo, con el aumento de los juegos que cuentan con su propia moneda dentro del juego y con el aumento de las microtransacciones, hay m\u00e1s usuarios que tienen sus m\u00e9todos de pago vinculados a sus cuentas. Esto convierte a los jugadores en un objetivo interesante para los hackers<\/em>. Al obtener acceso a la cuenta del juego, pueden robar objetos de valor del juego, como m\u00e1scaras, art\u00edculos raros o moneda interna del juego, o hacer un mal uso de los datos de la tarjeta de cr\u00e9dito de la v\u00edctima.<\/p>\n

Las bases de datos filtradas y la informaci\u00f3n que se puede obtener al buscar en sus cuentas se pueden usar no solo para obtener ganancias financieras, sino tambi\u00e9n para da\u00f1ar la reputaci\u00f3n y producir otros tipos de da\u00f1os sociales, entre los que se incluye el doxing<\/em>. Si eres una persona conocida, puedes ser chantajeado y puedes verte en la tesitura de tener que elegir entre la divulgaci\u00f3n de alg\u00fan tipo de informaci\u00f3n personal (que podr\u00eda afectar a tu reputaci\u00f3n) o la p\u00e9rdida de dinero.<\/p>\n

Sin embargo, aunque no seas una persona conocida, tambi\u00e9n puedes convertirte en v\u00edctima del doxing<\/em> (el acto de revelar informaci\u00f3n sobre la identidad de alguien online)<\/em>, como tu nombre real, tu domicilio, tu lugar de trabajo, tu n\u00famero de tel\u00e9fono, tus datos bancarios u otros datos personales. Los ataques de doxing<\/em> pueden ser muy variados, desde ataques relativamente inofensivos, como registros en innumerables listas de correo o pedidos falsos a tu nombre de comida a domicilio, hasta algunos mucho m\u00e1s peligrosos, como diversas formas de ciberacoso, robo de identidad o incluso acoso en persona.<\/p>\n

En conclusi\u00f3n, si usas la misma contrase\u00f1a para tus cuentas personales y las de trabajo, los ciberdelincuentes pueden apoderarse de tu correo electr\u00f3nico corporativo y usarlo como una herramienta para comprometer el correo electr\u00f3nico comercial o incluso para realizar ataques dirigidos.<\/p>\n

C\u00f3mo proteger tus cuentas frente a accesos no deseados<\/h2>\n

En primer lugar, ten siempre en cuenta ciertas pautas para la seguridad de las contrase\u00f1as:<\/p>\n