icon

El problema de las contraseñas descifradas. ¿Cómo evitar el descifrado de contraseñas?

Cracked Passwords

 

Las contraseñas han sido ampliamente adoptadas como la forma más efectiva de proteger datos valiosos del acceso no autorizado.Son simples y fáciles de usar, pero lo suficientemente confiables como para disuadir la mayoría de los intentos de piratería.

Sin embargo, a medida que la tecnología ha avanzado a lo largo de los años, el sistema de seguridad tradicional de implementación de contraseñas parece estar rezagándose lentamente.Las contraseñas débiles o fáciles de adivinar se pueden descifrar fácilmente, e incluso las más fuertes no parecen ser completamente impermeables a los ataques de piratas informáticos.

Entonces, ¿qué puede hacer para evitar que sus contraseñas sean descifradas? En esta página, abordaremos el tema cada vez más importante del descifrado de contraseñas en la seguridad cibernética y compartiremos con usted valiosos consejos para la prevención del descifrado de contraseñas.Siga leyendo para aprender cómo hacer que las contraseñas descifradas sean cosa del pasado

Contenido

Contraseñas descifradas: ¿cómo las obtienen los hackers?

Tipos de descifrado de contraseñas

Ataques de adivinación de contraseñas

Ataques de ingeniería social

Ataques basados ​​en hash

¿Cómo evitar el descifrado de contraseñas?

La herramienta definitiva para la prevención de descifrado de contraseñas

Contraseñas descifradas: ¿cómo las obtienen los hackers?

Cuando se trata de descifrar contraseñas, la mayoría de los atacantes tienen el mismo mantra: cuanto más simple, mejor.Siempre buscarán principalmente usar la forma más fácil, rentable y sigilosa de descifrar su contraseña.

Lo bastante preocupante es que los atacantes pueden usar una de las muchas herramientas disponibles para obtener acceso a sus cuentas.Aunque las herramientas para descifrar contraseñas están destinadas principalmente a ayudar a los usuarios a recuperar contraseñas perdidas y probar la seguridad de sus contraseñas, desafortunadamente, algunas personas deciden emplear estas herramientas con fines nefastos.Aquí hay una breve descripción general de algunos de los tipos más comunes de herramientas de software para descifrar contraseñas:

  1. Hashcat − Ampliamente considerada como una de las herramientas de descifrado de contraseñas más rápidas, Hashcat también es compatible con un puñado de metodologías de descifrado de contraseñas.No almacena contraseñas descifradas en sus servidores y está disponible completamente gratis
  2. THC Hydra − Esta herramienta admite más de 50 protocolosSu sistema móvil es compatible con todas las principales plataformas de software, por lo que es una gran herramienta si necesita software para descifrar contraseñas de iOS o Android.
  3. Medusa  Medusa es un software de descifrado de contraseñas muy conveniente que admite una larga lista de protocolosAdmite varios sistemas operativos de computadora, excepto Windows
  4. John the Ripper − John the Ripper es una herramienta multiplataforma, de código abierto y completamente gratuita para descifrar contraseñas.Admite cientos de tipos de cifrado y hash y es una de las herramientas de descifrado de contraseñas más flexibles.
  5. CrackStation  A diferencia del software mencionado anteriormente, CrackStation es un cracker basado en web y no tiene una programaAdmite muchos protocolos, pero solo se pueden usar hashes no salados sin cadenas aleatorias adjuntas

Tipos de descifrado de contraseñas

En este sentido, puede decir que los atacantes tienen la ventaja, ya que simplemente hay demasiados tipos de pirateo de contraseñas.Debido a esto, la mayoría de las personas no saben de cuántas direcciones puede provenir la amenaza.

La mayoría de los ataques de descifrado de contraseñas pueden presentarse en tres formas distintasEstos son ataques de adivinación de contraseñas, ataques de ingeniería social y ataques basados ​​en hash.Analicemos cada uno de estos ataques con más detalle.

1Ataques de adivinación de contraseñas

Si bien la mayoría de nosotros tendemos a imaginar que los ataques cibernéticos provienen de piratas informáticos súper sofisticados que usan equipos costosos, la realidad a menudo no es tan emocionante.De hecho, la mayoría de los casos de contraseñas descifradas se deben a que los atacantes simplemente adivinan la contraseña hasta que la aciertan.Hay varios tipos de ataques de adivinación de contraseñas:

  • Adivinar contraseñas al azar − La forma más básica de adivinar contraseñas, también es el método menos efectivo, a menos que la víctima esté usando una contraseña muy común. o el atacante sabe mucho sobre la víctima
  • Ataques de diccionario − Una forma más avanzada de ataque de adivinación de contraseñas, en la que los atacantes usan un diccionario automatizado de palabras.La complejidad de los ataques de diccionario depende de si los atacantes incluyen números y caracteres y si apuntan a combinaciones de palabras específicas.
  • Ataques de fuerza bruta  Los ataques de adivinación de contraseñas de fuerza bruta implican un enfoque sistemático para cada combinación posible de letras, números y palabrasLa principal ventaja de este ataque es que el hacker está obligado a encontrar la contraseña correcta en algún momento.Sin embargo, la otra cara de la moneda es que les puede llevar mucho tiempo generar todas las permutaciones posibles.

2Ataques de ingeniería social

La ingeniería social es un término amplio que se refiere a varias actividades maliciosas que se llevan a cabo al explotar las interacciones humanas a través de la manipulación psicológica.A través de ataques de ingeniería social, los piratas informáticos intentan engañar a sus víctimas desprevenidas para que les proporcionen información confidencial valiosa.

Los ataques de ingeniería social suelen estar cuidadosamente pensados, ya que los atacantes suelen investigar a sus víctimas para obtener información que les ayude a llevar a cabo el ataque.Estas son las formas más comunes de ataques de ingeniería social:

  • Phishing − Posiblemente la técnica más conocida y popular, phishing involucra engañar al objetivo para que haga clic en un enlace o abra un archivo adjunto que incluye malware.Existen muchas formas de ataques de phishing adaptados a situaciones específicas, incluidos el phishing selectivo, la caza de ballenas, el smishing y el vishing.
  • Ataques de restablecimiento de contraseña − Otra forma frecuente de ataques de ingeniería social incluye iniciar cambios de contraseña forzados por parte de alguien que no sea el usuario finalLos atacantes manipulan un enlace de restablecimiento de contraseña que apunta a un dominio que controlan
  • Shoulder Surfing  Esta es una forma muy cruda y anticuada de descifrar contraseñas, pero que, desafortunadamente, todavía funciona en algunas víctimas.La base del ataque es simple.El atacante observa físicamente a la víctima ingresando una contraseña y luego usa los datos de identificación obtenidos para llevar a cabo el ataque.

3Ataques basados ​​en hash

Por último, los ataques basados ​​en hash pueden ser particularmente peligrososEsto se debe a que los piratas informáticos pueden atacar la base de datos de usuarios/contraseñas incluso sin conexión.Los dos tipos más comunes de ataques basados ​​en hash son:

  • Rainbow Table Attack − Los hackers primero obtienen acceso a los hashes filtrados y usan la tabla arcoíris para descifrar los hashes de contraseñas.Siempre que los hashes no tengan una codificación única adicional para cada contraseña, los piratas informáticos pueden simplemente traducir las contraseñas cifradas a texto sin formato.
  • Ataque Pass-the-Hash  Abreviado como PtH, el ataque Pass-the-Hash explota las debilidades en el protocolo de autenticaciónEste tipo de ataques suelen usarse para descifrar contraseñas de Windows, aunque también pueden ocurrir en otras plataformas

¿Cómo evitar el descifrado de contraseñas?

El descifrado de contraseñas es sin duda una práctica preocupante y algo de lo que todos podemos ser víctimas.Dicho esto, esto no quiere decir que no pueda hacer nada para minimizar las posibilidades de que sus contraseñas sean descifradas.Aquí se explica cómo evitar el descifrado de contraseñas con algunos métodos simples:

Consejo #1Crear contraseñas seguras

El primer paso para evitar que su contraseña sea descifrada es establecer una contraseña segura en primer lugar.Como su contraseña es la primera línea de defensa, debe ser lo más robusta posible

Hay muchos aspectos a tener en cuenta al intentar crear la contraseña más segura posiblePor ejemplo, debe tener una longitud suficiente y combinar letras mayúsculas y minúsculas, así como números.Además, las pistas deben ser únicas y difíciles de adivinar.

Si se está preguntando, "¿qué tan difícil es descifrar mi contraseña?" y quiere asegurarse de que es lo suficientemente fuerte para disuadir cualquier ataque, le recomendamos leer nuestra página dedicada a las directrices de contraseñas del NIST

Consejo n.º 2Utilice un administrador de contraseñas confiable

Además de tener contraseñas seguras, también debe usar un administrador de contraseñas confiablePara empezar, un administrador de contraseñas tiene un propósito muy práctico, ya que te libera de tener que memorizar tus contraseñas.

Más importante aún en el contexto de esta página, también trae beneficios de seguridad adicionalesPuede generar contraseñas aleatorias seguras, utilizar una función de autocompletar y compartir contraseñas de forma segura siempre que lo necesite.

Consejo n.º 3Utilice 2FA e inicio de sesión sin contraseña cuando sea posible

La autenticación de dos factores (2FA) ha ido ganando terreno en los últimos añosY por una buena razón2FA brinda una capa adicional de protección y mantiene sus cuentas seguras incluso si su contraseña se ve comprometidaSi un atacante obtiene sus credenciales de inicio de sesión, seguirán siendo excluidos sin obtener aprobación en el segundo factor.

Teniendo en cuenta esto, se recomienda habilitar la autenticación de dos factores siempre que sea posibleNo se necesita mucho tiempo ni esfuerzo para hacerlo, pero puede ahorrarte muchos dolores de cabeza en caso de que un atacante te ataque.

Además, si desea reducir su superficie de ataque aún más, considere ir completamente sin contraseñaSi bien este paso requiere un enfoque más cuidadoso, la eliminación total de contraseñas elimina los riesgos asociados con la seguridad basada en contraseñas.

La herramienta definitiva para la prevención de descifrado de contraseñas

Teniendo en cuenta todo lo anterior, para garantizar una protección inquebrantable contra el descifrado de contraseñas, tendría que utilizar varias herramientasEn caso de que desee administrar simultáneamente sus contraseñas de los servicios web heredados y utilizar los beneficios de la autenticación moderna sin contraseña, necesitará al menos dos dispositivos: un administrador de contraseñas y un token FIDO para inicios de sesión sin contraseña.Pero seamos honestos, esto no es muy conveniente.

Desde esta perspectiva, la forma más eficaz de evitar el descifrado de contraseñas es utilizar una clave de hardware única que combine funcionalidad y seguridad.Nuestro Hideez Key 4 es un dispositivo de bolsillo que tiene todas las características de un administrador de contraseñas de alta calidad combinado con soporte estándar FIDO2 "sin contraseña".

Además, este diminuto dispositivo también puede servir como un bloqueo de proximidad inteligente para su computadora con Windows, lo que le permite bloquear o desbloquear su dispositivo cuando se acerca o se aleja.Por último, puede implementar esto como su principal herramienta de seguridad tanto en el hogar como en un entorno empresarial.¡Comuníquese con nosotros para obtener más información o aprovechar nuestra oferta de prueba gratuita de 30 días!