Ilustración de Alfredo Cáceres, archivo "El Mercurio"
El primer jueves de mes de mayo se celebra el Día Mundial de la Contraseña, una fecha que busca concienciar sobre la necesidad de cuidar al máximo este mecanismo de seguridad en dispositivos electrónicos.
Una forma de protegerse de posibles ciberataques consiste en conocer los tipos de ataques y las tácticas más habituales de los cibercriminales, así como los errores que comenten los usuarios con el objetivo de evitar caer en ellos.
Una de las tácticas más frecuencias consiste en la 'fuerza bruta', como señalan desde Entelgy Innotec Security. El ciberdelincuente utiliza programas especiales que prueban contraseñas al azar hasta dar con la correcta, si bien el atacante intenta primero las más comunes, tales como '1q2w3e4r5t', 'zxcvbnm' o 'qwertyuiop'.
23,2millones de cuentas tenían de contraseña "123456"
Otro ataque habitual es el conocido como '
de diccionario'. Un programa informático prueba cada palabra de un diccionario previamente definido y que contiene las combinaciones de contraseñas más utilizadas en el mundo.
En el tipo de ataque denominado '
keylogger', el usuario instala inconscientemente un programa malicioso, conocido como 'keylogger', al acceder a un enlace o descargar un archivo de Internet. Una vez instalado, éste captura todas las pulsaciones del teclado, incluyendo las contraseñas, y se las envía a los ciberdelincuentes.
En el caso del ataque de 'phishing', los cibercriminales engañan a la víctima para que introduzca sus credenciales de inicio de sesión en un formulario fraudulento, al que el usuario ha accedido al clicar en un enlace enviado a través de correo electrónico, redes sociales o aplicaciones de mensajería instantánea. Este mensaje suplanta la identidad de una organización o empresa importante que requiere atención inmediata, por lo que el usuario es fácilmente engañado.
Los cribercriminales también recurren a técnicas de ingeniería social, que son aquellas que no se llevan a cabo a través de equipos informáticos.
La práctica conocida como 'shoulder surfing', es decir, espiar a un usuario cuando está escribiendo sus credenciales, una llamada de teléfono suplantando la identidad de alguien que requiere una contraseña, así como la simple tarea de buscar en el puesto de trabajo de la víctima son algunas de las técnicas más empleadas dentro de esta tipología.
Una práctica muy común es dejar la contraseña apuntada en un 'post-it' alrededor del equipo, lo cual, como advierten desde la compañía de ciberseguridad, es "totalmente desaconsejable".
En esta línea, de los principales errores cometidos por los usuarios es crear contraseñas relacionadas con su vida personal o trabajo. Los ciberdelincuentes son conscientes de ello y, por tanto, lo aprovechan para robarlas.
