Sabemos que las contraseñas a menudo, son lo único que se interpone entre un ciberdelincuentes y los datos financieros y personales de un usuario, estos apuntan a descifrar y robar estos inicios de sesión. Las contraseñas son las llaves virtuales del mundo digital, ya que proporcionan acceso a servicios de banca en línea, correo electrónico y redes sociales, así como a todos los datos alojados en el almacenamiento en la nube.
Al obtener los inicios de sesión, un cibercriminal podría:
– Robar información de identidad personal y venderla a otros delincuentes en foros, lo cual es muy común, se puede ver en foros en Telegram como venden esta información al mejor postor.- Vender el acceso a la cuenta en sí. Los sitios criminales de la dark web comercializan rápidamente estos inicios de sesión. Como sucedió el año pasado cuando hubo la caída mundial de Instagram, Facebook y WhatsApp.
– Los compradores podrían utilizar el acceso para obtener desde traslados en taxi gratuitos y streaming de video, hasta viajes con descuento desde cuentas con millas aéreas comprometidas. Todo indica que la tendencia es robar los datos para colocar el dispositivo de minar Criptomonedas sin que el usuario final se dé cuenta de esto.
– Utilizar las contraseñas para desbloquear otras cuentas en las que use la misma clave. Parece mentira que aun existan personas que aun utilizan la famosa contraseña 12345 o admin-admin.Dicho todo esto les quiero explicar las 3 técnicas que más utilizan los ciberdelincuentes para robar contraseñas:
• Phishing e ingeniería social: La ingeniería social, es un truco psicológico diseñado para convencer a alguien de hacer algo que no debería, y el phishing es la forma de ingeniería social más conocida. Mediante este tipo de ataques los cibercriminales se hacen pasar por entidades legítimas como amigos, familiares, organizaciones públicas y empresas conocidas. El correo electrónico o texto que se reciba se verá auténtico, pero incluirá un enlace malicioso o un archivo adjunto que, en caso de hacer clic en él, descargará malware o llevará a una página que solicitará que ingreses datos personales. Afortunadamente, hay muchas maneras de detectar las señales de advertencia de un ataque de phishing.Los estafadores incluso utilizan llamadas telefónicas para obtener directamente inicios de sesión y otra información personal de sus víctimas, a menudo fingiendo ser ingenieros de soporte técnico. Esto se conoce como vishing (phishing basado en voz).
• Malware: Otra forma popular de obtener contraseñas es a través de malware. Los correos electrónicos de phishing son el vector principal para este tipo de ataque, aunque también se puede ser víctima de malware al hacer clic en un anuncio malicio (publicidad maliciosa o malvertising) o incluso al visitar un sitio web previamente comprometido (drive-by-download).
• Ataques de fuerza bruta: El número promedio de contraseñas que una persona tiene que administrar aumentó con esta pandemia en un estimado del 25% interanual en 2021. Esto trae como consecuencia que la mayoría de las personas se incline por utilizar contraseñas fáciles de recordar (y de adivinar), y que cometa el error de utilizar las mismas contraseñas para acceder a múltiples sitios y servicios. Sin embargo, lo que muchas veces no se tiene en cuenta es que las contraseñas débiles pueden abrir la puerta a las denominadas técnicas de fuerza bruta para descubrir contraseñas.
Todo esto y mucho más lo podrá conocer en el webinar sobre Ciberseguridad que dictare el día viernes 25 a través de la plataforma zoom a las 7 de la noche.
Los espero.Adolfo M.Gelder
@adogelt.me/seguridadintegral