Cómo pueden robar tus contraseñas
Te explicamos cinco formas en las que los hackers pueden acceder a tus datos sensibles.
8 min de lectura
Puede que estos datos te dejen de piedra: el 18 % de todo lo que se vende en la dark web son cuentas online, emails de acceso y contraseñas. El robo de credenciales se ha incrementado en casi un 30 % desde 2017 y el 81 % de todas las filtraciones por hackeo se deben a que las credenciales son poco seguras o están expuestas. La verdad es que pone los pelos de punta. Sin embargo, dado que la mayoría de filtraciones (el 74 %) se deben a un error humano, la solución no radica en mejorar la tecnología, sino que está en nuestras propias manos. Te explicamos algunos de los métodos comunes (y sorprendentes) con los que los hackers nos roban las contraseñas y cómo podemos protegernos contra ellos.Una persona promedio tiene más de 100 contraseñas y cada contraseña es como una llave. Para que este enorme llavero no pese tanto, muchos caemos en la tentación de utilizar atajos, como crear contraseñas fáciles de recordar o utilizar la misma en varias plataformas. Pero ahí es donde se complican las cosas.El método de hackeo “por fuerza bruta”, uno de los favoritos de los hackers dada su simplicidad y eficacia, es el equivalente digital a probar con cada llave hasta que una abre la puerta. Una de las técnicas de fuerza bruta más populares es el relleno de credenciales. Los hackers utilizan esta técnica cuando se hacen con un montón de combinaciones de nombres de usuarios y contraseñas previamente filtradas. A continuación, activan un sistema automatizado que prueba estas credenciales en una serie de webs. Básicamente, es una cuestión de probabilidades, y con 193.000 millones de intentos estimados cada año en todo el mundo, los ciberdelincuentes llevan todas las de ganar.Conclusión: en el mundo de las contraseñas, en la variedad no solo está el gusto, sino también tu seguridad. Más te vale desechar las «llaves maestras» e invertir en un gestor de contraseñas. Al final, la mejor defensa contra este tipo de ataques es tener tu propia serie de contraseñase seguras y únicas.Los ataques de phishing se aprovechan de la naturaleza humana, es decir, de nuestra tendencia innata a confiar en los demás y a bajar la guardia cuando se nos pone bajo presión. Estos ataques pueden tener muchas formas, pero uno de los métodos de phishing más populares consiste en suplantar la identidad de personas de confianza de la víctima, como amigos, familiares o empresas conocidas. Sin embargo, tras ese correo diseñado para parecer auténtico, remitido por un ser querido, se oculta una verdadera amenaza: un enlace o archivo adjunto programados para instalar software malicioso o redirigirte a una web falsificada donde te robarán tus datos personales.Pero el timo no se limita a los emails y mensajes de texto. También existe el vishing. El vishing es un tipo de estafa con la que los timadores llaman por teléfono para que les entregues tus datos personales, como números de cuentas bancarias, contraseñas o tu número de la Seguridad Social. A diferencia del phishing tradicional, que suele hacerse vía email, el vishing emplea una llamada de teléfono para crear una sensación de urgencia o autoridad, fingiendo ser de una empresa de renombre, agencia estatal o, simplemente, el servicio de asistencia.Estar concienciado y tener una buena dosis de escepticismo serán tus mejores armas para detectar las señales de alarma de un timo de phishing o vishing. Mantente alerta cuando te pidan información de forma inesperada, revisa la dirección de email del remitente y recuerda que si parece demasiado urgente o demasiado bueno para ser verdad, lo más probable es que sea un timo.¿Qué te crees, que todos los ataques requieren complejos algoritmos y tecnología punta? Para nada. El shoulder surfing, en su versión más simple, consiste en espiar por encima del hombro de alguien para obtener información sensible, sobre todo contraseñas y otros datos de temas de seguridad. Puedes sufrirlo en cualquier lugar, desde el metro a una cafetería abarrotada o en un cajero automático. Pero esta técnica ha evolucionado y ya no se limita a la proximidad física. Los ciberdelincuentes también utilizan herramientas digitales, como cámaras o softwares de grabación de pantalla, para hacerse con información sensible a distancia. Pese a que no requiere mucha tecnología, el shoulder surfing sigue siendo un método eficaz y directo para obtener un acceso no autorizado a datos personales o confidenciales, lo cual pone de relieve la importancia de estar alerta incluso cuando creemos que estamos en entornos seguros.Así que, la próxima vez que introduzcas datos en público, recuerda que pueden estar vigilándote y que no todos los hackers necesitan un ordenador para robarte las contraseñas.En un ataque enmascarado, los atacantes obtienen un conocimiento parcial de tu contraseña mediante filtraciones de datos o ciberataques. Aunque con estos hackeos no conseguirán tu contraseña completa, pueden servirles como pistas muy útiles. En lugar de probar con todas las combinaciones de caracteres posibles (como en un ataque “de fuerza bruta”), aplican una «máscara» que concuerda con los elementos conocidos. Por ejemplo, si un hacker sabe que la contraseña empieza por «El» y tiene ocho caracteres, sólo tendrá que probar con combinaciones que encajen con este patrón. Esto reduce en gran medida el número de intentos que el hacker necesita para averiguar la contraseña correcta. Lo bueno (para ti, no para el hacker) es que si tu contraseña es el equivalente digital de un candado de alta seguridad (larga, compleja e impredecible), incluso un fragmento de la misma no le servirá de nada. Por eso, crea tus contraseñas mezclando secuencias largas de números, letras y símbolos en un patrón que solo tú entiendas. En los rincones más oscuros de internet hay un método de hackeo que parece inofensivo, pero no lo es: la tabla arcoíris. Las tablas arcoíris son como “chuletas” que los hackers utilizan para descifrar contraseñas. Cuando creas una contraseña en una app o web, normalmente se convierte a un formato codificado irreconocible empleando una función de hash: un proceso denominado «hashing». Básicamente, una tabla arcoíris es una lista de valores de hash previamente calculados para crear un número teóricamente infinito de contraseñas. Los hackers utilizan las tablas arcoíris para cotejar la contraseña codificada (el hash) con su forma original en su tabla, de forma que les resulta mucho más fácil adivinar la contraseña correcta sin tener que perder el tiempo probando una y otra vez.Pero esto tiene su lado bueno. Si tu contraseña es compleja y única, no tendrán nada que hacer. La práctica del «salpimentado» (espolvorear datos al azar en tu contraseña antes de convertirla en un hash) la transforma en un acertijo demasiado enrevesado incluso para la tabla arcoíris más completa.Su nombre puede llevarnos a error, ya que la RAE no tiene nada que ver con todo esto. Más bien, lo que se utiliza es un «diccionario» para hackers, es decir, un arsenal compacto de las contraseñas favoritas de internet. Son las típicas: «123456», «qwerty», «contraseña», «tequiero» y la ya infame «hunter2».Pero esta trama tiene un giro inesperado: un método llamado «spidering». Cuando un hacker pone el ojo en una empresa u organización concretas, no se limita a introducir contraseñas hasta que una cuele. Elabora una maraña de palabras específicas sobre su víctima empleando la jerga propia de la empresa o el sector, o cualquier palabra de dominio público relacionada con la empresa. Esto no se hace utilizando un viejo diccionario, sino mediante una araña digital, similar a los bots que emplean los motores de búsqueda para indexar vastas extensiones de internet.El atractivo de los ataques de diccionario, sobre todo con una estrategia de spidering, es la posibilidad de hackear cuentas de personas de alto nivel en la jerarquía de una empresa. Pero este método no es infalible. Cuando crees tu contraseña, evita todo aquello que un ataque de diccionario pueda predecir: información personal, secuencias sencillas o cualquier cosa que pueda averiguarse. Más bien, opta por una combinación caótica de caracteres, números y símbolos, única para cada cuenta. De esta forma, tus llaves digitales seguirán siendo solo tuyas, protegidas de la simplicidad engañosa del ataque del diccionario.
En N26 nos tomamos la seguridad muy en serio. Todas las tarjetas Mastercards N26 están protegidas con la tecnología 3D Secure y, si detectas alguna actividad sospechosa en tu cuenta, puedes bloquear tu tarjeta inmediatamente desde la app. Además, tienes notificaciones instantáneas que te ayudan a hacer seguimiento en tiempo real sobre todo lo que pasa en tu cuenta. Échale un ojo a nuestro comparador de cuentas para elegir la que mejor se ajusta a ti.
Fuerza bruta: probar con todas las claves posibles
La trampa del phishing y el vishing
Sin preocupaciones - Mi banco, como yo quiero
¿Has perdido tu tarjeta bancaria? Bloquéala y desbloquéala en segundos en tu app N26.
Seguridad en N26Shoulder surfing: cotillear por encima del hombro
Ataques enmascarados: el baile de máscaras de los hackers
Las tablas arcoíris: la chuleta de los hackers
Ataque del diccionario: simple pero eficaz
Tu dinero estará siempre seguro en N26
Artículos que coinciden con la temática
POR N26Enamórate de tu banco
Artículos relacionados
Puede que estos artículos también te interesenTecnología y Seguridad
Así es como los estafadores utilizan códigos QR para robarte los datos
No todos los códigos QR son inofensivos. Esto es lo que debes hacer para no caer en el timo del quishing.
6 min de lectura
Tecnología y Seguridad
5 estafas comunes con las que tener cuidado estas fiestas
No dejes que los estafadores te arruinen la Navidad. ¡Infórmate de estas 5 estafas frecuentes en Navidad y protege tu cartera!
5 min de lectura