Guía de ciberataques – Vulnerabilidad de las contraseñas

El mundo de la ciberseguridad está en constante actualización, todos los días salen nuevas noticias donde se ven afectadas distintas empresas u organismos del estado. Semanas atrás la Universidad de Barcelona, MediaMarkt y Estrella Galicia fueron víctimas de ataques de ransomware que comprometieron seriamente su funcionamiento. El 80% de estos ataques se fundamentan en los malos hábitos humanos que son los más fáciles de vulnerar. En esta guía de ciberataques veremos un resumen lo más puntual posible de todo lo que debes saber para evitar caer en alguna de estas amenazas.

YooSell, como partner de LastPass está enfocada en la ciberseguridad, es por ello que constantemente dedicamos esfuerzos y recursos en alertar a usuarios y organizaciones para tener un internet más seguro. 

Para abordar esta guía de ciberataques vamos a comenzar analizando las amenazas que rodean las contraseñas, cuáles son las formas de ataque más comunes, un test para conocer si es necesario tomar acciones en el resguardo de las passwords, los errores más comunes en el uso de las contraseñas y la forma en que el uso correcto de un gestor de contraseñas resuelve todas estas debilidades.

Ataques vulnerando las contraseñas

Los errores de uso y malos hábitos con el uso de contraseñas es una de las debilidades que explotan los delincuentes digitales para crear amenazas web y en muchos casos comprometer sistemas. Las formas más comunes de ataques basados en contraseña son: 

Fuerza bruta: se basa en un software que va probando millones de contraseñas almacenadas en un fichero txt. Va intentando una a una hasta dar con la correcta. En junio de este año se dio a conocer la existencia del archivo RockYou2021, que contiene más de 8400 millones de contraseñas filtradas.

La filtración de RockYou2021 es la más grande conocida hasta el momento.
La filtración de RockYou2021 es la más grande conocida hasta el momento.

Ataque por diccionario: similar a lo anterior, solo que se van generando contraseñas basadas en patrones y no en un fichero específico.

Por ser LastPass un gestor de contraseñas, es mucho lo que hemos escrito en este tema, en este caso vamos a destacar lo básico que debe saberse para mantener este eslabón protegido.

El siguiente paso nos lleva a hacer un pequeño Test a modo de conocer si es necesario preocuparse o no por el uso correcto de las contraseñas y la ciberseguridad.

Guía de ciberataques – Test de protección de contraseñas

Con este test se puede evaluar el estado de ciberseguridad empresarial.
Con este test se puede evaluar el estado de ciberseguridad empresarial.

Esta es la evaluación inicial que debe hacerse para conocer si es necesario tomar acciones o no referente al uso de contraseñas. En esta guía de ciberataques las vulnerabilidades asociadas al mal uso de las contraseñas toman el primer puesto. Basta con que un par de preguntas sean respondidas con un NO para encontrarse en riesgo real de sufrir una filtración de datos.

Es muy común que las personas no tengan presente la necesidad de cuidar sus datos con mayor determinación. Incluso en muchos casos somos los propios usuarios los que facilitamos las intrusiones haciendo un uso indebido de las contraseñas. Esto es justo lo que vamos a ver a continuación.

Malos hábitos y errores en el uso de contraseñas

Antes de comenzar a mostrar los errores y malos hábitos en el uso de contraseñas, es necesario tener la tranquilidad de que todos los inconvenientes que se presentarán pueden ser solventados con un gestor de contraseñas como lo es LastPass. Después de ver las debilidades humanas, veremos cómo la suite de ciberseguridad los soluciona todos.

¿Por qué los usuarios tienen malas costumbres con el uso de contraseñas si la mayoría está consciente de ello?

A pesar de que la mayoría de las personas conoce la relevancia del mal uso de las contraseñas siguen cometiendo los errores por algunos temores y suposiciones equivocadas.
A pesar de que la mayoría de las personas conoce la relevancia del mal uso de las contraseñas siguen cometiendo los errores por algunos temores y suposiciones equivocadas.

La mayoría de las personas hace mal uso de las contraseñas, esta mala praxis facilita la labor de los ciberdelincuentes.

Algunos de los errores más comunes son:

Emplear una contraseña única para todas aplicaciones

¿Tendrías una puerta resguardada con muchos candados que todos abran con la misma llave?
¿Tendrías una puerta resguardada con muchos candados que todos abran con la misma llave?

Esto hace vulnerable todas y cada una de ellas. Al momento de caer el password único, todas las cuentas vinculadas estarán comprometidas. Si por ejemplo la contraseña del GYM es la misma del correo empresarial, es posible que los hackers puedan atacar el GYM y luego ir por objetivos más grandes por medio del correo corporativo.

Lo recomendable en esta Guía de ciberataques es que cada aplicación tenga una contraseña firme y robusta, pero claro, si hemos perdido el hábito a memorizar cosas y puede verse en que el común de las personas no recuerda más de 10 números de teléfono de contactos. Es más difícil que pueda recordar contraseñas distintas con los parámetros correctos de seguridad para más de 90 aplicaciones o servicios, que este es el estimado mínimo que usa un profesional.

Usar contraseñas simples, débiles y fáciles de recordar

Es importante alejarse de las cosas simples a la hora de establecer contraseñas.
Es importante alejarse de las cosas simples a la hora de establecer contraseñas.

Conscientes de la cantidad de aplicaciones usadas por un profesional promedio, es una tarea muy compleja recordar passwords con mayúsculas, caracteres especiales, números y todos aleatorios. Lo que muchos ven como “solución” es emplear patrones. Hace unos años conocí al dueño de una empresa que prestaba servicios a una multinacional cuya clave del correo corporativo era: 12345678. Bien sabemos que los estándares modernos no dejarían emplear esa contraseña, pero las personas se inventan patrones predecibles.

La recomendación es alejarse de los patrones, los expertos recomiendan emplear tres palabras aleatorias, por ejemplo: ZorrilloPuertaAlambre, esto crea una contraseña larga y poco probable de predecir. El problema es recordar al menos unas 90 combinaciones distintas. 

Utilizar la información personal a modo de contraseña

Jamás se puede incluir la información personal en las contraseñas.
Guía de ciberataques – Jamás se puede incluir la información personal en las contraseñas.

Este es otro de los malos hábitos, dado que con el uso extenso de las redes sociales es mucha la información que se comparte con fines sociales y los delincuentes informáticos pueden tomar eso para predecir patrones de contraseñas: Si por ejemplo se tiene un perro llamado Toby y se montó en Instagram la celebración del cumpleaños el 01 de febrero, entonces usar una contraseña como Toby0102 es un error que deja las puertas abiertas a los atacantes.

En este caso se aconseja evitar emplear cualquier tipo de información personal, cero números de teléfonos, combinación de nombres y apellidos, fechas conmemorativas ni nada similar.

Guardar las contraseñas en el navegador

El navegador no ofrece la seguridad necesaria para esta labor.
El navegador no ofrece la seguridad necesaria para esta labor.

Es común que al momento de acceder a un nuevo servicio o aplicación web salte la pregunta de si desea guardar las contraseñas en el navegador. La mayoría de las personas responde que sí, de esta forma al tener que acceder nuevamente ya el navegador completa el dato. Hasta este punto todo está bien, el problema es que es muy simple acceder a la lista de claves, incluso algunos de ellos guarda los registros en un archivo de texto sin cifrar.

Esta es una práctica a la que hay que ir renunciando, cualquier pérdida o robo del equipo compromete todas las contraseñas. Incluso en el núcleo más cercano, cualquier familiar, compañero de trabajo o amigo que tenga acceso al ordenador también tendrá acceso a todas las contraseñas.

Uso de patrones sencillos

Los patrones predecibles son del conocimiento de los delincuentes.
Guía de ciberataques – Los patrones predecibles son del conocimiento de los delincuentes.

Nada que tenga que ver con las contraseñas puede ser sencillo, para hacer una analogía, es como dejar las puertas de casa sin seguro porque es más sencillo abrirlas y cerrarlas. O dejar las llaves puestas en la cerradura por ser más sencillo. Definitivamente la sencillez no tiene cabida cuando se trata de seguridad. Emplear patrones como QWERTY, 4n4b3l, C0ntr4s3ñ4 o cosas así deja la guardia baja ante un posible ataque.

Lo ideal es evitar los patrones, los delincuentes informáticos los conocen y sus herramientas de ataques están preparados para hacerles frente.

Poniendo fin a los malos hábitos y errores con el uso del gestor de contraseñas

Usar un gestor de contraseñas como LastPass aporta no solo estos beneficios, la verdad son muchos más.
Usar un gestor de contraseñas como LastPass aporta no solo estos beneficios, la verdad son muchos más.

Tal y como se señaló al iniciar este tema de la guía de ciberataques, el gestor de contraseñas resuelve todos estos problemas. ¿Cómo lo hace? veamos:

  • Emplea y recuerda una contraseña única por cada aplicación o servicio.
  • Establece contraseñas aleatorias y robustas en cada proceso de registro.
  • Genera contraseñas libres de datos personales.
  • Las contraseñas se almacenan en una bóveda cifrada cerrando así el paso a los hackers.
  • No emplea ningún tipo de patrón al momento de crear las contraseñas.

Adicional a esto el gestor de contraseñas LastPass ofrece estas ventajas adicionales:

  • Facilidad de uso y rapidez de acceso a aplicaciones y servicios web.
  • Disminución de tickets de servicio por olvido de datos de acceso.
  • Verificación de sitios web para loguearse.
  • Autenticación Multifactor.
  • Cumplimiento de estándares ENS.

Si las personas y organizaciones tomasen mayor conciencia y acciones con el uso de los gestores de contraseñas, el internet sería mucho más seguro y los delincuentes digitales tendrían que esforzarse mucho más para cometer sus delitos.

Para concretar una prueba gratuita del gestor de contraseñas por favor completa el siguiente formulario. Esto sin cargo o TDC y sin ningún tipo de contrato de permanencia.


Prueba sin cargo LastPass

Tambíen te pueden interesar