Cómo los atacantes realmente “hackean cuentas” en línea y cómo protegerse

La gente habla de que sus cuentas en línea han sido «pirateadas», pero ¿cómo ocurre exactamente este hackeo? La realidad es que las cuentas se piratean de formas bastante simples: los atacantes no usan magia negra.

El conocimiento es poder. Comprender cómo se comprometen realmente las cuentas puede ayudarlo a proteger sus cuentas y evitar que sus contraseñas sean «pirateadas» en primer lugar.

Reutilización de contraseñas, especialmente las filtradas

Muchas personas, tal vez incluso la mayoría de las personas, reutilizan contraseñas para diferentes cuentas. Algunas personas pueden incluso usar la misma contraseña para cada cuenta que usan. Esto es extremadamente inseguro. Muchos sitios web, incluso los grandes y conocidos como LinkedIn y eHarmony, han visto filtradas sus bases de datos de contraseñas en los últimos años. Las bases de datos de contraseñas filtradas junto con nombres de usuario y direcciones de correo electrónico son fácilmente accesibles en línea. Los atacantes pueden probar estas combinaciones de dirección de correo electrónico, nombre de usuario y contraseñas en otros sitios web y obtener acceso a muchas cuentas.

Reutilizar una contraseña para su cuenta de correo electrónico lo pone aún más en riesgo, ya que su cuenta de correo electrónico podría usarse para restablecer todas sus otras contraseñas si un atacante obtuviera acceso a ella.

Por muy bueno que sea para proteger sus contraseñas, no puede controlar qué tan bien protegen sus contraseñas los servicios que utiliza. Si reutiliza las contraseñas y una empresa se equivoca, todas sus cuentas estarán en riesgo. Debe usar contraseñas diferentes en todas partes; un administrador de contraseñas puede ayudar con esto.

registradores de teclas

Los registradores de teclas son piezas de software maliciosas que pueden ejecutarse en segundo plano, registrando cada pulsación de tecla que realiza. A menudo se usan para capturar datos confidenciales como números de tarjetas de crédito, contraseñas de banca en línea y otras credenciales de cuentas. Luego envían estos datos a un atacante a través de Internet.

Dicho malware puede llegar a través de exploits; por ejemplo, si está utilizando una versión desactualizada de Java, como la mayoría de las computadoras en Internet, puede verse comprometido a través de un subprograma de Java en una página web. Sin embargo, también pueden llegar disfrazados en otro software. Por ejemplo, puede descargar una herramienta de terceros para un juego en línea. La herramienta puede ser maliciosa, capturar la contraseña del juego y enviarla al atacante a través de Internet.

Use un programa antivirus decente, mantenga su software actualizado y evite descargar software no confiable.

Ingeniería social

Los atacantes también suelen utilizar trucos de ingeniería social para acceder a sus cuentas. El phishing es una forma comúnmente conocida de ingeniería social: esencialmente, el atacante se hace pasar por alguien y le pide su contraseña. Algunos usuarios entregan sus contraseñas fácilmente. Estos son algunos ejemplos de ingeniería social:

  • Recibe un correo electrónico que dice ser de su banco y lo dirige a un sitio web de un banco falso con una URL de aspecto muy similar y pidiéndote que introduzcas tu contraseña.
  • Recibe un mensaje en Facebook o cualquier otro sitio web social de un usuario que dice ser una cuenta oficial de Facebook y le solicita que envíe su contraseña para autenticarse.
  • Visitas un sitio web que promete darte algo valioso, como juegos gratis en Steam u oro gratis en World of Warcraft. Para obtener esta recompensa falsa, el sitio web requiere su nombre de usuario y contraseña para el servicio.

Tenga cuidado con a quién le da su contraseña: no haga clic en los enlaces de los correos electrónicos y vaya al sitio web de su banco, no le dé su contraseña a nadie que se comunique con usted y la solicite, y no le dé las credenciales de su cuenta a personas no confiables. sitios web, especialmente aquellos que parecen demasiado buenos para ser verdad.

Respondiendo preguntas de seguridad

Las contraseñas a menudo se pueden restablecer respondiendo preguntas de seguridad. Las preguntas de seguridad generalmente son increíblemente débiles, a menudo cosas como «¿Dónde naciste?», «¿A qué escuela secundaria fuiste?» y «¿Cuál era el apellido de soltera de tu madre?». A menudo es muy fácil encontrar esta información en sitios de redes sociales de acceso público, y la mayoría de las personas normales te dirían a qué escuela secundaria fueron si se les preguntara. Con esta información fácil de obtener, los atacantes a menudo pueden restablecer contraseñas y obtener acceso a las cuentas.

Idealmente, debe usar preguntas de seguridad con respuestas que no se descubran o adivinen fácilmente. Los sitios web también deben evitar que las personas obtengan acceso a una cuenta solo porque conocen las respuestas a algunas preguntas de seguridad, y algunas las conocen, pero otras aún no las conocen.

Restablecimiento de cuenta de correo electrónico y contraseña

Si un atacante utiliza cualquiera de los métodos anteriores para obtener acceso a sus cuentas de correo electrónico, tendrá un problema mayor. Su cuenta de correo electrónico generalmente funciona como su cuenta principal en línea. Todas las demás cuentas que usa están vinculadas a ella, y cualquier persona con acceso a la cuenta de correo electrónico podría usarla para restablecer sus contraseñas en cualquier cantidad de sitios en los que se registró con la dirección de correo electrónico.

Por esta razón, debe proteger su cuenta de correo electrónico tanto como sea posible. Es especialmente importante utilizar una contraseña única y protegerla cuidadosamente.

Qué no es «hackear» contraseñas

La mayoría de la gente probablemente imagina a los atacantes probando todas las contraseñas posibles para iniciar sesión en su cuenta en línea. Esto no está pasando. Si intentara iniciar sesión en la cuenta en línea de alguien y continuara adivinando contraseñas, se ralentizaría y no podría probar más de un puñado de contraseñas.

Si un atacante fue capaz de ingresar a una cuenta en línea simplemente adivinando las contraseñas, es probable que la contraseña fuera algo obvio que pudiera adivinarse en los primeros intentos, como «contraseña» o el nombre de la mascota de la persona.

Los atacantes solo podrían usar tales métodos de fuerza bruta si tuvieran acceso local a sus datos; por ejemplo, supongamos que estaba almacenando un archivo encriptado en su cuenta de Dropbox y los atacantes obtuvieron acceso y descargaron el archivo encriptado. Luego podrían intentar forzar el cifrado por fuerza bruta, esencialmente probando cada combinación de contraseñas hasta que una funcione.

RELACIONADOS: ¿Qué es Typosquatting y cómo lo usan los estafadores?


Las personas que dicen que sus cuentas han sido «hackeadas» probablemente sean culpables de reutilizar contraseñas, instalar un registrador de claves o dar sus credenciales a un atacante después de trucos de ingeniería social. También pueden haberse visto comprometidos como resultado de preguntas de seguridad fáciles de adivinar.

Si toma las precauciones de seguridad adecuadas, no será fácil “hackear” sus cuentas. El uso de la autenticación de dos factores también puede ayudar: un atacante necesitará más que solo su contraseña para ingresar.

Credito de imagen: Robbert van der Steeg en Flickr, asenat en Flickr

Deja un comentario

En esta web usamos cookies para personalizar tu experiencia de usuario.    Política de cookies
Privacidad