Las contraseñas fallan la prueba de seguridad

Las contraseñas son la primera línea de defensa en el sistema de seguridad de casi todas las empresas. Pero a veces son el eslabón más débil, ya que pueden ser adivinados, robados o comprometidos fácilmente. Si una empresa quiere proteger su información, debe implementar controles de seguridad adicionales.

Las contraseñas se utilizan mucho porque ofrecen a todo el mundo una forma sencilla de proporcionar un nivel básico de seguridad. «Casi todas las aplicaciones que se venden hoy en día vienen con un sistema de contraseña incorporado», dijo a El Diario del Mundo Pete Lindstrom, director de investigación de Spire Security, una consultoría de seguridad.

Debido a que los sistemas de contraseñas son tan omnipresentes, los piratas informáticos han podido identificar sus limitaciones y desarrollar formas de aprovecharlas. El ataque de contraseña más común es un ataque frontal, en el que un pirata informático utiliza un software automatizado de acertar o fallar para ingresar varias identificaciones de usuario y contraseñas hasta que se encuentra una combinación que funcione.

Muchos sitios web ofrecen software que ayuda a los piratas informáticos a descifrar sistemas de contraseñas, y varios tipos de herramientas son populares para este propósito. En última instancia, lo que puede derrotar a todas estas herramientas es una política de seguridad sólida que obligue a los usuarios a cambiar sus contraseñas con regularidad y evitar el uso de palabras sueltas. Sin embargo, es útil para los consumidores y los profesionales de TI conocer las diversas técnicas de descifrado de contraseñas disponibles para aquellos con intenciones maliciosas.

Ataques de diccionario: Refrescar vocabulario

Un ataque de diccionario es una forma común de descifrar un sistema de contraseñas. Un archivo de diccionario, un archivo de texto lleno de palabras de diccionario, generalmente en inglés, se carga en una aplicación de descifrado de identidad (como L0phtCrack) y luego se ejecuta contra las cuentas de usuario de una aplicación. Debido a que la mayoría de las contraseñas suelen ser simples (un nombre, el nombre de una calle o una ciudad), un ataque de diccionario puede ser suficiente para entrar en una aplicación.

En el pasado, este tipo de ataques podían tardar días, semanas o incluso meses. Pero ahora, gracias al mayor poder de procesamiento de la computadora, los ataques de diccionario pueden descifrar un sistema de contraseñas en minutos.

Una forma de protegerse contra un ataque de diccionario es obligar a los usuarios a confiar en largas cadenas de contraseñas con combinaciones de letras, números y caracteres especiales que forman contraseñas en inglés imposibles de rastrear. Sin embargo, este enfoque no es infalible ya que los piratas informáticos han desarrollado un software de ataque híbrido, en el que un programa de diccionario simplemente agrega números o símbolos a sus cheques.

El ataque de diccionario más también puede ser efectivo porque muchas personas cambian su contraseña simplemente agregando un dígito al final de su contraseña actual. Esta rutina de contraseña puede caer en un patrón reconocible, en el que los usuarios a menudo confían para ayudarlos a recordar sus contraseñas. Por ejemplo, un usuario con una contraseña «Joseph» podría cambiarla a «Joseph1» para recordarla. Pero este tipo de contraseña no proporcionará una fuerte protección contra un ataque de diccionario sofisticado.

Pero los ataques de diccionario contra un sistema protegido por una palabra que no pertenece al diccionario no funcionan particularmente bien. Un ataque de fuerza bruta es el siguiente paso. Este es el método de ataque más completo de un hacker. Aquí el hacker ingresa muchas combinaciones de letras, números y símbolos. Los ataques de fuerza bruta pueden llevar tiempo: días, semanas o incluso meses, según la complejidad del sistema de contraseñas.

Capture datos y engañe a los usuarios


Además de los ataques frontales, los piratas informáticos pueden utilizar otros métodos para acceder a las redes corporativas. Un ataque de puerta trasera es un ataque en el que un pirata informático obtiene acceso a un punto de acceso a la red corporativa, como un punto de acceso inalámbrico. Luego, el pirata informático puede colocar un analizador de protocolo, mejor conocido como rastreador de red, como Sniffer Pro o Etherpeek, en la red.

La herramienta está diseñada para capturar datos que viajan a lo largo de un segmento de red. En modo promiscuo, la herramienta examina todo, desde los inicios de sesión de los usuarios hasta las transferencias de datos. El pirata informático recopila esta información en un archivo, utiliza una herramienta de piratería popular como LC4 para extraer todas las contraseñas cifradas de Windows que se pasan a través de la red y las convierte en texto sin formato para que sean ID de usuario y contraseñas utilizables.

Aunque se trata de un ataque algo elaborado, la seguridad de las contraseñas también puede verse comprometida de formas más rudimentarias. Dado que las amenazas a menudo se originan en fuentes internas, como empleados descontentos, entrar en un sistema puede ser tan simple como encontrar una nota adhesiva con una contraseña y una identificación de usuario escrita, pegada en una pantalla u oculta debajo de un teclado.

Otra técnica se conoce como «buceo en el basurero». Aquí, un atacante busca en la basura de una empresa documentos abandonados que puedan contener ID de usuario y contraseñas.

Las transacciones de comercio electrónico también simplifican el proceso de búsqueda de contraseñas para aquellos que participan en actividades maliciosas. «En algunos casos, un pirata informático llamará, se hará pasar por un administrador de la mesa de ayuda y le pedirá a alguien su ID y contraseña», señaló Todd Ulrich, director de marketing de productos de Seguridad RSA. Los piratas informáticos también enviarán mensajes de correo electrónico a los usuarios y les pedirán que respondan con su nombre de usuario y contraseña.

La solución a la seguridad es legión

La creación de políticas de contraseñas seguras es la forma más efectiva de mitigar estos ataques. Este proceso comienza requiriendo a los usuarios que creen contraseñas seguras, no solo palabras o frases, y que las cambien periódicamente. Sorprendentemente, sin embargo, estos son pasos que muchas empresas no toman. «En la mayoría de los casos, las empresas no quieren agobiar a sus empleados con contraseñas complejas que cambian con frecuencia, por lo que el sistema de contraseñas es débil», dijo Dan Blum, director de investigación de la consultora Burton Group, en El Diario del Mundo.

Cada vez más, las empresas están adoptando la autenticación de dos factores, en la que los usuarios deben proporcionar una contraseña y algo más antes de obtener acceso a un sistema. Una tarjeta inteligente, como SecurID de RSA Security, es un tipo de sistema de autenticación de dos factores. Usada junto con un servidor central, una tarjeta inteligente funciona como una tarjeta de cajero automático y brinda a los usuarios las credenciales únicas necesarias cada vez que desean acceder a una aplicación.

Las llaves de seguridad son otra opción, y muchos navegadores incluyen software que identifica a un usuario en una aplicación. La biometría es una tercera forma de identificación de dos factores. Aquí, los usuarios ingresan un identificador personal (una huella digital, un escaneo de retina o una muestra de voz) antes de que se les conceda acceso a una red.

“La biometría está ganando terreno porque se basa en algo que el usuario siempre lleva consigo”, dijo Lindstrom de Spire Security a El Diario del Mundo.


Aunque estos sistemas agregan gastos y sobrecarga a las redes corporativas, las empresas los están examinando más de cerca. «Las empresas están comenzando a darse cuenta de que los sistemas de contraseñas son inseguros, por lo que muchas están tomando medidas adicionales para proteger sus datos», dijo Blum de Burton Group a El Diario del Mundo.

———————————————————————————————————————–
Esperamos que te haya gustado el contenido de nuestro Blog El Diario del Mundo, sí fue así, por favor compártelo nos ayudarías mucho para seguir publicando más contenido.

Entradas relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.