¿Son las contraseña s suficiente s
para proteger nuestra informació n?
Números, letras,
símbolos y nada que tenga que ver con fechas de nacimiento, cédula de identidad
o nombres de mamá, papá o la pareja son las recomendaciones que escuchamos
constantemente cuando vamos a crear una contraseña, sea en nuestro teléfono
móvil, banca online o redes sociales. Pero seguramente en algún momento se ha
preguntado: ¿Esto realmente es necesario?, ¿de verdad me está protegiendo?, ¿con
esto voy a evitar que me roben información?, ¿que realicen alguna transacción
bancaria?.
Camilo Gutiérrez Amaya, Especialista de Awareness & Research de ESET Latinoamérica, (compañía líder
en detección proactiva de amenazas), asegura que la respuesta es afirmativa,
pero no es la única medida de seguridad que se debe tener en cuenta para
proteger nuestra información. “Las contraseñas son nuestras llaves de
acceso a una cantidad de dispositivos y servicios que nos
protegen -en parte- de ataques generados por ciberdelincuentes, si las usamos
correctamente. De hecho al emplearlas estamos colocando una primera barrera,
pero como en todos los actos delictivos, esta barrera puede ser violentada y
acceder a lo deseado”.
Esta información Gutiérrez Amaya la dio a conocer en el evento ESET Security Day 2013, celebrado en el mes de junio en un
importante hotel capitalino, donde se dieron citas diversos expertos en el área
de seguridad de la información. Durante su ponencia explicó que existen cuatro
tipos de ataques principales con los cuales pueden ser vulneradas contraseñas: “la
fuerza bruta, malware, phishing y ataques a servidores”.
Los ataques de
fuerza bruta -también conocidos como ataques de diccionario- buscan aprovechar la simplicidad de las claves
secretas al momento de crearlas. Si son contraseñas muy predecibles, o fáciles
de adivinar, los ciberdelincuentes las determinan probando combinaciones y, cuando
lo han logrado, obtienen toda la información que desean.
“Por ejemplo,
contraseñas como el nombre de la persona más 12345 o una secuencia de número 9,
8, 7, 6, 5 son la carnada perfecta para los ciberdelincuentes. Un caso reciente
muy famoso fue el de la cuenta oficial de Twitter de Burger King. Aparentemente
descubrieron que la contraseña utilizada era ´whopper` (nombre del producto estrella de la
cadena) y, al vulnerarla, hicieron publicidad del principal competidor de la
marca: Mc Donalds”, asegura.
Los segundos
ataques son generados a través de malware o códigos maliciosos, que pueden estar desarrollados para hacer daño, robar información e,
incluso, hasta datos bancarios. Hay diferentes códigos maliciosos, uno de ellos son
los de tipo Keylogger,
que registra todo lo que el usuario va tecleando en su dispositivo, lo almacena
en un archivo y es enviado al ciberdelincuente.
Otro ejemplo de un código malicioso que
tuvo mucha repercusión en 15 países de Latinoamérica a finales de 2011 y
durante el 2012 fue el caso Dorkbot.
Es un gusano informático que convierte el dispositivo infectado en parte de una
botnet y que una vez que infectaba las computadoras de las víctimas, robaba las
contraseñas directamente del sistema y permitía
el acceso a la información almacenada en las mismas.
“Dorkbot afectó a más de 80 mil equipos
en la región. Su modus operandi era a través de redes sociales o email, donde
enviaba links para la descarga de algún video y cuando el usuario hacía click
se infectaba la computadora. De esta manera, la información quedaba a
disposición del delincuente, incluyendo el nombre de usuario y claves, entre
otros”,
explica el Especialista en Awareness
& Research de ESET Latinoamérica.
La tercera forma de ataque es llamada phishing.
Ocurre mediante correos electrónicos que llegan a muchas personas y dicen ser
de una entidad conocida de confianza (normalmente bancarias, compañías de
telefonía celular o empresas comerciales). A través de ese correo falso le
dicen que hay algún problema de seguridad y que haga click en un link que lo llevará a una página
supuestamente de la empresa, donde podrá resolver el problema. Cuando se enlaza
con el hipervínculo se llega a una página falsa que es controlada por el
ciberdelincuente. Es decir, toda la información que registre el usuario en ese
momento estará disponible para esa persona.
Gutiérrez explica que independientemente
de la seguridad que los usuarios tengan de manera personal, ellos almacenan su
información cuando se registran a un servicio, aquí también se pueden generar
ataques. “Si las empresas que prestan ese tipo de servicio no cuidan de forma
adecuada esa información, corren riesgo de que se vean vulnerable, porque si un
ciberdelincuente entra a ese servidor puede bajar la base de datos y obtener
los nombres de los usuarios, esto es lo que conocemos como ataques a servidores.
Incluso pueden utilizar las GPU (unidades de procesamiento gráfico) de los
computadores que tienen una capacidad en paralelo bastante alta para descifrar
las claves que estén encriptadas. A través de ellas han logrado descifrar
claves de seis caracteres en cinco segundos. Incluso en diciembre de 2012, en
Oslo se detectaron contraseñas de ocho caracteres en menos de seis horas”.
El especialista afirma que para poder
combatir y evitar ser víctima de cualquiera de estos ataques es necesario tomar
medidas más allá de las contraseñas. Se necesitan implementar soluciones de seguridad e incluso dependiendo
del servicio utilizar un segundo factor de autenticación; esta puede ser
la combinación entre algo que el usuario sabe (como una contraseña) y algo que
este posee (como una credencial especial enviada al dispositivo). De esta
manera será posible mitigar considerablemente los ataques informáticos.
No hay comentarios:
Publicar un comentario