Uno de los objetivos principales de los piratas informáticos cuando realizan algún tipo de ataque es robar las credenciales y contraseñas de los usuarios. Para ello pueden utilizar métodos y estrategias muy diversos. Algunos pueden requerir de la instalación de algún tipo de software malicioso, como puede ser un keylogger. Sin embargo en este artículo vamos a explicar qué métodos usan sin necesidad de ningún malware para robar contraseñas.
Los piratas informáticos usan métodos sin malware para robar claves
Una manera común de robar contraseñas se basa en la instalación de algún troyano o malware que recopile las pulsaciones de teclas. Básicamente lo que hacen es registrar todas las claves que la víctima pone en su dispositivo móvil u ordenador y se envía automáticamente a un servidor controlado por los atacantes.
Es un método tradicional para este tipo de ataques. Podemos sufrir la infección del equipo al descargar algún programa que contiene malware, una actualización falsa, algún archivo malicioso que hemos descargado por un correo electrónico que nos ha llegado…
Podemos decir que para evitar esto siempre tenemos la opción del antivirus. A fin de cuentas su misión es analizar todo tipo de software malicioso y eliminarlo. Incluso puede bloquear automáticamente la descarga de programas que sean un peligro. Ahora bien, los ciberdelincuentes también utilizan métodos para robar contraseñas sin necesidad de malware y esto puede ser un peligro mayor.
Ingeniería social
Sin duda la ingeniería social es un arma muy importante para los piratas informáticos hoy en día. Sin necesidad de crear malware sofisticado, simplemente se basan en intentar ganarse la confianza de la víctima a través de cebos. Pueden hacer creer a un usuario que está poniendo la clave de acceso en un sitio legítimo, cuando en realidad está entregando en bandeja su contraseña.
Ataques Phishing
Aquí podemos incluir el Phishing como una de las técnicas más utilizadas. Puede llegar por SMS o correo electrónico, que son los medios más comunes. La víctima recibe un mensaje donde se indica que debe llevar a cabo alguna acción. Por ejemplo actualizar datos de su cuenta, iniciar sesión para resolver algún problema, cambiar la clave…
El problema es que, como podemos imaginar, se trata de un mensaje falso, con el único objetivo de robar las claves de acceso. La víctima en este caso accede a través de un link y al poner la contraseña la estaría enviando directamente al atacante.
Filtraciones de contraseñas
Otro método para robar contraseña que utilizan los piratas informáticos sin realmente tener que instalar algún software malicioso es a través de claves que han sido filtradas. Pongamos como ejemplo que estamos registrados en una página web, un foro, y ese sitio ha sufrido algún ataque y todas las contraseñas de los usuarios se han filtrado.
Un atacante podría utilizar esa contraseña para probar en otras plataformas. Esto es lo que se conoce como efecto dominó y puede ocurrir cuando tenemos la misma clave en diferentes sitios. De ahí la importancia de siempre crear contraseñas que sean únicas.
Adivinar la clave
Una tercera estrategia con la que podrían robar nuestras contraseñas y acceder de forma ilegítima es a través de la “adivinación”. Básicamente consiste en averiguar cuál es nuestra clave de acceso. Ahora bien, ¿cómo hacen esto? Pueden analizar los perfiles de redes sociales de la víctima para determinar cuál es su fecha de nacimiento, nombre o apellidos. A través de esos datos pueden probar diferentes combinaciones típicas de claves comunes que utilizan los usuarios. Por ello siempre debemos evitar agregar bots a nuestras cuentas, así como utilizar contraseñas que puedan ser sencillas de averiguar.
En definitiva, estos son algunos métodos que podrían utilizar los ciberdelincuentes para robar claves de acceso sin necesidad de instalar ningún malware. Os dejamos algunos consejos para crear contraseñas fuertes.