En este artículo profundizaremos en las formas en las que se pueden descifrar contraseñas, en los ataques que acaban con el robo de contraseñas, el daño que puede causar una contraseña robada y las medidas de protección para que no ocurra esto.
El hackeo de contraseñas es una de las herramientas a las que los hackers recurren cuando no pueden acceder a una cuenta por otros medios. Descubren cómo lo hacen.
¿Para qué se descifran las contraseñas?
Los hackers descifran contraseñas para obtener acceso a una cuenta, a recursos o información a la que no está autorizado a tocar. Aunque también hay razones legales como el intentar acceder a las contraseñas de un delincuente que no entrega su contraseña o cuando se evalúa la seguridad por medio de técnicas de hacking ético.
¿Qué ocurre si un hacker descifra una contraseña?
Si un hacker descifra tu contraseña podrá tener acceso a lo mismo que tú. Podrá robar información personal, datos de salud, detalles de pago y más. Pueden vender estos datos o usarlos para intensificar el ataque u obtener recompensas financieras.
Las consecuencias dependerán del tipo de cuenta, pero pueden ser:
- Suplantación de identidad
- Publicar información privada
- Intentar infectar a tus contactos con malware
- Transferir dinero a sus propias cuentas.
- Borrar tus archivos
- Cifrar tus archivos y buscar un rescate
- Intentar aumentar los privilegios para obtener acceso a otros recursos.
Alternativas al descifrado de contraseñas
En ocasiones no hay que esforzarse en descifrar una contraseña, descifrar una buena contraseña es un proceso difícil y lento, por lo que a menudo se recurren a otras técnicas, algunas opciones son:
Phishing e ingeniería social
Una de las técnicas más comunes para obtener contraseñas es simplemente engañar a la víctima para que se la entregue, especialmente cuando se trata de personas y organizaciones específicas, como bancos.
Por ejemplo, podrían enviar un correo electrónico de phishing que se vincule a una página de inicio de sesión falsa para el banco del objetivo.
Cuando alguien recibe un mensaje como este, a veces reacciona sin pensar, porque es un tema delicado y se toma como emergencia, su dinero está en juego. Pueden caer directamente en la trampa, ir al sitio web e ingresar la contraseña, enviándosela directamente al atacante.
El phishing y las técnicas de ingeniería social facilitan que los atacantes obtengan las contraseñas que desean. En lugar de probar miles de millones de combinaciones, pueden obtener la contraseña en minutos.
Malware
Otra opción para robar contraseñas es infectar objetivos con malware. Muchas cepas de malware pueden registrar claves, acceder al portapapeles y rastrear paquetes de red, todo lo cual puede enviar contraseñas a un servidor controlado por un atacante. Una vez más, esto puede ser mucho más fácil que la fuerza bruta de una contraseña.
Intercambio de Sim
Cuando una cuenta está protegida por autenticación SMS, es posible que el atacante ni siquiera necesite la contraseña. En su lugar, pueden realizar lo que se conoce como un ataque de intercambio de SIM.
Lo que tienen que hacer es llamar a la compañía telefónica y hacerse pasar por ti. Le dicen al operador que están cambiando las tarjetas SIM le dan datos personales y luego lo convencen para cambiar tu número de teléfono a la nueva SIM.
El atacante obtendrá los mensajes, incluidos los mensajes de autenticación en dos factores. Luego, simplemente pueden solicitar que se restablezca la contraseña de una cuenta, interceptar el código de autenticación y luego cambiar la contraseña por la que deseen.
Cuando la autenticación por SMS está protegiendo una cuenta, puede ser así de fácil para un atacante tomar el control de ella, todo sin necesitar realmente tu contraseña.
Violaciones de datos
Los piratas informáticos a menudo se dirigen a las empresas en un intento de robar datos valiosos de sus servidores. Entre sus objetivos se encuentran las bases de datos de contraseñas, que pueden otorgarles acceso a todas las cuentas de usuario.
Es relativamente raro que las contraseñas se almacenen como texto sin formato, pero si se almacenan, hace que la labor de un hacker sea increíblemente fácil. La mayoría de las veces solo se almacenan los hashes de contraseña, que los piratas informáticos aún tienen que descifrar.
¿Cómo descifran los hackers tus contraseñas?
Si ninguna de las opciones anteriores es adecuada, un atacante puede decidir que la mejor opción es ir con alguna forma de descifrado de contraseñas.
Sin embargo, los detalles de cómo lo hacen, las técnicas que emplean, la probabilidad de éxito y el tiempo que puede tomar dependerán de una amplia gama de factores. Discutiremos cada uno de los diferentes tipos de descifrado de contraseñas en detalle más adelante en este artículo.
Primero, repasemos rápidamente algunas de las variables y cómo pueden influir en las rutas que toman los atacantes. Estas variables incluyen:
Información a la que el hacker ya tiene acceso
Si el atacante tiene nombres de usuario y contraseñas coincidentes en texto sin formato puede ingresar directamente estos detalles de inicio de sesión en el sistema de destino y acceder a las cuentas.
Si tiene los hashes de contraseña para las cuentas a las que intenta atacar puede buscar el hash en una tabla de arco iris o calcular combinaciones de contraseña y hash hasta que encuentren una coincidencia. Si tienen éxito podrán usar la contraseña para iniciar sesión.
En el caso de que tenga una lista de nombres de usuario pero no de contraseñas el hacker tendrá que probar contraseñas comunes contra el sistema en un ataque de difusión de contraseñas.
Cuando tenga nombres de usuario y contraseñas o hash de contraseñas para las cuentas de un proveedor de servicios puede intentar usar esta información contra otros proveedores de servicios en un ataque de relleno de redenciales.
Mecanismos de seguridad que existen
Si un atacante no tiene los hash de la contraseña, tendrá que probar la contraseña contra los controles de seguridad. Estos pueden incluir:
- Restricciones de inicio de sesión: se puede permitir un número limitado de intentos de inicio de sesión antes de que se bloquee la cuenta. Este bloqueo puede ser por un período determinado o hasta que se dé una verificación adicional.
- CAPTCHA: pueden hacer que sea poco práctico para el atacante automatizar sus intentos o ralentizarlos significativamente.
- Autenticación de dos factores: cuando también se implementa la autenticación de dos factores, la contraseña no será suficiente para que el atacante obtenga acceso. También necesitarán el código de una aplicación, SMS o token para iniciar sesión correctamente.
Si estos controles de seguridad están implementados, pueden limitar al atacante a ataques de rociado de contraseñas.
Técnicas de descifrado de contraseñas
Hemos mencionado brevemente las técnicas de descifrado de contraseñas, ahora vamos a darle un resumen algo más completo:
Intentando una contraseña conocida contra un sistema de inicio de sesión
Hay veces que los hackers se encuentran con contraseñas de texto sin formato. Si un atacante encuentra un conjunto de credenciales o incluso una base de datos completa de nombre de usuario y contraseña almacenada en texto sin formato, su trabajo es increíblemente fácil.
Lo que deben hacer es ir a la página de inicio de sesión de la cuenta e intentar iniciar sesión con los detalles que tienen. Si el usuario no ha cambiado su contraseña desde que llegó a manos del hacker y no hay medidas de autenticación adicionales el hacker tendrá acceso directo a la cuenta.
Relleno de credenciales
Si un pirata informático tiene una lista de nombres de usuario y contraseñas en texto sin formato de un solo proveedor de servicios, puede intentar usar esos mismos nombres de usuario y contraseñas en otras cuentas en lo que se conoce como ataques de relleno de credenciales.
Este tipo de ataque se aprovecha del hecho de que las personas suelen utilizar exactamente las mismas contraseñas en varias cuentas. El resultado es que si hay una violación de contraseña en uno de sus proveedores de servicios, el hacker puede usar el relleno de credenciales contra todas las otras cuentas de la persona.
El relleno de credenciales es algo simple. Una vez se tenga el usuario y la contraseña, pongamos que la brecha viene de Twitter. Lo que el hacker va a hacer es probar las mismas combinaciones de nombre de usuario y contraseña en cuentas de correa, RRSS, banco, Google, etc.
Si la combinación de nombre de usuario y contraseña funciona, significa que la persona usó la misma contraseña en varias cuentas. Una vez que el atacante inicia sesión con éxito, tiene el control total de la cuenta y puede hacer cualquier cosa que el usuario pueda hacer.
Descifrar contraseñas con un hash de contraseña
En muchas situaciones, un pirata informático puede tener acceso al hash de la contraseña, pero no a la contraseña. La mejor práctica general es que las bases de datos almacenen las contraseñas de los usuarios como hashes, en lugar de las contraseñas en sí mismas en texto sin formato. Un hash es simplemente el resultado de una función hash, una función unidireccional que es determinista y no es factible revertir.
¿De dónde obtienen los hash de las contraseñas?
Las contraseñas nunca deben almacenarse en texto sin formato, porque hace que la vida de los piratas informáticos sea demasiado fácil y deja a los usuarios increíblemente vulnerables.
Por lo tanto, sabemos que las contraseñas deben almacenarse como hash para que cuando un usuario ingrese su contraseña, aún pueda verificarse con el hash en el sistema. El problema es que los hashes aún deben almacenarse y cualquier cosa que se almacene puede ser robada.
Los piratas informáticos pueden obtener los hashes de contraseña del servidor en el que están almacenados de varias maneras. Estos incluyen a través de empleados descontentos, inyecciones de SQL y una variedad de otros ataques.
Otra fuente de hashes de contraseñas es a través de protocolos de red como WPA2-PSK y NTLM, que envían hashes de contraseñas a través de la red. En muchos casos, los paquetes que contienen estos hash pueden no estar encriptados, por lo que si un atacante está escuchando, puede robar fácilmente el hash de la contraseña.
Opciones si el hacker no tiene el hash
En muchos casos, un pirata informático carecerá de contraseñas de texto sin formato y hash de contraseñas. Sin embargo, todavía hay algunas opciones que pueden seguir:
Crackear contraseñas con fuerza bruta
En el otro extremo del espectro están los ataques de fuerza bruta. Si un atacante no tiene la contraseña o el hash de la contraseña, puede intentar usar la fuerza bruta. Simplemente implican el uso de todas las combinaciones posibles de contraseñas de forma metódica. La esperanza es que eventualmente el atacante encuentre la contraseña correcta, lo que le otorgará acceso a la cuenta.
Ataques de diccionario
Los ataques de fuerza bruta pueden ayudar a encontrar la contraseña, pero consumen mucho tiempo y energía. La mayoría de personas no usan contraseñas completamente aleatorias, excepto las que son creadas por un generador de contraseñas.
En muchos casos, es mucho más rápido lanzar lo que se conoce como ataques de diccionario, que pasan por las contraseñas, palabras y patrones más comunes. Es mucho más probable que se utilicen realmente como contraseñas, por lo que este tipo de ataques será mucho más rentable que un ataque de fuerza bruta.
Sin embargo, en muchos contextos, nos encontramos con el mismo problema que el anterior, con mecanismos de seguridad como límites de intentos de inicio de sesión y CAPTCHA que nos impiden intentar una secuencia casi infinita de combinaciones posibles.
Al igual que con la fuerza bruta, si un atacante ya tiene hashes de contraseña, puede usar ataques de diccionario para intentar encontrar una contraseña coincidente sin conexión. En muchos casos, esto será mucho más rápido que la fuerza bruta de la contraseña y permite a los atacantes eludir cualquier mecanismo de seguridad que pueda haber. Por esta razón, los ataques de diccionario generalmente se intentan antes que obtener una contraseña por fuerza bruta.
Listas de palabras personalizadas
Así como los ataques de diccionario pueden ser a pasos agigantados más eficientes que los ataques de fuerza bruta, agregar listas de palabras personalizadas puede acelerar las cosas al adaptar el ataque a objetivos específicos.
Si conoce el nombre, la dirección, los pasatiempos, el cumpleaños, los detalles familiares y más del objetivo, puede agregar todos estos datos al software e incorporarlos a las combinaciones de contraseña que está intentando. Hay una variedad de herramientas que pueden hacer esto, y un ejemplo es el Perfilador de contraseñas de usuarios comunes (CUPP).
Pulverización de contraseñas
Si un atacante tiene una lista de nombres de usuario pero no tiene hash de contraseñas ni contraseñas de texto sin formato, todavía tiene una opción para intentar descifrar contraseñas.
La pulverización de contraseñas implica intentar descifrar las contraseñas de tantas cuentas únicas como sea posible. No tiene una tasa de efectividad particularmente alta, pero es posible lanzar estos ataques a gran escala, lo que puede compensarlo.
Todo lo que un hacker tiene que hacer es probar las contraseñas más comunes contra tantas cuentas como sea posible. Pueden comenzar con intentos como contraseña1 y 123456, y avanzar lentamente hasta contraseñas más complejas.
Lo genial de la pulverización de contraseñas es que implica intentos relativamente poco frecuentes contra cada cuenta. Si un atacante solo intenta dos intentos y luego espera una semana antes de volver a esa cuenta en particular, es menos probable que active los mecanismos de seguridad que lo bloquearían.
Por supuesto, si un atacante solo estuviera interesado en apuntar a cuentas específicas, esta técnica tardaría demasiado en ser una opción viable. Sin embargo, si están haciendo lo mismo contra decenas o cientos de miles de cuentas a la vez, no pasará mucho tiempo hasta que se encuentren con algunas personas que usan contraseñas terriblemente simples. Es simplemente un juego de números y, con el tiempo, la difusión de contraseñas permite a los atacantes acceder a cuentas que están protegidas con contraseñas deficientes.
