Página principal » cómo » Cómo los atacantes realmente hackean cuentas en línea y cómo protegerse

    Cómo los atacantes realmente hackean cuentas en línea y cómo protegerse

    La gente habla de que sus cuentas en línea han sido "hackeadas", pero ¿cómo es exactamente que ocurre esta piratería? La realidad es que las cuentas se piratean de manera bastante simple: los atacantes no usan magia negra.

    El conocimiento es poder. Comprender cómo se comprometen realmente las cuentas puede ayudarlo a proteger sus cuentas y evitar que sus contraseñas sean "hackeadas" en primer lugar.

    Reutilizando contraseñas, especialmente filtradas

    Muchas personas, tal vez incluso la mayoría de las personas, reutilizan las contraseñas de diferentes cuentas. Algunas personas pueden incluso usar la misma contraseña para cada cuenta que usan. Esto es extremadamente inseguro. En los últimos años, muchos sitios web, incluso los grandes y conocidos como LinkedIn y eHarmony, han tenido filtradas sus bases de datos de contraseñas. Las bases de datos de contraseñas filtradas junto con los nombres de usuario y las direcciones de correo electrónico son fácilmente accesibles en línea. Los atacantes pueden probar estas combinaciones de dirección de correo electrónico, nombre de usuario y contraseñas en otros sitios web y obtener acceso a muchas cuentas.

    Reutilizar una contraseña para su cuenta de correo electrónico lo pone aún más en riesgo, ya que su cuenta de correo electrónico podría usarse para restablecer todas sus otras contraseñas si un atacante tuviera acceso a ella..

    Por muy bueno que sea para proteger sus contraseñas, no puede controlar qué tan bien los servicios que usa protegen sus contraseñas. Si reutiliza las contraseñas y una empresa falla, todas sus cuentas estarán en riesgo. Debe usar diferentes contraseñas en todas partes: un administrador de contraseñas puede ayudarlo con esto.

    Keyloggers

    Los keyloggers son piezas maliciosas de software que pueden ejecutarse en segundo plano, registrando cada golpe de tecla que realice. A menudo se utilizan para capturar datos confidenciales como números de tarjetas de crédito, contraseñas bancarias en línea y otras credenciales de cuenta. Luego envían estos datos a un atacante a través de Internet..

    Este tipo de malware puede llegar a través de exploits, por ejemplo, si está utilizando una versión desactualizada de Java, como la mayoría de las computadoras en Internet, puede verse comprometido a través de un applet de Java en una página web. Sin embargo, también pueden llegar disfrazados en otro software. Por ejemplo, puede descargar una herramienta de terceros para un juego en línea. La herramienta puede ser maliciosa, capturando la contraseña del juego y enviándola al atacante a través de Internet.

    Use un programa antivirus decente, mantenga su software actualizado y evite descargar software no confiable.

    Ingeniería social

    Los atacantes también suelen utilizar trucos de ingeniería social para acceder a sus cuentas. El phishing es una forma comúnmente conocida de ingeniería social: esencialmente, el atacante se hace pasar por otra persona y le pide su contraseña. Algunos usuarios entregan sus contraseñas fácilmente. Aquí hay algunos ejemplos de ingeniería social:

    • Recibe un correo electrónico que dice ser de su banco, lo dirige a un sitio web de un banco falso y le solicita que ingrese su contraseña.
    • Recibe un mensaje en Facebook o en cualquier otro sitio web social de un usuario que dice ser una cuenta oficial de Facebook y le pide que envíe su contraseña para autenticarse..
    • Visita un sitio web que promete darle algo valioso, como juegos gratuitos en Steam u oro gratis en World of Warcraft. Para obtener esta recompensa falsa, el sitio web requiere su nombre de usuario y contraseña para el servicio.

    Tenga cuidado con a quién le da su contraseña: no haga clic en los enlaces de los correos electrónicos y vaya al sitio web de su banco, no le de su contraseña a nadie que se ponga en contacto con usted y la solicite, y no le dé credenciales de su cuenta a personas poco confiables sitios web, especialmente los que parecen demasiado buenos para ser verdad.

    Respondiendo preguntas de seguridad

    Las contraseñas a menudo se pueden restablecer respondiendo a las preguntas de seguridad. Las preguntas de seguridad generalmente son increíblemente débiles: a menudo cosas como "¿Dónde naciste?", "¿A qué escuela secundaria asististe?" Y "¿Cuál era el apellido de soltera de tu madre?". A menudo es muy fácil encontrar esta información en sitios de redes sociales accesibles al público, y la mayoría de las personas normales le dirían a qué escuela secundaria asistieron si se les preguntara. Con esta información fácil de obtener, los atacantes a menudo pueden restablecer las contraseñas y obtener acceso a las cuentas.

    Idealmente, debería usar preguntas de seguridad con respuestas que no sean fáciles de descubrir o adivinar. Los sitios web también deben evitar que las personas accedan a una cuenta solo porque conocen las respuestas a algunas preguntas de seguridad, y algunas sí, pero otras todavía no..

    Cuenta de correo electrónico y restablecimientos de contraseña

    Si un atacante usa alguno de los métodos anteriores para obtener acceso a sus cuentas de correo electrónico, tiene más problemas. Su cuenta de correo electrónico generalmente funciona como su cuenta principal en línea. Todas las demás cuentas que use están vinculadas a ella, y cualquier persona con acceso a la cuenta de correo electrónico podría usarla para restablecer sus contraseñas en cualquier número de sitios en los que se haya registrado con la dirección de correo electrónico..

    Por este motivo, debe proteger su cuenta de correo electrónico tanto como sea posible. Es especialmente importante usar una contraseña única y guardarla con cuidado.

    ¿Qué contraseña no es "hackear"?

    La mayoría de la gente probablemente imagina que los atacantes intentan cada contraseña posible para iniciar sesión en su cuenta en línea. Esto no está sucediendo. Si intentas iniciar sesión en la cuenta en línea de alguien y continúas adivinando contraseñas, te ralentizarás y evitarás probar más de un puñado de contraseñas.

    Si un atacante era capaz de ingresar a una cuenta en línea simplemente adivinando contraseñas, es probable que la contraseña sea algo obvio que se pueda adivinar en los primeros intentos, como la "contraseña" o el nombre de la mascota de la persona..

    Los atacantes solo podrían usar tales métodos de fuerza bruta si tuvieran acceso local a sus datos; por ejemplo, digamos que estaba almacenando un archivo cifrado en su cuenta de Dropbox y los atacantes obtuvieron acceso a él y descargaron el archivo cifrado. Luego podrían intentar forzar la encriptación, esencialmente intentando cada combinación de contraseña hasta que una funcione..


    Las personas que dicen que sus cuentas han sido "hackeadas" son probablemente culpables de reutilizar contraseñas, instalar un registrador de claves o entregar sus credenciales a un atacante después de trucos de ingeniería social. También pueden haber sido comprometidos como resultado de preguntas de seguridad fáciles de adivinar.

    Si toma las precauciones de seguridad adecuadas, no será fácil "hackear" sus cuentas. El uso de la autenticación de dos factores también puede ayudar: un atacante necesitará algo más que su contraseña para ingresar.

    Crédito de la imagen: Robbert van der Steeg en Flickr, asenat en Flickr