Artillería pesada: phishing y keyloggers

Otros métodos para averiguar las contraseñas de las cuentas de Internet son el phishing y los keyloggers. Estos son ataques más elaborados en los que el delincuente engaña a la persona con páginas web falsas para que introduzca sus datos de forma voluntaria (phishing) o en los que envía al computador de la víctima un programa maligno (el keylogger) mediante el cual se sustrae información.

Un ejemplo común de phishing son los famosos mensajes de correo electrónico en los que supuestamente su banco le pide que actualice datos como el nombre de usuario y la contraseña. En el correo llega un enlace que en apariencia lo lleva a la página de su banco, pero que en realidad conduce a un sitio web falso creado por el delincuente.

Aunque esta técnica pareciera ser trillada, todavía hay gente que cae. Y no solamente se usa para suplantar las páginas de entidades financieras; también se emplea para averiguar contraseñas de redes sociales. Según John Galindo, de la empresa Digiware, basta con que usted le envíe a una persona algo que despierte su interés –como una invitación a probar una red social nueva– para que ella dé clic en el enlace.

De hecho, hicimos una búsqueda en Google y en segundos pudimos encontrar tutoriales en los que se enseña cómo falsificar el correo de Facebook en el cual se indica que alguien quiere ser amigo suyo; cuando la persona da clic en el enlace y trata de ingresar a Facebook, en realidad está introduciendo los datos de su cuenta en una página falsa muy parecida a la de esa red social.

Andrés Guzmán explica que “otra técnica es tomar el control del enrutador de la red inalámbrica de la víctima, el cual muchas personas dejan abierto (sin contraseña). Si yo controlo el enrutador, lo puedo configurar para que cuando alguien quiera ir al sitio web de su banco no llegue allá, sino a la página falsa de un banco que yo he creado”.

Por su parte, los keyloggers son programas que, una vez penetran en su computador, graban todo lo que usted escribe en el teclado. Este software se puede introducir en el PC de la víctima mediante un archivo adjunto de correo electrónico. También se puede enviar al computador de la persona directamente, aprovechando vulnerabilidades de su sistema.

Según Andrés Guzmán, “uno puede conocer datos como qué sistema operativo tiene un usuario o cuál es su dirección IP a través de las huellas que deja su navegador en la Red; así, un hacker puede hacer un escaneo por Internet para ver si esa persona tiene puertos abiertos y de esa manera tratar de introducir el keylogger directamente”.

Una vez el keylogger está en el computador del usuario, todos los datos que él escribe se le envían al hacker por Internet. John Galindo afirma que los keyloggers modernos ya no entregan una montaña de información en desorden, sino que le pueden decir al hacker que la persona entró a cierta página web y escribió tal o cual texto. Incluso, se pueden programar para que le envíen al atacante un correo cada vez que la víctima visita cierto sitio web (por ejemplo, el de Hotmail o el de un banco).

¿Cuál es la defensa ante los keyloggers? Un buen antivirus pagado. Andrés Guzmán resalta que la gente instala antivirus gratuitos y piensa erróneamente que así está protegida. “Eso es un ataque contra uno mismo. Lo que uno debe hacer es comprar un buen antivirus y pagar la actualización cada año; y no sólo para el PC, sino también para el celular y para el tablet”, dice.

Ataques con password crackers

Los password crackers, programas que prueban millones de contraseñas cada segundo, son otra importante arma de los hackers. Hay muchas herramientas de este tipo y algunas se consiguen fácilmente en Internet; entre las más conocidas están Cain and Abel, Hydra y John the Ripper.

Los delincuentes generalmente no tratan de averiguar las contraseñas de servicios web mediante ataques en línea basados en password crackers, ya que sitios como Hotmail o Gmail tienen una protección: se bloquean después de varios intentos fallidos. Sin embargo, es clave tener contraseñas muy fuertes para estos servicios; no solo para evitar ataques basados en ingeniería social, sino porque un hacker muy paciente podría usar una herramienta automatizada que visite un sitio cada 24 horas, pruebe unas pocas contraseñas y luego repita el proceso al día siguiente (se puede configurar el software para que los passwords que se intenten se basen en su información personal). No es habitual, pero podría pasar.

Otro método es tomar combinaciones de nombres de usuario y contraseñas comunes (las personas suelen crear passwords muy parecidos, como se explica en el recuadro ‘Contraseñas que miles de personas comparten’) para probarlas en cientos de servicios web con una herramienta automatizada. Como las contraseñas son tan predecibles, esta técnica, que parecería dispersa y desenfocada, suele tener un buen porcentaje de resultados exitosos.

Igualmente, se deben crear contraseñas muy fuertes para los documentos de Office que se encriptan en el PC, para los enrutadores de las redes Wi-Fi de la casa y la oficina, para acceder a Windows, para entrar a la red de la empresa y para los programas de encriptación que uno use en el PC, entre otros. Si alguien se adueña por ejemplo de sus documentos codificados (cuando le roban un portátil o una memoria USB), su única defensa ante un password cracker será que su contraseña sea fuerte y larga. Sin embargo, esto no es lo habitual; la gente suele crear claves muy débiles y predecibles, que son fáciles de romper.

Bajamos la versión de prueba de un password cracker comercial (Passware) y la enfrentamos a contraseñas de documentos de Word 2010. Al software le tomó entre 4 y 15 segundos averiguar claves de cinco caracteres basadas solo en palabras reales; las de seis y siete caracteres cayeron antes de 30 segundos (todas las palabras estaban en minúsculas). Eso le da una idea de lo fácil que es violar un password débil. Sin embargo, cuando se crean contraseñas más largas, sin palabras reales y con caracteres especiales, estos programas reducen su efectividad.

¿Cuántos caracteres debe incluir una contraseña para que se considere sólida? Eso depende de la importancia que tenga para usted lo que está protegiendo. Yo uso contraseñas de 30 a 35 caracteres en documentos muy importantes de Office o en programas de encriptación como Steganos, y empleo claves cercanas a 20 caracteres para entrar a Windows y a las cuentas de Internet (no todos los servicios en línea permiten crearlas de esa longitud). Todas ellas son irreconocibles y las cambio de forma regular. Sin embargo, si usted no es tan quisquilloso, hágale caso a los expertos que recomiendan usar contraseñas de entre 10 y 15 caracteres.

Parecen demasiado largas, pero está en un error si cree que eso es un acto de paranoia. A medida que aumenta la potencia de los computadores, también crece la capacidad de los passwords crackers para derribar contraseñas. Así que olvídese de los expertos en seguridad que todavía le dicen que una clave de 8 o 9 caracteres es segura. Ya no lo es (ver recuadro ‘3.334 millones de passwords por segundo’).

Busque buen tamaño y variedad

Crear contraseñas fuertes y largas es una tarea a la que debe dedicar tiempo. No se trata de que escoja una contraseña para salir del paso, sino de que se tome el tiempo para construirla.

Hay muchos artículos que ofrecen recomendaciones sobre cómo crear contraseñas. En esencia, lo que le dicen es que no se deben utilizar palabras que se encuentren en un diccionario, ni nombres propios (y menos si están asociados con su entorno). Además, debe emplear números pero no escribirlos en series (123456), tiene que incluir caracteres especiales (como signos de puntuación o símbolos) y debe usar mayúsculas y minúsculas.

La razón para hacer esto es que con cada juego adicional de caracteres que use en su contraseña usted está obligando al hacker a incluir un parámetro más en el software que utiliza para romper su password; eso aumenta el tiempo que le toma averiguar su clave.

El libro Perfect Passwords explica este punto mediante un ejemplo. Un candado de los que utilizan clave suele tener tres ruedas selectoras y cada una de ellas permite escoger los números del cero al nueve. Eso da un total de 1.000 posibles combinaciones, que no es mucho. Si se construyera un candado que en lugar de utilizar sólo números también incluyera las letras de la A a la Z en cada una de las tres ruedas, el número de posibles combinaciones aumentaría a casi 50 mil.

Con las contraseñas pasa algo similar. Si usted sólo usa letras minúsculas, y encima las emplea para crear palabras que existen en un diccionario, les está facilitando la labor a los delincuentes porque un password cracker puede obtener resultados en unos pocos segundos. En cambio, si emplea símbolos, mayúsculas y números (es como aumentar el número de opciones en las ruedas selectoras de un candado), y además genera contraseñas muy largas (eso equivale a no tener solo tres ruedas en el candado, sino muchas más), está disparando el tiempo y el trabajo que les toma.

Cuando un hacker se adueña de una base de datos de contraseñas o de un documento encriptado, es posible que primero intente un ‘ataque de diccionario’ con el password cracker. En este tipo de procedimiento el software trata de adivinar la clave probando con todas las palabras que se encuentran en los diccionarios de varios idiomas. Además, los programas modernos permiten incluir variaciones ligeras de las palabras (por ejemplo, con números al comienzo o al final) y también se valen de listados de las contraseñas más comunes. Los ataques de diccionario toman poco tiempo y, como mucha gente utiliza los mismos passwords, se obtienen buenos resultados.

Si esa técnica no es exitosa, el hacker intentará un ‘ataque de fuerza bruta’; en esta modalidad, el software trata de generar todas las combinaciones posibles de contraseñas con el tipo de caracteres que se escogen para el intento. Para reducir el tiempo que le toma al programa producir resultados, los hackers primero probarán con letras y números; no solo es más rápido, sino que la mayoría de las contraseñas únicamente incluye esos dos elementos.

Sólo si se trata de un trabajo más elaborado y se dispone de mucho tiempo, se incluirán en los parámetros del software los ataques de fuerza bruta con símbolos y caracteres especiales. Los resultados tardarán mucho más; de hecho, si su contraseña es suficientemente larga y compleja, el password cracker pasará de entregar resultados en horas o días a ofrecerlos en meses o años. De ahí la importancia de incluir esos elementos en las contraseñas.

Fuente: Enter.co