La mayoría de los usuarios conocen los buenos hábitos de seguridad en Internet. Sin embargo, muchas veces no los aplican en toda su extensión, con lo que quedan expuestos a los ataques de diccionario.
A pesar de saber que deben proteger sus cuentas en línea, muchas personas no siguen recomendaciones sencillas como crear contraseñas seguras.
De hecho, un estudio de Google reveló que aproximadamente el 65% de los usuarios reutilizan contraseñas en varias cuentas. Por su parte, el 59% utiliza en sus contraseñas datos personales fáciles de adivinar o descubrir, como nombres de mascotas y fechas de nacimiento.
Además, la gente suele utilizar contraseñas simples y obvias que son muy fáciles de descifrar. Los estudios demostraron que ejecuciones de teclado como «123456» y «qwerty», y frases como «Contraseña», «teamo» y «Bienvenido» se encuentran entre las más utilizadas y aparecen con regularidad en filtraciones de datos.
Por supuesto, lo anterior implica que estos ataques son muy frecuentes y tienen mucho éxito simplemente porque los usuarios no se toman en serio la prevención de los ataques de diccionario.
Ataques de diccionario: una definición
Dicho de la forma más sencilla, un ataque de diccionario es un tipo de ataque de fuerza bruta en el que los hackers intentan adivinar la contraseña de la cuenta en línea de un usuario a través de una lista de palabras, frases y combinaciones numéricas de uso frecuente.
Cuando un ataque de diccionario consigue descifrar una contraseña, los hackers pueden utilizarla para acceder a cuentas bancarias, perfiles de redes sociales e incluso archivos protegidos por contraseña. Es entonces cuando puede convertirse en un verdadero problema para la víctima del atacante.
Escanee los rincones de sus activos web que otras herramientas pasan por alto, con rastreo avanzado y nuestro enfoque de escaneo interactivo + dinámico (IAST + DAST) combinado.
Conocer..
¿Cómo funciona un ataque de diccionario?
Este tipo de piratería utiliza un enfoque sistémico para descifrar contraseñas. Básicamente, hay tres pasos para llevar a cabo estos ataques con éxito, y entenderlos resulta útil para aprender a evitarlos.
1. Por lo general, el atacante crea una lista predefinida de posibles contraseñas un diccionario de fuerza bruta con combinaciones de palabras y números populares.
2. Luego, un software automatizado utiliza este diccionario de fuerza bruta para intentar piratear las cuentas en línea.
3. Una vez que un pirata informático logra infiltrarse en una cuenta vulnerable, utiliza los datos confidenciales almacenados en el perfil para sus propios fines. La finalidad puede ser cometer fraude, realizar acciones maliciosas o simplemente acceder a cuentas para obtener beneficios económicos.
Para compilar la lista de posibles contraseñas, el atacante suele utilizar, por ejemplo, nombres habituales de mascotas, personajes reconocibles de la cultura popular o equipos deportivos y atletas famosos. Esto se debe a que muchas personas utilizan este tipo de palabras para crear contraseñas que tengan un significado para ellos y que puedan recordar fácilmente.
Por lo general, en la lista se incluyen variaciones de las mismas contraseñas, como distintas combinaciones de palabras o la adición de caracteres especiales.
La ejecución de esta lista con herramientas automatizadas también contribuye a la eficacia de los ataques de diccionario. El uso conjunto de una lista de contraseñas y una herramienta automatizada hace que sea mucho más rápido intentar descifrar una contraseña y piratear una cuenta en línea.
Si esto se hiciera manualmente, el ataque llevaría demasiado tiempo y daría al propietario de la cuenta o al administrador del sistema tiempo para darse cuenta e implementar una defensa contra el ataque.
Por la forma en que funcionan, estos ataques de diccionario no suelen tener un objetivo individual. En su lugar, se llevan a cabo con la esperanza de que una de las contraseñas de la lista sea la correcta.
Sin embargo, si el atacante tiene como objetivo un lugar u organización en particular, creará una lista de palabras más específica y localizada.
Por ejemplo, si tiene previsto llevar a cabo el ataque en España, es posible que utilice palabras de uso habitual en español en lugar de inglés. O, si apunta a una organización concreta, tal vez utilice palabras asociadas a esa empresa.
