¿Cómo consiguió alguien mi contraseña?

¿Alguna vez ha recibido un correo electrónico de 'sextorsión' que le dice que su computadora ha sido pirateada y que le advierte que si no paga, publicarán videos de naturaleza íntima en toda su lista de contactos? ¿El correo electrónico incluía una contraseña antigua suya como "prueba" de que sus afirmaciones eran ciertas? ¿Te preguntaste cómo obtuvieron tu contraseña?

¿Qué es el phishing?

Estadísticamente, probablemente se debió a un correo electrónico de phishing. En 2018, el 93% de todas las infracciones a nivel mundial comenzaron con un ataque de phishing o de pretexto.

Los correos electrónicos de phishing son extremadamente comunes y muy efectivos. Usan emociones como el miedo y la vergüenza (en correos electrónicos de sextorsión o 'anuncios de mejora masculina'), urgencia (¡mi jefe necesita esto ahora!) O codicia (¿gané un auto nuevo?).

También se pueden enviar por mensaje de texto (SMiShing), voz (vishing), correo electrónico (phishing) y phishing en redes sociales.

Cuanto más se adapta la gente, más cambian los piratas informáticos en respuesta: sus tácticas evolucionan constantemente.  

Por lo general, los correos electrónicos de phishing contienen un enlace o un archivo adjunto. Una vez que haga clic en el enlace o abra el archivo adjunto, pueden instalar malware en su dispositivo o engañarlo para que ingrese sus credenciales en un sitio falso (que se parece al sitio real). El malware verificará si puede aprovechar las vulnerabilidades no parcheadas para instalar más malware en su sistema (que luego puede robar contraseñas, instalar registradores de pulsaciones de teclas para registrar todas sus pulsaciones de teclas, ¡y por lo tanto sus contraseñas! - y así sucesivamente).

Una vez que el pirata informático ha robado sus credenciales, puede hacer cosas como exfiltrar sus datos financieros personales o la información de su cuenta, o los de sus clientes si esto sucede en el dispositivo de su empresa.

El phishing merece su propio artículo por completo, así que si está interesado en aprender cómo phishing, consulte este artículo.

¿Cómo puedes evitar que el phishing te afecte?

También es difícil defenderse del phishing. Como individuo, lo mejor que puede hacer es tener cuidado al abrir correos electrónicos: tenga cuidado con los correos electrónicos que juegan con sus emociones, le piden que tome decisiones rápidas o parecen demasiado buenos para ser verdad.

Esté atento a remitentes inusuales (¿reconoce a la persona que le envió el correo electrónico? ¿Es esta la misma dirección de correo electrónico que ha usado antes?), O enlaces o archivos adjuntos inesperados. Si no está seguro de si un correo electrónico es legítimo, confirme que es con el remitente a través de un método de comunicación diferente.

También debe utilizar software antivirus y de protección de endpoints. La versión paga es mejor que la versión gratuita, ya que se actualiza a medida que se identifica nuevo malware. Pero la versión gratuita suele ser mejor que nada. Me gusta Malwarebytes para portátiles.

Los equipos de seguridad utilizarán una gran variedad de herramientas:

  • Mecanismos de filtrado de correo electrónico que intentan reducir el phishing y los correos electrónicos no deseados que llegan a las bandejas de entrada de los usuarios.
  • medidas como SPF, DKIM y DMARC que pueden ayudar a proporcionar autenticación de que un correo electrónico dice la verdad sobre su procedencia,
  • formación de concienciación del usuario,
  • y mecanismos de protección de terminales.

Los mecanismos de protección de endpoints pueden variar desde un simple antivirus hasta agentes instalados en cada dispositivo. Estos intentarán evitar que se ejecute malware conocido, identificar comportamientos inusuales y evitar que se ejecuten procesos maliciosos al alertar al equipo de operaciones de seguridad o forzar el cierre del programa.

De esta manera, incluso si el correo electrónico pasa por los filtros y el usuario no nota nada incorrecto, la protección del endpoint evitará que el malware realmente dañe la máquina.

¿De qué otra manera alguien podría haber obtenido mi contraseña?

A menudo, cuando un pirata informático viola una empresa, venderá los nombres de usuario y las contraseñas que obtuvo en la web oscura.

Surface Web: lo que puede encontrar en Google u otros motores de búsqueda populares. Esto es probablemente la mayor parte de lo que piensa que es Internet. En comparación con la web profunda, esta es una porción muy pequeña de información que está "en línea". Deep Web: información que está en línea, pero que Google y otros navegadores populares no indexan (se pueden buscar). Se trata de información como la que se encuentra en las bases de datos gubernamentales o universitarias. A menudo, esta información se oculta detrás de un muro de pago u otro mecanismo de restricción. Web oscura:La web oscura requiere ciertos navegadores, como un 'navegador TOR' para acceder. Parte de este contenido, aunque no todo, es ilegal. Este es a menudo un lugar donde los delincuentes se reúnen para hablar en foros, vender servicios y bienes ilegales y, a veces, los activistas que viven bajo regímenes represivos se reúnen para comunicarse.

Si estaba reutilizando contraseñas y nombres de usuario entre diferentes sitios web (especialmente porque su correo electrónico probablemente se usa como su nombre de usuario para muchos sitios web), es posible que un hacker ya tenga su nombre de usuario y contraseña.

El pirata informático realizará algo llamado "relleno de credenciales". El relleno de credenciales es cuando un atacante toma estos nombres de usuario y contraseñas y los conecta a un 'verificador de cuentas' automatizado que básicamente prueba la combinación de nombre de usuario / contraseña en muchos, muchos sitios diferentes en Internet, desde inicios de sesión en redes sociales hasta cuentas bancarias. Si la contraseña funciona, el hacker ahora tiene acceso a la cuenta y puede drenar una cuenta, vender los datos, etc.

Para una mejor descripción, consulte el cómic de XKCD a continuación.

¿Cómo se defiende contra el relleno de credenciales?

No reutilice sus contraseñas. Utilice un administrador de contraseñas como 1Password o LastPass. KeePass es (en mi opinión) menos fácil de usar, ¡pero es gratis!

Los administradores de contraseñas pueden almacenar sus contraseñas de forma segura y, a menudo, tienen extensiones de navegador y aplicaciones para que puedan completar automáticamente sus contraseñas en muchas cuentas. Además, solo tiene que recordar una contraseña maestra de esta manera. Pero su contraseña maestra ahora otorga acceso a todas sus otras contraseñas, ¡así que asegúrese de que sea muy fuerte!

También pueden ayudarlo a generar automáticamente contraseñas muy seguras, y algunas incluso tienen bóvedas para que pueda almacenar otra información confidencial (detalles de cuentas bancarias, información de seguros, etc.).

Personalmente, uso 1Password porque me gusta la opción de cuenta familiar: si alguien de su familia se bloquea, alguien más puede restablecer la contraseña de su cuenta (pero no tendrá acceso a su bóveda individual).

También puede configurar alertas gratuitas con Have I Been Pwned. Este sitio agrega información de violaciones de datos y brinda a los consumidores la capacidad de usar esa información para protegerse. Puede navegar a la pestaña 'Notificarme' en la parte superior e ingresar su dirección de correo electrónico.

Después de confirmar la dirección de correo electrónico que ingresó (donde proporcionará su exposición actual), el sitio le enviará un correo electrónico cada vez que su correo electrónico esté involucrado en una violación de datos. Es decir, cualquier violación de la que se advierte el sitio: su cobertura es muy buena, pero ninguna fuente única contendrá todas las filtraciones de datos. De esta manera, puede cambiar la contraseña afectada y no tendrá que preocuparse de que afecte a ninguna de sus otras cuentas.

Si está trabajando en seguridad para una organización grande, el software de administración de contraseñas empresarial (las mismas compañías enumeradas anteriormente brindan estos servicios) es una gran idea, así como políticas de contraseñas seguras (que exigen que sus empleados utilicen contraseñas suficientemente seguras). Have I Been Pwned también tiene un servicio que permite al propietario del dominio monitorear las infracciones que involucran cualquier correo electrónico en el dominio (¡y es gratis!).

¿De qué otra manera obtienen los piratas informáticos contraseñas?

Hay algunas otras posibilidades (navegar por el hombro o básicamente verlo escribir su contraseña), aunque esto es poco probable dado que la persona tiene que estar mirándolo físicamente.

Luego está el robo de contraseñas que se han escrito, o simplemente imágenes de contraseñas escritas que son visibles en las fotos. Nuevamente, esto es mucho menos probable que cualquiera de las opciones anteriores, ya que generalmente proviene de un ataque dirigido (que es inherentemente menos común que los delitos de oportunidad).

Evitar estos dos es bastante simple: no permita que nadie lo vea ingresar su contraseña y no escriba su contraseña. ¡Utilice un administrador de contraseñas en su lugar! Si simplemente tiene que anotarlo, guárdelo en un lugar donde es poco probable que alguien busque o encuentre por accidente. Sugeriría el fondo de una caja de tampones. Mucho más seguro que una nota adhesiva en su monitor.

Parece muy fácil ser pirateado. ¿Debería Preocuparme?

Lo más importante que debe recordar sobre la piratería es que nadie quiere hacer más trabajo del que tiene que hacer. Por ejemplo, irrumpir en su casa para robar su cuaderno de contraseñas es mucho más difícil que enviar correos electrónicos de phishing desde el otro lado del mundo. Si hay una manera más fácil de obtener su contraseña, probablemente sea lo primero que intente un actor infame.

Eso significa que habilitar las mejores prácticas básicas de seguridad cibernética es probablemente la forma más fácil de evitar ser pirateado. De hecho, Microsoft informó recientemente que solo habilitar la autenticación de dos factores terminará bloqueando el 99,9% de los ataques automatizados.  

Entonces, habilite 2FA, use un administrador de contraseñas para generar automáticamente contraseñas largas, complejas y únicas para cada cuenta, ¡y piense antes de hacer clic! Evite hacer clic en enlaces y archivos adjuntos incompletos o inesperados, y manténgase alerta.