Una mirada exhaustiva a los ataques de contraseñas y cómo detenerlos

¿Qué es un ataque de contraseña?

En términos simples, una definición de ataque de contraseña abarca varios métodos que los actores maliciosos intentan para vulnerar un sistema o cuenta comprometiendo las credenciales de usuario. Estas intrusiones a menudo se dirigen a debilidades en los sistemas de autenticación o aprovechan contraseñas fácilmente predecibles o comúnmente utilizadas.

Como Gartner señala, “los usuarios no autorizados despliegan software u otras técnicas de hacking para identificar contraseñas comunes y reutilizadas que pueden explotar para obtener acceso a sistemas confidenciales, datos o activos.” Norton define un ataque de contraseña como “un método de ciberataque donde un atacante intenta obtener acceso no autorizado a un sistema al descifrar o adivinar la contraseña de una cuenta de usuario”

Por qué los ataques de contraseñas son una amenaza creciente

Los datos de Microsoft Entra muestran que los intentos de ataques de contraseña han aumentado a 4,000 por segundo en promedio. Las contraseñas a menudo sirven como la única línea de defensa que protege cuentas críticas en línea y cuentas comprometidas. El compromiso de esta única línea de defensa puede llevar a ganancias financieras significativas, robo de identidad o acceso a información sensible. Además del atractivo del premio, los ataques de contraseña continúan aumentando en frecuencia por otras razones también:

• La gran cantidad de servicios en línea que requieren contraseñas
• La gente sigue reutilizando contraseñas en múltiples cuentas.
• La proliferación de herramientas para crackear contraseñas y el creciente volumen de bases de datos de credenciales filtradas en la web oscura han reducido la barrera de entrada para los atacantes novatos
• Los ciberdelincuentes experimentados están utilizando herramientas avanzadas y técnicas potenciadas por IA para el cracking de contraseñas y el phishing

Comprender las vulnerabilidades de las contraseñas

Debilidades comunes en la seguridad de contraseñas

A pesar de los esfuerzos en educación sobre contraseñas, la verdad es que el elemento humano sigue siendo un punto débil significativo en la seguridad de las contraseñas. Demasiados usuarios continúan utilizando contraseñas fácilmente adivinables o reutilizando la misma contraseña en múltiples cuentas. Al mismo tiempo, todavía hay organizaciones que no aplican políticas de contraseñas fuertes o permiten contraseñas predeterminadas o comunes en dispositivos. Por ejemplo, sistemas sin políticas de bloqueo adecuadas o limitación de intentos de inicio de sesión son vulnerables a ataques de adivinación automatizados. Las debilidades adicionales incluyen procedimientos inseguros de restablecimiento de contraseña que dependen de preguntas de seguridad fácilmente adivinables, así como la ausencia de autenticación multifactor para mejorar la seguridad de las contraseñas.

Contenido relacionado seleccionado:

• Cómo prevenir ataques cibernéticos: Estrategias y mejores prácticas

Cómo los hackers explotan las contraseñas débiles

El concepto detrás de un ataque de contraseña es sencillo. Con suficiente tiempo, un atacante puede simplemente intentar todas las combinaciones de contraseñas hasta encontrar una correcta. Cuanto más simple sea la contraseña, más rápido se puede completar este proceso. A veces, puede ser tan sencillo como adivinar un conjunto de contraseñas comúnmente utilizadas para apuntar a las más accesibles. Algunas de las metodologías de ataque populares utilizadas por los atacantes hoy en día incluyen ataques de fuerza bruta, relleno de credenciales y rociado de contraseñas.

Mientras que algunos usuarios pueden pensar que están siendo “astutos” al sustituir números o caracteres por letras como “p@ssW0rd” mientras aleatorizan mayúsculas y minúsculas, esta práctica es bien conocida por los hackers. Los hackers no siempre tienen que adivinar las contraseñas tampoco. Pueden comprar o intercambiar bases de datos de contraseñas en la web oscura o instalar malware de registro de teclas en la computadora de una víctima para registrar las pulsaciones y capturar sus entradas de contraseña. Una de estas fuentes, llamada rockyou.txt, se utiliza en kits de herramientas de hacking y contiene alrededor de 13 millones de variaciones de contraseñas, incluyendo el ejemplo anterior.

Estadísticas sobre brechas relacionadas con contraseñas

Un proveedor líder de soluciones de gestión de contraseñas informa que el empleado promedio ingresa una contraseña para autenticación en sitios web y aplicaciones 154 veces al mes. Con tal dependencia de las contraseñas, uno pensaría que la seguridad de las mismas sería más robusta. Desafortunadamente, las estadísticas muestran una imagen diferente.

• En 2022, hubo 24+ Billion Credentials circulando en la Dark Web. Las contraseñas débiles pueden señalarse como la razón de casi el 81% de las violaciones de datos de las empresas.
• El 41% de las personas han admitido reutilizar contraseñas en múltiples cuentas.
• Las empresas pierden $480 en productividad por empleado al año debido al tiempo dedicado a resolver problemas de contraseñas
• Un 65% más de contraseñas fueron comprometidas en 2022 en comparación con 2020

Quizás la estadística más alarmante sea esta. A pesar de todos los riesgos conocidos de las vulnerabilidades de contraseñas, la contraseña más popular en 2023 fue “123456”.

Tipos de ataques de contraseñas

Comprender los tipos de ataques de contraseña es esencial para construir defensas efectivas, ya que cada tipo requiere estrategias de prevención únicas.

Ataque de fuerza bruta

Un ataque de fuerza bruta explota contraseñas débiles utilizando herramientas automatizadas. Aquí, un atacante intenta sistemáticamente todas las combinaciones de contraseñas posibles hasta encontrar la correcta. Esto se logra utilizando herramientas automatizadas. Los pasos de prevención son igual de directos para este ataque.

• Utilice contraseñas fuertes y complejas que sean difíciles de adivinar y únicas para cada cuenta.
• Aplique políticas de bloqueo de cuenta que se activan después de un número especificado de intentos fallidos de inicio de sesión.
• Implemente la autenticación multifactor (MFA) para una verificación adicional
• Bloquee direcciones IP que muestren actividad sospechosa de inicio de sesión

Ataque de diccionario

A diferencia del ataque de fuerza bruta que intentará todas las combinaciones de contraseñas posibles, un ataque de diccionario utiliza una lista predefinida de palabras comunes, frases o combinaciones de caracteres que figuran en un diccionario o lista de palabras. Los ataques de diccionario son más eficientes, consumen menos recursos computacionales y pueden personalizarse

Puede prevenir estos ataques utilizando medidas tales como:

• Usar una contraseña de al menos 12 caracteres de longitud que utilice una combinación de letras mayúsculas y minúsculas, números y símbolos
• Vigile los intentos fallidos de inicio de sesión o patrones de acceso inusuales y configure alertas para cuentas potencialmente comprometidas
• Integre una solución MFA para requerir una forma adicional de verificación
• Bloquee cuentas después de un cierto número de intentos fallidos de inicio de sesión para ralentizar los intentos repetidos
• Si no está seguro de si una contraseña actualmente en uso ya está listada en diccionarios, compruébela con servicios de confianza y reputados como https://haveibeenpwned.com/Passwords

Ataques de Phishing

El phishing sigue siendo uno de los principales mecanismos de entrega para muchos tipos de ciberataques, incluidos los ataques de contraseña. Estos incluyen:

• Phishing por correo electrónico: Los atacantes envían correos electrónicos engañosos haciéndose pasar por organizaciones legítimas para convencer a los usuarios de hacer clic en un enlace incrustado que lleva a una página de inicio de sesión falsa para capturar las contraseñas ingresadas o adjuntos que contienen malware para robar contraseñas almacenadas.
• SMS phishing: Estos son mensajes de texto fraudulentos enviados a dispositivos móviles que pretenden ser de instituciones financieras u otras entidades de confianza. El mensaje generalmente incluye una URL acortada que lleva a un sitio web de phishing.
• Phishing basado en voz o Vishing: Los atacantes utilizan llamadas telefónicas para manipular a las víctimas y obtener contraseñas haciéndose pasar por soporte técnico, representantes bancarios o funcionarios gubernamentales.

Afortunadamente, hay algunas maneras de reconocer ataques de phishing:

• Lea todos los mensajes con atención y busque pequeñas faltas de ortografía o adiciones en nombres de empresas legítimas. Desconfíe de saludos genéricos como “Estimado Cliente” en lugar de su nombre.
• Tenga cuidado con las solicitudes de información sensible, ya que las empresas legítimas rara vez, si es que lo hacen, utilizan el correo electrónico o mensajes de texto para pedir contraseñas, números de cuenta o números de identificación personal.
• Desconfía de los mensajes que crean un sentido de urgencia o pintan consecuencias graves si no respondes rápidamente.
• No abras adjuntos que no esperabas, incluso si parecen provenir de una fuente conocida.

Ataque de keylogger

Si un atacante no quiere tomarse el tiempo para adivinar su contraseña, puede instalar un registrador de pulsaciones en su dispositivo para capturar sus pulsaciones y registrarlas. Luego pueden revisar la grabación para encontrar cuándo ingresó contraseñas, números de tarjetas de crédito u otra información sensible. Algunas de las formas de prevenir que estos registradores de pulsaciones se instalen en sus dispositivos incluyen:

• Instale un programa antivirus o antimalware de confianza Evite descargar software de fuentes no confiables.
• Evite descargar software de fuentes no confiables y tenga cuidado con los adjuntos de correo electrónico sospechosos
• Utilice teclados en pantalla al ingresar datos sensibles para evitar el registro de pulsaciones de teclas físicas.
• Realice escaneos de seguridad regulares.
• Realice escaneos completos del sistema con regularidad para detectar cualquier malware oculto.

Ataque Man-in-the-Middle (MitM)

La idea aquí es que el atacante capture cualquier dato transmitido a través de una red y busque contraseñas. Esto se puede hacer utilizando puntos WIFI falsos que les permitan monitorear el tráfico, suplantación de DNS para redirigir a los usuarios a sitios web falsos, o secuestro de sesión para robar cookies de sesión y obtener acceso no autorizado a cuentas sin necesidad de la contraseña.

La mejor manera de mitigar los riesgos de MitM es aplicar una encriptación fuerte usando HTTPS en todas las aplicaciones web (y prestar atención a cualquier advertencia de un certificado 'no confiable' o incorrecto) y servicios, así como protocolos seguros para la transmisión de datos. Medidas adicionales como MFA, políticas de contraseñas fuertes y requerir conexiones VPN seguras al conectarse a WIFI público pueden resultar altamente efectivas también.

Robo de credenciales

Hay listas de nombres de usuario y contraseñas a la venta en la web oscura. Estas colecciones de credenciales fueron incautadas durante violaciones de datos. Debido a que los usuarios continúan reciclando las mismas contraseñas para todas sus cuentas, estas listas de credenciales comprometidas pueden ser utilizadas en ataques de relleno de credenciales contra sitios web populares. La idea es que si conocen tus credenciales de un minorista que fue comprometido anteriormente, las mismas credenciales podrían funcionar en otros minoristas en línea, sitios populares de redes sociales o grandes instituciones financieras.

La forma más efectiva de protegerse contra el relleno de credenciales es utilizar contraseñas únicas para cada cuenta. El uso de un gestor de contraseñas eliminará la necesidad de que los usuarios recuerden múltiples contraseñas al permitirles depender de una sola contraseña maestra. Otros mecanismos de defensa incluyen el uso de MFA, políticas de bloqueo de cuentas, soluciones de detección de bots y monitoreo de la dark web.

Ataques de Password Spraying

A diferencia de los ataques de fuerza bruta tradicionales y los ataques de diccionario que implican probar muchas contraseñas en una sola cuenta, el password spraying apunta a muchas cuentas con solo unas pocas contraseñas. En lugar de rotar a través de una lista de contraseñas, rotan a través de nombres de usuario conocidos utilizando las contraseñas más comunes.

Para protegerse contra los ataques de rociado de contraseñas, las organizaciones pueden implementar varias estrategias de prevención efectivas:

• Exija a los usuarios crear contraseñas complejas que sean difíciles de adivinar e implemente políticas que prohíban el uso de contraseñas y frases comunes.
• Utilice MFA en todas las cuentas, exigiendo a los usuarios que proporcionen métodos de verificación adicionales más allá de solo una contraseña.
• Revise periódicamente los registros de autenticación en busca de patrones inusuales, como un alto volumen de intentos fallidos de inicio de sesión en múltiples cuentas.
• Despliegue soluciones de seguridad avanzadas que monitorean el comportamiento del usuario en busca de señales de compromiso, como intentos de inicio de sesión inusuales o patrones indicativos de ataques de fuerza bruta a contraseñas

Ataque de Rainbow Table

Las tablas arcoíris son herramientas especiales utilizadas por hackers para descubrir rápidamente qué contraseñas se ocultan detrás de ciertos códigos encriptados (hashes). Cuando creas una contraseña, se convierte en un hash, que es un código de longitud fija que no se parece en nada a la contraseña original. Los atacantes intentan descodificar las tablas arcoíris utilizando una variedad de técnicas para revertir las contraseñas hasheadas.

Para proteger contra tales intentos de descifrado, utilice algoritmos de hashing modernos y seguros que están diseñados para ser lentos y computacionalmente intensivos. Esto hace que sea mucho más difícil para los atacantes generar tablas arcoíris. Luego continúe informándose sobre los avances en las funciones de hash criptográfico y actualice sus sistemas para usar los métodos más seguros disponibles.

Contenido relacionado seleccionado:

• Cómo detectar y prevenir el secuestro de sesión

Ataques de contraseña en línea vs. Ataques de contraseña fuera de línea

¿Qué es un ataque de contraseña en línea?

Un ataque de contraseña en línea implica intentar diversas combinaciones de nombre de usuario y contraseña contra un portal de inicio de sesión con la esperanza de adivinar las credenciales correctas. Por lo general, se lanzan contra individuos y organizaciones que pueden tener políticas de contraseña débiles.

Ejemplos de ataques en línea

Muchos de los ataques de contraseñas descritos en este artículo pueden utilizarse en ataques en línea. Estos incluyen fuerza bruta, diccionario, relleno de credenciales y registradores de teclas.

¿Qué es un ataque de contraseña sin conexión?

Un ataque de contraseña sin conexión es un método utilizado por los atacantes para obtener acceso a cuentas de usuario mediante la descifrado de hashes de contraseñas en lugar de intentar iniciar sesión directamente en un sistema. Este tipo de ataque generalmente ocurre después de que un atacante ya ha obtenido un archivo o base de datos de contraseñas que contiene versiones hasheadas de las contraseñas de usuario. El Netwrix Attack Catalog enumera ‘Pass the Hash’ como un ejemplo prominente.

Cómo difieren los ataques sin conexión y por qué son peligrosos

Lo que hace que los ataques fuera de línea sean particularmente peligrosos es el hecho de que a menudo pasan desapercibidos porque no interactúan con el sistema objetivo en tiempo real. Esto permite a los atacantes operar sin levantar alarmas, dificultando que los equipos de seguridad detecten y respondan a la amenaza. Debido a que los ataques fuera de línea no involucran intentos de inicio de sesión repetidos contra un sistema en vivo, los mecanismos de bloqueo de cuentas no se activan. Esto permite que un ataque funcione sin restricciones.

Prevención de ataques de contraseñas

Las siguientes medidas de protección pueden ayudar a su organización a proteger a sus empleados contra ataques de contraseñas.

• Implementación de políticas de contraseñas robustas: El simple hecho de aplicar políticas de contraseñas fuertes contribuirá en gran medida a proteger contra los ataques de contraseñas. Dichas políticas deben exigir a los usuarios crear contraseñas complejas y únicas de no menos de 12 caracteres que sean difíciles de adivinar para los atacantes
• Autenticación Multifactor (MFA): MFA requiere que los usuarios proporcionen dos o más métodos de verificación de manera que una contraseña comprometida por sí sola no sea suficiente para que un atacante obtenga acceso a una cuenta de usuario.
• Uso de gestores de contraseñas: Un gestor de contraseñas es una aplicación local o basada en la nube que permite a los usuarios utilizar una contraseña diferente para cada cuenta en línea. La aplicación almacena de forma segura estas contraseñas en una bóveda cifrada y completa automáticamente las credenciales durante los intentos de autenticación.
• Opciones de Autenticación sin Contraseña: Las opciones de autenticación sin contraseña protegen contra ataques de contraseñas al eliminar la necesidad de estas por completo, lo que significa que no hay contraseña que interceptar o robar entre los usuarios y el sistema de autenticación. Ejemplos incluyen un escáner de huellas dactilares o reconocimiento facial.
• Control de Acceso a la Red (NAC) y Monitoreo: Una forma de eludir los ataques de contraseña es asegurarse de que solo los dispositivos autorizados puedan acceder a la red. Esto significa que incluso si un atacante tiene las credenciales correctas en mano, no puede autenticarse desde un dispositivo no autorizado. El monitoreo continuo de la actividad de la red puede identificar y aislar comportamientos sospechosos en tiempo real, permitiendo a los equipos de seguridad responder rápidamente a posibles violaciones y prevenir que los atacantes exploten vulnerabilidades.

Ejemplos reales de ataques de contraseñas

Estudios de Caso de Grandes Violaciones de Datos

• En noviembre, GoDaddy informó de una brecha de seguridad que afectó a más de 1.2 millones de clientes de WordPress. Un atacante utilizó una contraseña comprometida para acceder al entorno de alojamiento de WordPress administrado de GoDaddy, exponiendo direcciones de correo electrónico de clientes, números, algunas claves privadas SSL y contraseñas originales de administrador de WordPress. GoDaddy ha restablecido desde entonces las contraseñas afectadas y los certificados SSL.
• En 2023, los casinos de Las Vegas MGM Resorts y Caesars Entertainment fueron el objetivo de ataques de ransomware que utilizaron tácticas de ingeniería social, en particular vishing (estafa telefónica). Los atacantes se hicieron pasar por empleados para engañar al soporte técnico y restablecer contraseñas, lo que les permitió acceso no autorizado a sistemas críticos. MGM enfrentó interrupciones operativas significativas que afectaron las tarjetas de acceso de los hoteles y las máquinas tragamonedas, estimando pérdidas de alrededor de $100 millones. Caesars experimentó una violación en la base de datos de su programa de lealtad que contenía información sensible de los clientes.
• A finales de noviembre de 2023, un grupo de hackers patrocinado por el estado ruso, Midnight Blizzard (Nobelium), lanzó un ataque sofisticado contra Microsoft utilizando una técnica de rociado de contraseñas. Comprometieron una cuenta de inquilino de prueba no productiva heredada para obtener acceso inicial y establecer una posición dentro de los sistemas de Microsoft. Los atacantes luego accedieron a un pequeño porcentaje de cuentas de correo electrónico corporativas, incluyendo las de liderazgo senior, ciberseguridad y miembros del equipo legal para exfiltrar información.

Lecciones aprendidas de estos incidentes

Estos estudios de caso resaltan la vulnerabilidad persistente de la seguridad de contraseñas y subrayan la necesidad crítica de procedimientos estrictos de verificación en el restablecimiento de contraseñas y cambios de acceso a cuentas. Dada la probabilidad de compromiso de contraseñas, hacer cumplir el principio de menor privilegio para restringir los derechos de acceso de los usuarios al mínimo necesario para realizar sus trabajos es una medida de seguridad de apoyo clave. El equipo heredado continúa siendo un problema real y una atención vigilante al parcheo y actualización es imperativa. Esto también es donde la realización de escaneos de seguridad regulares puede identificar tus puntos débiles mientras que el monitoreo continuo 24/7 permite a los equipos de TI y seguridad abordar rápidamente eventos inusuales y sospechosos, formando un enfoque integral para la ciberseguridad.

Contenido relacionado seleccionado:

• Una guía para políticas de contraseñas seguras para Active Directory

El futuro de la seguridad de contraseñas

La evolución de los ataques de contraseñas

Los primeros ataques de contraseñas involucraban simples suposiciones y ataques de diccionario, pero ahora han evolucionado a métodos de fuerza bruta automatizados que intentan sistemáticamente todas las combinaciones. Los algoritmos avanzados de aprendizaje automático ahora son empleados por los atacantes para generar conjeturas de contraseñas más sofisticadas y probables, mejorando la eficiencia y efectividad de sus ataques. Los ciberdelincuentes han ampliado sus vectores de ataque para explotar vulnerabilidades en los mecanismos de restablecimiento de contraseñas para aprovechar medidas de seguridad a veces más débiles en los procesos de recuperación de contraseñas. En cuanto a la ingeniería social, los ciberdelincuentes continúan ideando nuevas formas de engañar a los usuarios para que revelen sus contraseñas.

Tecnologías emergentes para la protección de contraseñas

Las tecnologías emergentes continúan enfocándose en métodos de autenticación sin contraseña que mejoran la seguridad y al mismo tiempo simplifican el proceso de autenticación para los usuarios. Estos métodos incluyen la autenticación biométrica, los estándares FIDO2 y los tokens de seguridad USB, que requieren que los usuarios se autentiquen utilizando dispositivos que poseen, como llaves de seguridad de hardware o teléfonos móviles. Además, las contraseñas de un solo uso (OTPs) enviadas por SMS o correo electrónico proporcionan una alternativa segura y de un solo uso que no depende de contraseñas estáticas. Al adoptar estos enfoques innovadores, las organizaciones pueden reducir significativamente los riesgos asociados con los sistemas tradicionales basados en contraseñas, mejorando al mismo tiempo la comodidad general del usuario.

¿Se están volviendo obsoletas las contraseñas?

No cabe duda de que la efectividad de las contraseñas está disminuyendo tanto desde una perspectiva de riesgo como de gestión. En algunos casos, las contraseñas están siendo reemplazadas gradualmente por alternativas más seguras como las llaves de acceso, mientras que los métodos de autenticación biométrica están ganando popularidad. A pesar de los avances realizados en este campo, las contraseñas seguirán siendo ampliamente utilizadas por su familiaridad y los extensos sistemas heredados que aún dependen de ellas. Aunque las contraseñas en sí mismas pueden no desaparecer, la práctica de confiar únicamente en ellas parece estar llegando a su fin gracias a MFA.

Cómo Netwrix puede ayudar

Para mitigar los riesgos asociados con los ataques de contraseñas, las organizaciones necesitan herramientas avanzadas que puedan monitorear, detectar y responder proactivamente a la actividad sospechosa de contraseñas.

Netwrix Password Secure ofrece una solución robusta para mejorar la seguridad de las contraseñas. Con alertas en tiempo real, informes completos y una interfaz intuitiva, permite a las organizaciones identificar y abordar vulnerabilidades de contraseñas antes de que conduzcan a una violación. Al imponer políticas de contraseñas fuertes y asegurar el cumplimiento con los estándares de la industria, Netwrix Password Secure ayuda a las organizaciones a mantener una defensa resiliente contra las amenazas relacionadas con las contraseñas y asegurar sus entornos de TI.

Conclusión

Las contraseñas son un verdadero desafío hoy en día y merecen la atención de cualquier organización digital. Deberías asumir que alguien, en algún lugar, está intentando comprometer tus cuentas en línea mediante algún tipo de ataque de contraseñas. Este tipo de ataques se realizan contra organizaciones todos los días.

La buena noticia es que muchos de los pasos de prevención son lo suficientemente fáciles para que la mayoría de las organizaciones los implementen. También requiere que los usuarios asuman la responsabilidad de utilizar una buena higiene de contraseñas y monitorear sus cuentas. para reconocer que los métodos de prevención actuales pueden no proteger eficazmente contra los ataques en evolución del futuro. En última instancia, cuanto antes su organización pueda reducir su dependencia de las contraseñas, más segura será.