8Sep
La gente habla de que sus cuentas en línea están "pirateadas", pero ¿cómo ocurre exactamente esta piratería? La realidad es que las cuentas se piratean de forma bastante simple: los atacantes no usan magia negra.
El conocimiento es poder. Comprender cómo se comprometen las cuentas en realidad puede ayudarlo a proteger sus cuentas y evitar que sus contraseñas sean "pirateadas" en primer lugar.
Reutilización de contraseñas, especialmente filtradas
Muchas personas, tal vez incluso la mayoría de las personas, vuelven a usar contraseñas para cuentas diferentes. Algunas personas incluso pueden usar la misma contraseña para cada cuenta que usan. Esto es extremadamente inseguro. Muchos sitios web, incluso grandes y conocidos como LinkedIn y eHarmony, han tenido sus bases de datos de contraseñas filtradas en los últimos años. Las bases de datos de contraseñas filtradas junto con nombres de usuario y direcciones de correo electrónico son fácilmente accesibles en línea. Los atacantes pueden probar estas combinaciones de dirección de correo electrónico, nombre de usuario y contraseñas en otros sitios web y obtener acceso a muchas cuentas.
Reutilizar una contraseña para su cuenta de correo electrónico lo pone aún más en riesgo, ya que su cuenta de correo electrónico podría usarse para restablecer todas sus otras contraseñas si un atacante tuviera acceso a ella.
Por muy bueno que sea para proteger sus contraseñas, no puede controlar qué tan bien los servicios que utiliza protegen sus contraseñas. Si reutiliza contraseñas y una compañía se cae, todas sus cuentas estarán en riesgo. Debe usar contraseñas diferentes en todas partes, un administrador de contraseñas puede ayudar con esto.
Keyloggers
Los keyloggers son piezas de software maliciosas que se pueden ejecutar en segundo plano, registrando cada golpe de tecla que realice. A menudo se utilizan para capturar datos confidenciales como números de tarjetas de crédito, contraseñas bancarias en línea y otras credenciales de cuentas. A continuación, envían estos datos a un atacante a través de Internet.
Este tipo de malware puede llegar a través de exploits; por ejemplo, si está utilizando una versión desactualizada de Java, como lo hacen la mayoría de las computadoras en Internet, puede verse comprometido a través de un applet de Java en una página web. Sin embargo, también pueden llegar disfrazados en otro software. Por ejemplo, puedes descargar una herramienta de terceros para un juego en línea. La herramienta puede ser maliciosa, capturando la contraseña del juego y enviándola al atacante a través de Internet.
Use un programa antivirus decente, mantenga su software actualizado y evite descargar software poco confiable.
Social Engineering
Los atacantes también suelen utilizar trucos de ingeniería social para acceder a sus cuentas. El phishing es una forma comúnmente conocida de ingeniería social: esencialmente, el atacante se hace pasar por otra persona y le pide su contraseña. Algunos usuarios entregan sus contraseñas fácilmente. Estos son algunos ejemplos de ingeniería social:
- . Recibe un correo electrónico que dice ser de su banco, lo dirige a un sitio web bancario falso y le pide que ingrese su contraseña.
- Recibe un mensaje en Facebook o en cualquier otro sitio web social de un usuario que dice ser una cuenta oficial de Facebook y le pide que envíe su contraseña para autenticarse.
- Visitas un sitio web que promete darte algo valioso, como juegos gratuitos en Steam o oro gratis en World of Warcraft. Para obtener esta recompensa falsa, el sitio web requiere su nombre de usuario y contraseña para el servicio.
Tenga cuidado con a quién le da su contraseña: no haga clic en los enlaces de los correos electrónicos y vaya al sitio web de su banco, no entregue su contraseña a nadie que se comunique con usted y la solicite, y no proporcione las credenciales de su cuenta asitios web poco confiables, especialmente los que parecen demasiado buenos para ser verdad.
Respondiendo preguntas de seguridad
Las contraseñas a menudo se pueden restablecer respondiendo preguntas de seguridad. Las preguntas de seguridad generalmente son increíblemente débiles, a menudo cosas como "¿Dónde naciste?", "¿A qué escuela secundaria fuiste?" Y "¿Cuál era el apellido de soltera de tu madre?".A menudo es muy fácil encontrar esta información en sitios de redes sociales accesibles al público, y la mayoría de las personas normales le dirían a qué escuela secundaria asistían si se les preguntaba. Con esta información fácil de obtener, los atacantes a menudo pueden restablecer las contraseñas y obtener acceso a las cuentas.
Idealmente, debe usar preguntas de seguridad con respuestas que no se descubran o adivinen fácilmente. Los sitios web también deben evitar que las personas accedan a una cuenta solo porque conocen las respuestas a algunas preguntas de seguridad, y algunos sí, pero algunos aún no lo hacen. La cuenta de correo electrónico
y la contraseña restablecen
Si un atacante usa cualquiera de los métodos anteriores para obtener acceso a sus cuentas de correo electrónico, tendrá mayores problemas. Su cuenta de correo electrónico generalmente funciona como su cuenta principal en línea. Todas las demás cuentas que utiliza están vinculadas a ella, y cualquier persona con acceso a la cuenta de correo electrónico podría usarla para restablecer sus contraseñas en cualquier cantidad de sitios en los que se haya registrado con la dirección de correo electrónico.
Por esta razón, debe proteger su cuenta de correo electrónico tanto como sea posible. Es especialmente importante usar una contraseña única para ello y protegerla cuidadosamente.
Qué contraseña "piratear" no es
La mayoría de las personas probablemente imaginan que los atacantes prueban todas las contraseñas posibles para iniciar sesión en su cuenta en línea. Esto no está sucediendoSi intentas iniciar sesión en la cuenta en línea de alguien y continúas adivinando contraseñas, se te ralentizará y se te impedirá probar más de un puñado de contraseñas.
Si un atacante era capaz de acceder a una cuenta en línea con solo adivinar las contraseñas, es probable que la contraseña fuera obvia y se pudiera adivinar en los primeros intentos, como "contraseña" o el nombre de la mascota de la persona.
Los atacantes solo podían usar esos métodos de fuerza bruta si tenían acceso local a sus datos; por ejemplo, digamos que estaba almacenando un archivo cifrado en su cuenta de Dropbox y los atacantes obtuvieron acceso a él y descargaron el archivo cifrado. Luego podrían intentar aplicar fuerza bruta al cifrado, esencialmente probando cada combinación de contraseña hasta que uno funcione.
Las personas que dicen que sus cuentas han sido "pirateadas" son probablemente culpables de volver a utilizar las contraseñas, instalar un registrador de claves o dar sus credenciales a un atacante después de los trucos de ingeniería social. También pueden haberse visto comprometidos como resultado de preguntas de seguridad fáciles de adivinar.
Si toma las precauciones de seguridad adecuadas, no será fácil "piratear" sus cuentas. El uso de la autenticación de dos factores también puede ayudar: un atacante necesitará más que solo su contraseña para ingresar.
Crédito de la imagen: Robbert van der Steeg en Flickr, asenat en Flickr
![[Patrocinado] WinX DVD Ripper Platinum es gratuito para lectores geek de cómo hacerlo hasta el 5 de junio](/f/bc12976b771bcf09bd5fd79773e3781f.jpg?width=150&height=150)