Al conectarse a un sistema informático, generalmente se debe ingresar: un nombre de registro o nombre de usuario y una contraseña para acceder. Este par nombre de registro/contraseña forma la clave para tener acceso al sistema.
Mientras que al nombre de registro generalmente lo brinda el sistema o el administrador de forma automática, el usuario casi siempre tiene la libertad de elegir la contraseña. La mayoría de los usuarios, como piensan que no tienen ninguna información secreta que proteger, usan una contraseña fácil de recordar (por ejemplo, su nombre de registro, el nombre de su pareja o su fecha de nacimiento).
Y aunque los datos en la cuenta de un usuario puedan no ser estratégicos, tener acceso a la cuenta puede significar una puerta abierta a todo el sistema. Cuando un hacker tiene acceso a la cuenta de un equipo, puede extender su campo de acción al obtener la lista de usuarios autorizados a conectarse al equipo. Un hacker puede probar un gran número de contraseñas generadas al azar con herramientas destinadas a tal fin o con un diccionario (o puede combinar ambos). Si consigue la contraseña del administrador, obtiene todos los permisos sobre el equipo.
Además, es posible que el hacker tenga acceso a la red local desde la red de un equipo, lo que significa que puede trazar un mapa de los otros servidores al trabajar desde el equipo al que tiene acceso.
Las contraseñas de los usuarios son la primera línea de defensa contra los ataques, por eso es necesario definir una política de contraseñas para que los usuarios elijan contraseñas lo suficientemente seguras.
Métodos de ataque
Muchos sistemas están configurados para bloquear transitoriamente la cuenta de un usuario después de haber intentado conectarse sin éxito una cierta cantidad de veces. En consecuencia, es difícil para un hacker infiltrarse en un sistema de esta manera.
Sin embargo, puede usar este mecanismo de autodefensa para bloquear todas las cuentas de usuario para accionar una denegación de servicio.
En la mayoría de los sistemas, las contraseñas se guardan cifradas en un archivo o una base de datos.
Sin embargo, si un hacker tiene acceso al sistema y a este archivo, puede tratar de craquear una contraseña de usuario en particular o las contraseñas de todas las cuentas de usuario.
Ataque de fuerza bruta
El término "ataque de fuerza bruta" se usa para referirse al craqueo de una contraseña al probar todas las posibles combinaciones. Existe una variedad de herramientas para todos los sistemas operativos que permite realizar este tipo de procedimiento. Los administradores de sistema usan estas herramientas para probar la solidez de sus contraseñas de usuario, pero a veces los hackers las usurpan para infiltrarse en sus sistemas informáticos.
Ataque de diccionario
Las herramientas para el ataque de fuerza pueden demorar horas o hasta días de cálculos, incluso con equipos que cuentan con potentes procesadores. Una solución alternativa es llevar a cabo un "ataque de diccionario". En la práctica, los usuarios generalmente eligen contraseñas que tengan un significado. Con este tipo de ataque, tales contraseñas se pueden craquear en sólo unos minutos.
Ataque híbrido
El último ataque de este tipo, el "ataque híbrido", específicamente apunta a contraseñas compuestas por una palabra tradicional seguida de un número o una letra (como "marshal6"). Es una combinación entre el ataque de fuerza bruta y el de diccionario.
Existen métodos que también permiten que un hacker obtenga contraseñas de usuario:
Los registradores de pulsaciones son programas de software que, al instalarlos en la estación de trabajo del usuario, registran lo que se pulsa en el teclado. Los sistemas operativos recientes presentan búfers protegidos que permiten retener la contraseña durante un tiempo y a los que sólo el sistema puede acceder.
La ingeniería social consiste en aprovecharse de la ingenuidad de la gente para obtener información. Así, un hacker puede acceder a la contraseña de una persona al hacerse pasar por un administrador de red o, a la inversa, puede contactar al soporte técnico y pedir reinicializar la contraseña usando como pretexto una situación de emergencia.
El espionaje es el método más antiguo utilizado. En este caso, un pirata sólo tiene que observar los papeles que estén alrededor de la pantalla o debajo del teclado del usuario para obtener la contraseña. Si el pirata es alguien en quien la víctima confía, sólo tiene que mirar sobre el hombro de esa persona cuando ingrese la contraseña para verla o adivinarla.
Elección de una contraseña
Mientras más larga sea la contraseña, más difícil será craquearla. Asimismo, una contraseña compuesta sólo por números será mucho más fácil de craquear que una que contenga letras:
Una contraseña de 4 números corresponde a 10.000 posibilidades (104). Aunque esta cifra parezca elevada, un ordenador equipado con una configuración modesta puede craquearla en cuestión de minutos.
Es conveniente usar una contraseña de 4 letras, para la que existen 456.972 posibilidades (264). Con esta misma lógica, una contraseña que combine números y letras o que use mayúsculas y caracteres especiales, será aun más difícil de craquear.
Evite las siguientes contraseñas:
su nombre de registro
su apellido
su nombre o el de una persona querida (pareja, hijo, etcétera)
una palabra del diccionario
una palabra escrita al revés (las herramientas para craquear contraseñas tienen en cuenta esta posibilidad)
una palabra seguida de un número, el año actual o el año de nacimiento (por ejemplo "contraseña1999").
Políticas de contraseña
El acceso a la cuenta de un solo empleado de una empresa puede poner en riesgo la seguridad general de toda la organización. Por lo tanto, todas las empresas que deseen garantizar un nivel de seguridad óptimo deben establecer una verdadera política de protección de contraseña. Esto implica, particularmente, que los empleados elijan las contraseñas a partir de ciertos requisitos, por ejemplo:
Que la contraseña tenga una longitud mínima
Que tenga caracteres especiales
Que combinen mayúsculas con minúsculas
Además, se puede afianzar la política de seguridad si se pone una fecha de expiración en las contraseñas para hacer que los usuarios las modifiquen periódicamente. Esto dificulta el trabajo de los hackers que tratan de craquear las contraseñas con el correr del tiempo. También es una excelente forma de limitar la duración de la contraseña craqueada.
Por último, es aconsejable que los administradores usen software que craquea contraseñas en sus contraseñas de usuario para probar su solidez. Sin embargo, se debe hacer dentro del marco de la política de protección y con discreción para tener el apoyo de la gerencia y los usuarios.
Varias contraseñas
No es bueno tener sólo una contraseña, como tampoco es bueno usar en su tarjeta bancaria el mismo código que usa para su teléfono móvil y para la entrada a su edificio.
En consecuencia, es aconsejable tener varias contraseñas para cada categoría de uso, dependiendo de la confidencialidad de los secretos que proteja. Por lo tanto, el código de su tarjeta bancaria sólo debe usarse para ese propósito. Sin embargo, puede usar el mismo código PIN que usa en su teléfono para el candado de una maleta.
De la misma manera, si se subscribe a un servicio en línea que solicita una dirección de correo electrónico (por ejemplo, el boletín de noticias de Kioskea), se recomienda que no elija la misma contraseña que usa para esta dirección de mensajería ya que un administrador inescrupuloso podría acceder fácilmente a su vida privada.
El documento « Contraseñas » se encuentra disponible bajo una licencia Creative Commons. Puedes copiarlo o modificarlo libremente. No olvides citar a CCM (es.ccm.net) como tu fuente de información.
