Diez métodos con los que los cibercriminales pueden intentar robar tus contraseñas de empresa

junio 21, 2024Actualidad

Te recordamos 10 métodos con los que los cibercriminales pueden intentar robar tus contraseñas de empresa. ¡Toma nota! y aprende a identificar las técnicas más habituales y a evitarlas para proteger la información de nuestra organización.

Ataque de fuerza bruta

Se produce cuando el ciberdelincuente de forma repetitiva e insistente prueba muchas combinaciones de caracteres para entrar en un sistema, utilizando un software específico y esperando a que se produzca la coincidencia.

Tipos de ataque de fuerza bruta

a) Ataque de diccionario

Tomando como referencia la mala práctica de utilizar una sola palabra como contraseña, los ciberdelincuentes prueban todas las palabras de un diccionario para vulnerar el sistema. ¿Cómo lo hacen? Con un software que les permite introducir contraseñas de manera automática.

Existe también otra fórmula más avanzada de este ataque en la que el ciberdelincuente reúne primero información personal sobre el usuario –fecha de nacimiento, nombre de familiares o de mascotas, lugar de residencia…– para después probarla como contraseña, ya que es muy habitual utilizar claves que resultan fáciles de recordar.

¿Cómo evitarlo?

Utiliza siempre contraseñas seguras y robustas.

Con al menos 8 caracteres y que contengan minúsculas, mayúsculas, números y símbolos)
Que no tengan palabras sencillas en cualquier idioma
Que no sean nombres propios, fechas, lugares o datos de carácter personal.
Que no sean palabras excesivamente cortas.
Que estén formadas por caracteres próximos en el teclado.
Que no sean combinaciones de elementos o palabras fácilmente adivinables (nombre + fecha de nacimiento)

b) Relleno de credenciales

En este tipo de ataques se utilizan credenciales robadas en brechas de seguridad, aprovechando que, en numerosas ocasiones, se reutilizan las de aplicaciones personales en las del entorno corporativo. ¿Qué método emplean? Prueban de forma automatizada pares de nombres de usuario y contraseñas para entrar en cuentas y perfiles online.

¿Cómo evitarlo?

Habilita la autenticación de doble factor en las cuentas online.
Usa la huella digital.
Emplea tokens criptográficos hardware.
Utiliza sistemas OTP (One Time Password)
Con tarjetas de coordenadas o contraseñas únicas
Usa la cuenta de empresa solo para registrate en servicios corporativos.

c) Ataque de pulverización de contraseñas

El ciberdelincuente utiliza un gran número de contraseñas robadas en un grupo de cuentas para obtener acceso y, con el objetivo de no levantar sospechas y no ser detectado, utiliza programas para limitar el número de intentos de acceso.

¿Cómo evitarlo?

Utiliza herramientas que te obliguen a cumplir ciertos requisitos:

Periodos de validez
Formatos de contraseñas
Longitud mínima
Tipo de caracteres
Reglas semánticas
Límite de intentos de autenticación
Cifrado de claves

Técnicas de ingeniería social

Utilizan diferentes métodos para ganarse la confianza del usuario y obtener información privada, acceso a sistemas o comprar en sitios web fraudulentos como suplantar la identidad de una entidad de confianza –banco, ministerio, proveedor de servicios…–.

En el caso del Phishing se utiliza un correo electrónico con un asunto urgente que suele contener un enlace a un sitio web ilegítimo.
En el caso del Smishing utilizan el envío de un SMS.
En el caso delVishing lo hacen a través de una llamada telefónica.
En el caso del Warshipping lo hacen mediante un regalo electrónico infectado, que se conectará a nuestra red.
En el shoulder surfinglos ciberdelincuentes espían a la gente que utiliza sus dispositivos en público para robar sus contraseñas.
En el Ataque de keylogger usanun softwareespía para rastrear y registrar lo que se escribe en un teclado, sin que el usuario lo perciba. Es uno de los malware más invasivos y puede infectar un equipo a través de un enlace, un USB o mediante un dispositivo hardware.
En el Ataque Man-in-the-middle los ciberdelincuente interceptan la comunicación entre varios interlocutores para suplantar su identidad, acceder a la información y modificarla a su favor, tomando el control de todas sus comunicaciones.

¿Cómo evitarlos?

> Aprende a identificar la legitimidad de los correos y de los adjuntos que recibes.
> Evita las conexiones de riesgo como wifis públicas.

> Aplica consejos de navegación segura.

> Instala en tus dispositivos software antimalware

> Comprueba si la web es legítima antes de introducir tus datos.

> Habilita funciones biométricas para iniciar sesión en tus dispositivos móviles.

> Revisa que no tienes ningún dispositivo desconocido conectado a tu ordenador.

Entrada anterior Últimas tendencias en ciberamenazas con IA y buenas prácticas Entrada siguiente Asistimos a la jornada sobre «El impacto del reglamento europeo de inteligencia artificial» organizada por Gartner en la Cidade da Cultura

Cookie	Duración	Descripción
__cf_bm	1 hour	Esta cookie, establecida por Cloudflare, se utiliza para admitir la gestión de bots de Cloudflare.
cookielawinfo-checkbox-advertisement	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Publicitarias".
cookielawinfo-checkbox-advertisement	1 year	Establecida por el complemento GDPR Cookie Consent, esta cookie registra el consentimiento del usuario para las cookies en la categoría "Publicidad".
cookielawinfo-checkbox-analytics	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 meses	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcionales".
cookielawinfo-checkbox-necessary	11 meses	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesarias".
CookieLawInfoConsent	1 year	CookieYes configura esta cookie para registrar el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona únicamente en coordinación con la cookie principal.
PHPSESSID	sesión	Esta cookie es nativa de las aplicaciones PHP. La cookie se utiliza para almacenar e identificar la identificación de sesión única de un usuario con el fin de administrar la sesión del usuario en el sitio web. La cookie es una cookie de sesión y se elimina cuando se cierran todas las ventanas del navegador.
viewed_cookie_policy	11 meses	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Cookie	Duración	Descripción
_ga	2 años	Esta cookie es instalada por Google Analytics. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio. Las cookies almacenan información de forma anónima y asignan un número generado aleatoriamente para identificar visitantes únicos.
_gat	1 minuto	Google Universal Analytics instala estas cookies para acelerar la tasa de solicitud y limitar la recopilación de datos en sitios de alto tráfico.
_gid	1 día	Esta cookie es instalada por Google Analytics. La cookie se utiliza para almacenar información sobre cómo los visitantes usan un sitio web y ayuda a crear un informe analítico de cómo está funcionando el sitio web. Los datos recopilados, incluido el número de visitantes, la fuente de donde provienen y las páginas visitadas de forma anónima.
AnalyticsSyncHistory	1 month	Linkedin configuró esta cookie para almacenar información sobre el momento en que se realizó una sincronización con la cookie lms_analytics.

Cookie	Duración	Descripción
_fbp	3 meses	Esta cookie es instalada por Facebook. La cookie se utiliza para calcular los datos de visitantes, sesiones y campañas y realizar un seguimiento del uso del sitio para el informe de análisis del sitio.
bcookie	2 años	Cookie para gestionar la respuesta de los usuarios a campañas de márketing en LinkedIn y medir las visitas recibidas por medio de dicha campaña.
bscookie	1 year	LinkedIn configura esta cookie para almacenar las acciones realizadas en el sitio web.
li_gc	2 años	Cookie para gestionar la respuesta de los usuarios a campañas de márketing en LinkedIn y medir las visitas recibidas por medio de dicha campaña.
li_sugr	3 months	LinkedIn configura esta cookie para recopilar datos sobre el comportamiento del usuario para optimizar el sitio web y hacer que los anuncios en el sitio web sean más relevantes.
lidc	1 día	Cookie para gestionar la respuesta de los usuarios a campañas de márketing en LinkedIn y medir las visitas recibidas por medio de dicha campaña.

Diez métodos con los que los cibercriminales pueden intentar robar tus contraseñas de empresa

Tipos de ataque de fuerza bruta

Técnicas de ingeniería social

Entradas recientes

Contacto

Envíanos tu CV

Síguenos

Diez métodos con los que los cibercriminales pueden intentar robar tus contraseñas de empresa

Tipos de ataque de fuerza bruta

Técnicas de ingeniería social

Entradas recientes

Contacto

Envíanos tu CV

Síguenos

Uso de cookies