Descripción de los ataques basados en la autenticación

  • 4 minutos

Los ataques de autenticación se producen cuando alguien intenta robar las credenciales de una persona. Después, puede simular que es esa persona. Dado que un objetivo de este tipo de ataques es suplantar a un usuario legítimo, a menudo también se les puede denominar ataques de identidad. Entre los ataques comunes se incluyen los siguientes:

  • Atacante por fuerza bruta
  • Ataque de diccionario
  • Relleno de credenciales
  • Registro de claves
  • Ingeniería social

Atacante por fuerza bruta

En un ataque por fuerza bruta, un delincuente intenta obtener acceso simplemente probando diferentes combinaciones de nombre de usuario y contraseña. Normalmente, los atacantes tienen herramientas que automatizan este proceso mediante el uso de millones de combinaciones de nombre de usuario y contraseña. Las contraseñas simples, con autenticación de un solo factor, son vulnerables a los ataques por fuerza bruta.

Ataque de diccionario

Un ataque por diccionario es una forma de ataque por fuerza bruta, en el que se aplica un diccionario de palabras de uso frecuente. Para evitar los ataques por diccionario, es importante usar símbolos, números y combinaciones de varias palabras en una contraseña.

Relleno de credenciales

El relleno de credenciales es un método de ataque que aprovecha el hecho de que numerosas personas usan el mismo nombre de usuario y contraseña en muchos sitios. Los atacantes usarán las credenciales robadas, normalmente obtenidas después de una vulneración de datos en un sitio, para intentar acceder a otras áreas. Los atacantes suelen usar herramientas de software para automatizar este proceso. Para evitar el relleno de credenciales, es importante no reutilizar las contraseñas y cambiarlas periódicamente, sobre todo después de una vulneración de seguridad.

Registro de claves

El registro de claves implica el uso de software malintencionado que registra pulsaciones de teclas. Con un registrador de claves, un atacante puede registrar (robar) combinaciones de nombre de usuario y contraseña, que luego se pueden usar para ataques de relleno de credenciales. Se trata de un ataque común en cibercafés o en cualquier lugar en el que se usen equipos compartidos. Para evitar el registro de claves, no instale software que no sea de confianza y use software de confianza para la detección de virus.

El registro de claves no se limita a los equipos informáticos. Supongamos que una persona malintencionada instala un dispositivo sobre el lector de tarjetas y el teclado de un cajero automático. Cuando usted inserta la tarjeta, pasa primero a través del lector de tarjetas de la persona malintencionada, que captura los detalles de la tarjeta antes de que se introduzca en el lector de tarjetas del cajero automático. Ahora, cuando introduzca su PIN con el teclado de la persona malintencionada, también obtendrá esta información.

Ingeniería social

La ingeniería social conlleva intentar que una persona revele información o realice una acción para hacer posible un ataque.

La mayoría de los ataques de autenticación implican la vulneración de equipos o el proceso de probar muchas combinaciones de credenciales. Los ataques de ingeniería social son diferentes, ya que aprovechan las vulnerabilidades de las personas. El atacante intenta ganarse la confianza del usuario legítimo y persuadirle para que divulgue información o realice una acción que posibilite causar daños o robar información.

Se pueden usar varias técnicas de ingeniería social para el robo de autenticación, entre las que se incluyen las siguientes:

  • La suplantación de identidad (phishing) se produce cuando un atacante envía un correo electrónico aparentemente legítimo con el objetivo de lograr que un usuario revele sus credenciales de autenticación. Por ejemplo, puede parecer que un correo electrónico lo ha enviado el banco del usuario. Incluye un vínculo a lo que parece ser la página de inicio de sesión del banco, pero en realidad es un sitio falso. Cuando el usuario inicia sesión en el sitio falso, sus credenciales quedan a disposición del atacante. Existen diversas variantes de suplantación de identidad, incluido el phishing de objetivo definido, que suele estar dirigido a organizaciones, empresas o personas concretas.
  • El pretexto es un método por el cual un atacante se gana la confianza de la víctima y le convence para que divulgue información segura. Después, puede usar estos datos para robar su identidad. Por ejemplo, un hacker podría llamarle por teléfono fingiendo ser del banco y pedirle su contraseña para comprobar su identidad. Otro método conlleva el uso de las redes sociales. Podrían pedirle que responda a una encuesta o un cuestionario con preguntas aparentemente aleatorias e inocentes que le harán revelar datos personales, o bien podrían enviarle un mensaje con un juego divertido, como crear el nombre de su grupo de pop imaginario con su lugar de nacimiento y el nombre de su primera mascota.
  • El baiting es una forma de ataque en el que el delincuente ofrece una recompensa o un premio falsos para animar a la víctima a divulgar información segura.

Otros métodos de ataque basados en la autenticación

Estos son solo algunos ejemplos de ataques basados en la autenticación. Siempre existe la posibilidad de que aparezcan nuevos tipos de ataque, pero todos los que se enumeran aquí se pueden evitar si se instruye a las personas y se usa la autenticación multifactor.