Ticker

6/recent/ticker-posts

Como puedes ser hackeado y como evitarlo

javier septiembre 26, 2021

Hemos oído hablar que la cuenta de una persona famosa o un medio ha sido “hackeada por un hacker”. Y pensamos que a nosotros nunca no vas a pasar, pero la realidad no es así, tú también puedes ser un objetivo.



 

No te preocupes, hoy te enseñaremos que métodos se usan y como usarlos para protegernos de los mismos.

Comencemos hablando del término “hacker” el cual no se le da un uso correcto. Es      un término que significa “persona que vela por la seguridad en internet”, lo cual no es alguien malo, sino todo lo contrario, es alguien que actúa en buena fe. Dicha palabra se ha estandarizado por la prensa donde el término correcto para hablar de las personas que te atacan con un fin malicioso sería “cracker”.

Volviendo a nuestro propósito, los crackers usan algunos de los siguientes métodos.

-    Phishing

Este método es muy conocido ya que se usa mucho para este tipo de ataques, principalmente para cuentas bancarias.

Consiste en el envío de un email, SMS, mensaje… donde se suplanta a una entidad, realizando una copia exacta de la página original ya sea bancaria, red social, etc.

Dicho mensaje contiene un link que pretende dirigir a una web maliciosa, falsificando la identidad del sitio de el que quiera obtener la contraseña. El usuario introduce sus claves y son enviadas al cracker.


-    Fuerza Bruta

Muy extendido también, consiste en una serie de programas que mediante un fichero que contiene una base de datos (claves), según parámetro, números, letras, símbolos, llamado diccionario.

Este accede a la web probando sistemáticamente y haciendo uso de la base de datos, combinándolas entre sí hasta que llega a entrar, por ello se implanto el uso de controles de acceso denominados (CAPTCHA) .

Cada vez cae más en desuso, porque se utiliza para contraseñas muy  vulnerables de tipo 1234, números o palabras random. Pero sigue siendo usado.


-    Ingeniería Social

También conocida como, <El arte del engaño> es una técnica aplicable a cualquier ataque, ya sea a una persona o una empresa. Engloba muchos conceptos como el phishing que se podría también incluir aquí.

Para este tipo de ataques se usa, el recurso de la persona, es decir, todo  lo que podemos saber de esa persona ya sea por sus RRSS o simplemente porque la conozcamos.

Por ejemplo, si esa persona tiene hijos se podría averiguar el nombre de estos y esa podría ser la contraseña.



Vistos los métodos anteriores, cabe decir que hay más, pero estos son los más usados y fáciles de entender. Ahora toca ver cómo protegerse.

La primera medida de protección y más oída es tener una contraseña segura. Pero surgen varias dudas; ¿Qué contraseña es segura? ¿Se me  olvidará?

¿Qué contraseña es segura?

Muchas webs te piden una password de 8 caracteres como  mínimo, otras      aparte de eso nos piden caracteres especiales como (_, -, @, #) entre otros; además de alternar entre mayúsculas minúsculas y números.

Estas son algunas medidas básicas para crear una contraseña segura. Son válidas, pero para mayor seguridad te recomendamos más medidas y una herramienta. 

Es muy importante que no tenga un patrón, ni sentido  (para no ser identificada por Ing. social).

Desde las siguientes webs podrás crear una password segura y otra para ver la seguridad de la esta.


¿Se me olvidara la contraseña?

Esto tiene fácil solución, las podemos apuntar (en un sitio seguro) o usar un  gestor de contraseñas.

El   gestor de contraseñas es un programa usado para guardar contraseñas. Va protegido por una clave (la tendrás que recordar) y tendrás acceso a las claves de los servicios que hayas añadido. Personalmente la uso en el ordenador y en concreto uso Password Safe. Cuando haces clic en el servicio que necesites la contraseña se copiara al portapapeles,                 para pegarla en el formulario de login del servicio.


Habiendo visto como tener tus contraseñas fuertes y seguras, si cayeses en un ataque de phishing, todo lo que te hemos contado no serviría, pero tranquilo hay otra medida para protegerte en caso de que un cracker tenga tu contraseña.

 

Nos referimos a la autenticación de doble factor (A2F) consiste en una vez introducido tus  datos de acceso y siendo correctos hay que añadir otro factor más, un código; esto añade una capa más de seguridad, en este caso puedes usar herramienta latch.

Bueno y ¿de dónde sacamos ese código? muy fácil. Tenemos varios métodos, muchas veces se usa el envío del código por SMS, pero no te lo recomendamos ya que es vulnerable a un ataque sim swapping.

 

Te recomendamos que lo uses con una aplicación externa, en concreto de Google authenticator. Una app que una vez enlazada con el servicio que vayamos a usar, genera un código cada cierto corto periodo de tiempo.

 

Así, cuando realicemos el login nos hará falta ese código que cambia, el cual solo estará en nuestro dispositivo móvil. Llegados a este punto te  podrás hacer la pregunta, y es que ocurre, si pierdes tu móvil o te lo roban. Si puedes acceder, desde otro dispositivo a tu cuenta, desactiva el (A2F)  y cambia la contraseña (si alguien accedió, se cerrarán las sesiones iniciadas en otro dispositivo) y reactiva esta función en otro dispositivo.

Si esta opción no sirve, recuerda que algunos servicios al conectar la app de Google te dan un código que recomendamos tenerlo en un papel. Servicios como Twitter nos lo pueden proporcionar al realizar la conexión.


Estas son algunas medidas de protección que podemos tomar. En ciberseguridad es mejor “prevenir que curar”. Recordamos que estas medidas sirven para estar más protegido, pero la seguridad total no existe.

  Esperemos que os sirvan para evitar ataques y nos        vemos en la red.


                                                                       Este articulo ha sido escrito por nuestro lector, Diego


Tags:

Publicar un comentario

1 Comentarios

  1. Anónimo23 de octubre de 2021, 19:37

    Gracias Diego por salvar a mí perro de un coma etílico

    ResponderEliminar