Servicios

Inicio Seguridad Consejos
Seguridad

Cuida tu contraseña

Indice del artículo
Cuida tu contraseña
Descuidos
Tipos de ataque
Todas las páginas

 

{Security-Key-icon}

La contraseña es un mecanismo de control de acceso ampliamente utilizado. Si bien es cierto, existen otros métodos, la Contraseña sigue siendo muy usada por su simplicidad.

Nos sirve para obtener acceso a diversos sistemas, computadores, controles de acceso, etc.

La contraseña es el secreto que permite a un sistema comprobar que tenemos acceso al recurso que solicitamos.

Sin embargo, si tu contraseña cae en manos extrañas, puede permitir a otros:

  • acceder a recursos que te pertenecen
  • actuar como si fueras tu
  • obtener tu información privada

En definitiva, otra persona actuando como tu puede engañar también a tus contactos y causar desde pequeñas molestias hasta grandes problemas.

¿De qué debemos cuidarnos?


Descuidos

La contraseña está expuesta a diario. Los métodos más comunes en que una contraseña es divulgada pueden ser:

Dejarla anotada en un papel

Es una de las principales formas de divulgación de contraseñas. Suele ocurrir en oficinas cuando varias personas requieren acceder a un sistema y no cuentan con contraseñas propias. Aún si el papel es tirado a la basura, existe un ataque de poca sofisticación pero de muy buenos resultados llamado dumpster diving, que consiste en buscar en la basura información útil como contraseñas o cualquier documento con información confidencial.

Entregarla bajo engaño

Sigue siendo la principal vía de robo de contraseña, y generalmente está asociada a ataques de Phishing donde se confía en lo que indica un correo solicitando claves de acceso a diversos sistemas con el fin de realizar alguna mantención, extender algun funcionamiento o entrar en un sorteo.

Incluso, se ha hecho habitual phishing que utiliza la imagen corporativa de las policias y simulando ser notificaciones formales de citaciones.

Equipos con malware

El malware que infecta equipos habitualmente incluye características de captura de tráfico y texto ingresado por el teclado que luego son enviados a un servicio controlado por un atacante que opbtiene finalmente las contraseñas que la víctima ha ingresado en cada sitio web o sistema en el que se ha autentificado. Mantener tu equipo libre de malware es una hábito tan necesario como cambiar de cepillo de dientes.

Finalmente las personas también están expuestas a ataques. Veremos ahora cuales son los ataques habituales a las contraseñas.

Mantener el "escritorio limpio" es útil también para proteger la contraseña.


Tipos de ataque

Desde el punto de vista de un atacante, uno de los objetivos mas simples para comenzar un ataque es aún la contraseña. En muchos casos las contraseñas utilizadas son muy fáciles de adivinar. En otros casos son fáciles de probar.

Contraseña predeterminada

Es el método mas simple, y consiste en intentar la ingresar en algun sistema con una contraseña predeterminada. Ejemplo: admin/admin o usuario/123456. Muchas veces básta con saber cual es el patron de elegido para establecer contraseñas predeterminadas, por ejemplo: usuario/XXXX donde XXXX son los 4 primeros dígitos del rut.

Obtención de contraseña por deducción o simple adivinanza

Este método consiste básicamente en intentar acertar a la contraseña correcta conociendo algo de información relativa a su dueño. Por ejemplo, al conocer el nombre completo y la fecha de nacimiento es posible intentar con unas cuantas contraseñas como:

  • juan1990
  • andres13

Hoy en día es habitual que exista información personal expuesta en Internet, ya sea voluntariamente a traves de Twitter, Facebook, blogs, foros, etc. A esto se le llama la huella digital de una persona y es muy útil para probar contraseñas o generar phishing a medida (Spear phishing).

Ataque de diccionario

Un diccionario corresponde a una lista de palabras seleccionadas probables de ser contraseña. Ejemplo:

  • 123456
  • amorcito
  • qwerty
  • password

Ataques de fuerza bruta

Este tipo de ataques consiste en intentar todas las contraseñas posibles según el sistema. Este método siempre logra encontrar la contraseña pues las prueba todas. La dificultad está en la cantidad de caracteres posibles de utilizar en la contraseña.

Ejemplo:

Supongamos una contraseña que sólo contenga números, es decir, 10 posibilidades para cada caracter y con largo de 8:

4 5 8 2 9 4 8 5

Un ataque de fuerza bruta contra este tipo de contraseñas, requiere probar 100 millones (10⁸)  de posibles valores. Si consideramos que un procesador puede realizar millones de operaciones por segundo, encontrar esta contraseña sólo tardaría 45 segundos.

Si agregamos la posibilidad de incluir letras minúsculas sin acento, tenemos 36 posibles caracteres. Eso da un espacio de claves de 36⁸ = 2.8 billones de contraseñas. Si suponemos la misma capacidad del procesador anterior, este ataque tarde 32 días en recorrer todo el espacio de claves posibles.

Si agregamos signos de puntuación o exclamación como, $%&/()=?¡-.:,!"#,el tiempo necesario crecería a mas de 300 días para recorrer el espacio de contraseñas posibles completo.

En muchos casos, la cantidad de pruebas que se puede realizar, es mucho mayor a 1 millon por segundo, por lo tanto se recomienda aumentar el largo de la contraseña.

Supongamos un largo de 10 con el mismo set de caractéres (48, incluyendo los signos, letras minúsculas y números) pero ahora con una capacidad mayor (100 millones de contraseñas por segundo).

El atacante tardaría aproximadamente 20 años en recorrer todo el espacio de contraseñas, por lo tanto, si cambiamos la contraseña cada 10 años, la probabilidad de que el atacante acierte, disminuye bastante.

El problema es que en algunos sistema no es posible establecer claves de este tipo, por lo tanto se recomienda el cambio frecuente de contraseña.

 

Mapa del sitio
Campus San Joaquín - Edificio Centro Desarrollo Docente - Teléfono: (56 2) 2 354 5555 - Correo: 5555@uc.cl
2014 Pontificia Universidad Católica de Chile - Avda. Vicuña Mackenna 4860, Macul - Santiago, Chile