¿Como hacen los hackers para averiguar tu contraseña?
martes, febrero 25, 2014
Antes que nada esta informacion la pongo en este blog para que cuiden sus datos y no los tengan por ahi escritos, ya que yo pase por esto mismo aunque afortunadamente una ves intentaron robarme mis contraseñas, y por suerte supe que hacer, esto es para tema, esta informacion aunque es escrita por otra persona, estaba mucho mas larga y tenia cosas que no iban al grano, pasemos a lo que nos trajo aqui:
¿Como hacen los hackers para averiguar tu contraseña?
Hay gente que cree que los ‘hackers’ pueden averiguar cualquier contraseña con un simple programa de desencriptación, esto no es cierto. Lo más que se puede hacer es usar un ataque de fuerza bruta con diccionario de claves, pero para probar cada clave, cifrarla, y luego comparar si la clave candidata es igual que la clave cifrada real, aunque esto tarda más tiempo, además hay métodos actuales de cifrado para los que hacer esto no es efectivo. todos los métodos actuales (y hay más) para obtener una clave se basan en obtenerla no cifrada.
Estos son los metodos mas comunes de obtencion de contraseña:
- Ataque a fuerza bruta: Se trata de probar todas las posibles contraseñas una a una. Seguramente pensarás en usar letras y números, y en dicho caso vas bien encaminado, aunque deberías de añadir el punto y la barra ‘/’, por si acaso. ¿Cuántas combinaciones habrá que probar? Bueno, teniendo en cuenta sólo esos símbolos, para una contraseña de un sólo carácter tendríamos 27 letras minúsculas + 10 números + 1 punto + 1 barra = 39 caracteres. Así, si la contraseña son dos caracteres, 39×39 = 1.521 combinaciones, si es de tres cifras 39x39x39 = 59.319 combinaciones,… siendo ‘n’ el número de caracteres nos daría que tendrías que probar 39 elevado a ‘n’ combinaciones, algo difícil para un humano. Por ello las personas que realizan este tipo de ataques suelen usar un programa que lo hace por su cuenta, de este tipo de programas hay montones por Internet, además que son fáciles de hacer incluso para alguien que sepa muy poco de programación. Además, para mayor rapidez, podemos usar varios ordenadores y que cada uno compruebe unas contraseñas diferentes (por ejemplo, si tenemos 2 ordenadores, que uno compruebe las contraseñas con las teclas pares y el otro con las impares). Lo malo es que, aún así, puede tardar demasiado en averiguar una contraseña de 6 caracteres (3.518.743.761 combinaciones, un poco más de tres mil millones y medio de combinaciones). Así una contraseña de 12 caracteres (4,738381338×10¹⁸ combinaciones) es la más segura. Y, como podrás imaginar, si la clave combina también letras en mayúsculas y otros símbolos, ya ni os cuento. Éste método es bueno pero demasiado inútil por lento.
- Ataque a fuerza bruta con diccionario de claves: El anterior método era bueno, pero tenía un fallo muy gordo para nosotros, así que lo mejoramos. Esto sería lo mismo que antes, pero en vez de probar las letras, número y símbolos uno por uno, probamos palabras de un idioma y las combinaciones de éstas. Para ello necesitamos un diccionario, es decir una colección de palabras, que pueden ser desde palabras de un idioma, nombres de deportistas/actores/escritores/músicos/famosos, nombres de marcas,… Es un ataque más común que el de fuerza bruta simple, ya que hay montones de diccionarios de claves por Internet y programas que los usen, incluso puedes crearte un diccionario a tu medida con las distintas aficiones de la persona a la que atacar. Las formas de contrarrestarlo son usando en la contraseña palabras que no existen, o añadiendo diversos símbolos en alguna parte de cada palabra. Pero como la mayoría de personas no hacen eso, tú tranquilo este método suele funcionar muy bien.
- Ataque por ‘fórmula matemática’: Éste se suele usar para descifrar contraseñas automáticas, como las que te dan las páginas cuando olvidas tu contraseña o, más común, las que tienen las redes WiFi. Se trata de buscar la ‘fórmula matemática’ que genera automáticamente las contraseñas, a partir de unos datos dados (que pueden tener que ver con los datos de la cuenta de tu contraseña olvidada), y una vez que la tengas hacer un programa que use dicha fórmula para averiguar contraseñas. Una vez que tenemos dicho programa, podemos averiguar cualquier contraseña en muy poco tiempo.
- Phishing: Otro ataque común y bastante efectivo pero para este tipo de ataque es necesario saber algo de programación web. Se suele usar en páginas bancarias, aunque hotmail lo sufrió en el 2009. Se trata de hacer una web idéntica a la original, y asignarle una url parecida a la original. Por ejemplo, supongamos que en vez de ‘hotmail.es’, colocamos la web idéntica a hotmail en ‘hootmail.es’. Pero nuestra web cuando el usuario introduce su email y su contraseña y pulsa en enviar, la web nos manda, a nuestro correo electrónico, su email y contraseña.
- Si sabes programación web y quieres conseguir claves de Facebook, y no quieres hacer una replica de la página principal de Facebook, puedes hacer una página (no importa lo cutre que sea, ni la publicidad que tenga) que se llame ‘Quién me ha eliminado de Facebook’ y pedir siempre el email y la clave de acceso de Facebook. Cuando le dé a entrar, tú tendrás la clave, y puedes mostrar simplemente un texto diciendo que ‘nadie le ha eliminado hoy’. No me lo estoy inventando, esto se hizo ya hace unos años (en el 2007) para atrapar contraseñas de hotmail, aunque usando la API de msn para mostrar a gente que supuestamente nos habían eliminado (una API es un montón de herramientas de programación que sirven para hacer cosas, por ejemplo la API de msn permite, mediante código de programación, conectar a un usuario al msn, enviar un mensaje instantáneo, ver la lista de contactos,… ). Si quieres hacer algo ‘más creíble’ y te atreves con la API de Facebook, puedes hacer una página que se llame ‘Mi top 10 de amigos de Facebook ‘, que también pida el email y la clave, pero, en vez de mostrar un texto, muestre 10 amigos de Facebook al azar. Te sorprenderá la cantidad de crédulos que caerán en tu trampa.
- Averiguar la respuesta a la pregunta de seguridad: Muchos emails permiten una respuesta de seguridad si no te acuerdas de tu contraseña, y si la contestas correctamente te permiten cambiar tu contraseña por otra nueva (sin preguntarte la antigua, claro). Tenemos que tener cuidado que la respuesta no sea fácil, es más, que no la conozca nadie. Sin embargo las preguntas de seguridad suelen ser muy fáciles de responder para aquel que te conoce un poco. Porque cosas como el nombre de un primo, o, como a mí me paso, de dónde es tu madre son muy fáciles de averiguar. La forma de fortalecer esto es responder algo que no tenga nada que ver con la pregunta, pero que te acuerdes, o mejor, usar otra contraseña que resista ataques de fuerza bruta con diccionario de claves. Pero eso no lo hace nadie, la mayoría de las personas ponen algo muy fácil.
- Ingeniería social: Convence o engaña a la persona para que te diga la clave. Todos nos reímos cuando nos lo cuentan, pero ésta es la forma más efectiva de conseguir una clave. Puedes inventarte una excusa de que le tienes que ayudar a configurar su correo para protegerlo de los ‘virus’, pero que para ello necesitas su contraseña, y que tiene que hacerse en tu ordenador porque ahí tienes muchas ‘herramientas informáticas’ que instalar en su correo; que no hace falta que venga a tu casa, que con sólo decirte la clave por teléfono o en un email ya está. Sí, es una falsedad y si sabes mucho de manejo del correo electrónico, pero por suerte, mucha gente sólo sabe que el correo electrónico tiene una ‘bandeja de entrada’, el ‘sparm’ y una ‘papelera’, así que te creerán.
- Puedes visitar su casa y mirar si la tiene escrita en un post-it o en un cajón de su escritorio guardada. Existe la teoría de que la mayoría de las claves están cerca del escritorio donde está el ordenador. También, si tienes una relación más cercana con la persona, puedes sonsacarle su clave. ¿No hay mucha gente que saben las claves de su pareja y cuando se separan se la lían virtualmente a su ex-pareja (si no cambian sus contraseñas antes de que pase algo así).
cualquier duda favor de dejarla en http://www.ask.fm/juliogzz
0 comentarios
Puedes dejar aqui tus comentarios si te gusto el tema, porfavor deja tu nombre en el texto :) gracias ;)