09/02/2023
Seis formas de robar tu contraseña
Explicamos cómo los atacantes pueden robar sus credenciales y cómo puede evitarlo.
Las fugas de contraseñas son uno de los problemas más molestos de la era digital. A primera vista, puede parecer que no es gran cosa: ¿a quién le importa si alguien descubre la contraseña de una cuenta de correo electrónico antigua que rara vez se usa y no contiene nada de valor?
Pero luego recuerda que este mismo correo electrónico está vinculado a sus cuentas de redes sociales, sin mencionar las aplicaciones bancarias y otras, y ahora está en manos de ciberdelincuentes. Además de la angustia de perder dinero y datos, tal fuga puede causar grandes dolores de cabeza para sus amigos, familiares y colegas; después de todo, una cuenta secuestrada se puede usar para enviar correos electrónicos de phishing o estafa en su nombre a todos sus contactos.
En esta publicación, explicamos cómo sus credenciales pueden ser robadas y cómo reducir el riesgo de que se filtren. Claro, la precaución y la vigilancia juegan un papel importante en ello, pero hay soluciones de alta tecnología diseñadas específicamente para evitar fugas, que a menudo manejan las amenazas mucho mejor que a simple vista.
Ladrones de troyanos
Estos espías sigilosos, una vez en su dispositivo, generalmente no muestran signos visibles de actividad. Después de todo, cuanto más tiempo permanezcan bajo el radar, más datos de sus datos podrán robar y pasar a sus manejadores, como contraseñas para aplicaciones bancarias o servicios de juegos.
Un troyano puede entrar en su computadora o teléfono inteligente si abre un archivo malicioso enviado por otro usuario, descargado de un sitio web o copiado de medios externos. Recuerde que cualquier archivo ejecutable de Internet es una trampa potencial.
Pero incluso aquellos archivos que parecen no ejecutables deben tratarse con precaución. Los ciberdelincuentes hacen todo lo posible para engañar a las víctimas disfrazando archivos maliciosos como imágenes, videos, archivos, documentos, etc., y a menudo tienen éxito. Por ejemplo, pueden cambiar el icono o usar un nombre de archivo diabólicamente astuto que imite un formato seguro. Además, incluso un documento de Office ordinario puede convertirse en una trampa bajo ciertas condiciones: un script malicioso en el documento puede explotar una vulnerabilidad en el programa que usa para abrirlo.
Por lo tanto, para combatir tales fugas, recomendamos instalar una solución de seguridad que pueda detectar y bloquear troyanos de spyware. Si usa Kaspersky, ya está armado con:
Antivirus de archivos que escanea el contenido de su dispositivo y cualquier medio conectado, y detecta archivos maliciosos;
Antivirus de correo que bloquea enlaces y archivos adjuntos peligrosos en correos electrónicos.
Phishing
Los correos electrónicos de phishing vienen en una variedad de formas, pero el objetivo siempre es atraerlo a un sitio web falso y hacer que ingrese sus credenciales. Puede ser un mensaje que dice que su cuenta bancaria ha sido bloqueada, o una oferta anticipada para suscribirse a una sala de cine en línea. O podría ser un enlace de phishing de un extraño atractivo en Tinder, un comprador potencial de su producto en Amazon o incluso un amigo cercano (si su correo electrónico fue pirateado por estafadores).
El consejo estándar en esta situación es mirar cuidadosamente la URL: algunos sitios falsos tienen una letra adicional en la dirección, un nombre de dominio doble, etc. Sin embargo, eso no siempre ayuda, ya que los ciberdelincuentes modernos han aprendido a disfrazar sus falsificaciones. Por ejemplo, en caso de un ataque de navegador en el navegador, es posible que vea un sitio de phishing con una dirección genuina.
Por lo tanto, es mejor ir a lo seguro y usar una solución de seguridad que detecte los ataques de phishing y le advierta sobre ellos. En su aplicación Kaspersky, esto es manejado por:
* Asesor de URL que verifica la URL con una base de datos en la nube de sitios peligrosos;
* Navegación segura que comprueba el contenido del sitio en busca de elementos maliciosos.
Ataques del navegador
A menudo, las contraseñas son robadas a través de vulnerabilidades o extensiones del navegador. En el primer caso, el código especialmente diseñado en una página web coloca spyware en su dispositivo. En el segundo, usted mismo instala un script malicioso bajo la apariencia de un práctico complemento de navegador. Después de eso, cuando vas a, digamos, un sitio web de un banco, este script redirige todo el tráfico a través de un servidor proxy de piratas informáticos, derramando tus credenciales en el proceso.
La función Pago seguro en Kaspersky proporciona protección contra tales ataques. Habilita automáticamente el modo Navegador protegido cuando visita tiendas en línea o bancos, o utiliza sistemas de pago en línea.
Wi-Fi público
Los atacantes también pueden interceptar datos (incluidas contraseñas) enviados a través de la red si está utilizando Wi-Fi sin cifrar o protegido por WEP antiguo. Otra variante es cuando un hacker configura un punto de acceso Wi-Fi público con un nombre similar a una red existente (generalmente perteneciente a una cafetería, hotel o centro de negocios cercano). El usuario desatento se conecta al punto de acceso falso y todo su tráfico de Internet fluye directamente a los ciberdelincuentes.
Puede evitar tales fugas verificando cuidadosamente los nombres de las redes, evitando puntos de acceso sospechosos y deshabilitando la conexión automática a Wi-Fi. Mejor aún, asegúrese de que todo su tráfico esté encriptado, entonces, incluso si se conecta al punto de acceso incorrecto, los espías no sabrán qué está enviando o dónde.
Puede habilitar VPN Secure Connection en su aplicación Kaspersky en la configuración de Privacidad. Tenga en cuenta que con el Más y Prima versiones, obtienes tráfico VPN ilimitado.
Contraseñas por todas partes
Luego, por supuesto, hay personas que escriben contraseñas en notas adhesivas y trozos de papel, y luego las dejan a la vista de cualquier transeúnte. No seas como ellos. También es peligroso escribir contraseñas en archivos de texto inseguros en su computadora o teléfono inteligente, o almacenar contraseñas en el navegador para autocompletarlas.
Entonces, ¿qué hacer en su lugar? Después de todo, los expertos en seguridad de la información hablan sobre la necesidad de contraseñas seguras que no puedan ser forzadas por el cuerpo. Tampoco dejan de despotricar sobre nunca usar la misma contraseña más de una vez, porque si te la roban, los atacantes tendrán más que robarte. ¿Es la solución, entonces, crear un palacio de la memoria lleno de contraseñas largas y complejas? Pero casi nadie tiene una mente tan dotada.
Una opción más fácil es usar un administrador de contraseñas protegido por un cifrado fuerte. Simplemente ingrese todos sus nombres de usuario y contraseñas y memorice solo una contraseña maestra para la bóveda.
En su Aplicación Kaspersky, esta bóveda segura es proporcionada por Password Manager. Hagas lo que hagas, ¡no escribas tu contraseña maestra en una nota adhesiva adjunta al monitor!
Fugas externas
Todo lo anterior se trata de mantener las contraseñas seguras en su extremo, pero las fugas a menudo ocurren en servicios remotos de Internet: tiendas en línea, redes sociales, intercambios de cifrado o cualquier otro recurso con autenticación de inicio de sesión. Al piratear un sitio de este tipo, los ciberdelincuentes pueden obtener una enorme base de datos de usuarios, además de contraseñas y otros datos personales.
Además, los propietarios de dichos sitios no siempre están dispuestos a informar sobre tales hacks. Mientras tanto, sus datos se transmiten o se ponen a la venta en la web oscura. Los expertos de Infosec supervisan la publicación de dichas bases de datos y advierten a los usuarios.
Como siempre, sin embargo, tenga cuidado: aquí, también, tales "expertos" pueden parecer estafadores disfrazados. Este es un método común de phishing: el usuario recibe un mensaje sobre una supuesta filtración y se le invita a seguir un enlace a un sitio solicitando sus credenciales supuestamente para verificación, con lo cual la contraseña es robada de verdad.
Usted Aplicación Kaspersky tiene un servicio para verificar si realmente ocurrió una fuga o no. Llamado Data Leak Checker, se encuentra en la pestaña Privacidad. Le permite verificar si su correo electrónico está detectado en una base de datos robada en algún lugar. Si es así, recibirá una lista de sitios con fugas, el tipo de datos que se hacen públicos (personales, bancarios, historial de actividad en línea, etc.), así como recomendaciones sobre qué hacer al respecto.
Protección para todas las estaciones
Por supuesto, el robo de contraseñas no es la única desgracia que puede sucederle a tu yo digital. Los atacantes tienen todo tipo de trucos bajo la manga para robar datos valiosos, vaciar cuentas bancarias en línea y causar otros daños: spyware, ransomware, sitios web falsos, mineros maliciosos, y la lista continúa.
