Internet

Técnicas de descifrado de contraseñas más comunes utilizadas por los piratas informáticos

Estás leyendo la publicación: Técnicas de descifrado de contraseñas más comunes utilizadas por los piratas informáticos

La forma más fácil de hackear cualquier cuenta es con el nombre de usuario y la contraseña. Por supuesto, esto no suele ser una opción.

Es posible adivinar una contraseña, pero tiene una tasa de éxito muy baja.

Ambas opciones anteriores dependen de que conozcas el objetivo.

Ese no es el caso de la mayoría de los piratas informáticos, razón por la cual utilizan las últimas técnicas de descifrado de contraseñas.

Estos suelen ser muy eficaces.

Ya sea que desee piratear la cuenta de alguien o simplemente aprender a proteger la suya, conocer las técnicas más comunes para descifrar contraseñas lo ayudará.

Comprender el descifrado de contraseñas

El descifrado de contraseñas es el término que se utiliza cuando se toma la contraseña de otra persona.

Existen varias técnicas, que van desde ataques sutiles hasta ataques de fuerza bruta (cuando se prueban todas las combinaciones posibles de contraseñas).

Independientemente del enfoque, el resultado final es el mismo, para averiguar la contraseña.

Algunos sitios web aún almacenan contraseñas dentro de las cookies.

Si estos no están encriptados, es muy fácil para un descifrador de contraseñas ubicar la cookie y descifrar la contraseña.

Esto se debe a que la contraseña se almacenará como texto sin formato, acceder a ella le dará al pirata informático todo lo que necesita para iniciar sesión en una cuenta.

Afortunadamente, la mayoría de las contraseñas, incluso las almacenadas en su propio administrador de contraseñas, estarán encriptadas.

En general, la contraseña se somete a un proceso de cifrado unidireccional, conocido como KDF, y se transforma en un hash.

Esto se almacena en el servidor.

Desafortunadamente, las contraseñas almacenadas como hash son bastante fáciles de descifrar con un ataque de fuerza bruta.

La mayoría de los servidores ahora usan algoritmos de estiramiento de claves para hacer que los ataques de fuerza bruta sean más lentos y difíciles.

Su ataque promedio de descifrado de contraseñas seguirá el mismo proceso cada vez:

  • Recopile las contraseñas almacenadas como hash del sitio web correspondiente
  • Elija una herramienta de craqueo y luego prepare sus hash en consecuencia
  • Deje que la herramienta de craqueo haga su trabajo
  • Eche un vistazo a los resultados y pruebe una contraseña o dos
  • Ajuste la técnica de piratería y vuelva a ejecutarla para mejorar los resultados.

Los siguientes métodos para descifrar contraseñas funcionarán con contraseñas sin cifrar o aquellas con un cifrado deficiente.

Todavía hay una cantidad sorprendente de servidores que utilizan un cifrado deficiente.

Sin embargo, si se utiliza la encriptación de extensión y salado de claves, no todos los métodos siguientes funcionarán.

Técnicas de descifrado de contraseñas más comunes

Si bien la fuerza bruta suele ser una forma efectiva de localizar contraseñas, la verdad es que es lenta y los piratas generalmente buscan la opción más simple y rápida.

En la mayoría de los casos, esto significa apuntar a la persona en lugar de a la computadora.

Los seres humanos son generalmente el eslabón más débil de la cadena.

Echemos un vistazo a algunas de las técnicas de descifrado de contraseñas más comunes:

1. suplantación de identidad

El phishing es una de las formas más sencillas de obtener la contraseña de alguien y sigue siendo sorprendentemente eficaz.

El pirata informático enviará un correo electrónico al objetivo informándole de un problema con su cuenta y alentándolo a iniciar sesión y verificar su cuenta.

Dentro del correo electrónico habrá un enlace en el que el atacante quiere que el lector haga clic. Parecerá ser un atajo para iniciar sesión en su cuenta.

Sin embargo, el acceso directo conduce a una página de inicio de sesión falsa. Un buen ataque de phishing garantizará que la página falsa se vea idéntica a la real.

Esto le anima a introducir su nombre de usuario y contraseña.

🔥 Recomendado:  Cómo hackear la aplicación LINE Messenger en 2023

Desafortunadamente, el codificador en el sitio web falso incluirá un software de extracción de contraseñas que entrega su nombre de usuario y contraseña al atacante.

Es posible que se dé cuenta de que hay un problema cuando ingresó sus datos de inicio de sesión y no inició sesión.

O simplemente puede cerrar el navegador, abrir uno nuevo e iniciar sesión correctamente, sin darse cuenta de que ha sido pirateado.

Hay tres tipos diferentes de ataques de phishing:

Este enfoque se dirige a un individuo específico y, antes de lanzar un ataque, el atacante intentará obtener la mayor cantidad de información personal posible. Esto facilita el lanzamiento de auténticos ataques de phishing.

Este tipo de phishing está dirigido a gerentes/propietarios de negocios. El correo electrónico es específico sobre el negocio y pretende ser una queja de un cliente o accionista.

El phishing de voz significa dejar un mensaje en el correo de voz de alguien y decirle que debe comunicarse con la institución correspondiente de inmediato. Se proporciona el número de contacto.

Cuando llame, se le pedirá que confirme los detalles de su cuenta, específicamente la contraseña.

2. Malware

Esto es similar al phishing pero no se basa en saber nada sobre el objetivo.

El malware se puede enviar a miles de personas.

Algunos serán lo suficientemente ingenuos como para hacer clic en el enlace adjunto.

Si lo hace, permitirá que el software se descargue en secreto en el dispositivo.

Por lo general, incluye un registrador de pulsaciones de teclas, lo que permite al pirata informático ver cada botón que se presiona.

A partir de esto, pueden calcular nombres de usuario y contraseñas, junto con una variedad de otra información personal.

Este enfoque también permite que un hacker introduzca un troyano en un dispositivo.

Esto va un paso más allá de monitorear las pulsaciones de teclas, le permite al hacker acceso completo al dispositivo.

3. Fuerza bruta

Como se mencionó, los ataques de fuerza bruta son efectivamente un programa informático diseñado para ejecutar todas las combinaciones posibles de contraseñas.

El tiempo que tomará hacer esto depende de cuántas combinaciones posibles haya.

La mayoría de los piratas informáticos agregarán una herramienta de descifrado de contraseñas al proceso de fuerza bruta.

Esto permite que las herramientas asimilen información personal y la utilicen para limitar el ataque de fuerza bruta, lo que reduce efectivamente la cantidad de tiempo que llevará descifrar una contraseña.

No olvide, cuando la fuerza bruta funciona y un atacante obtiene la contraseña, la intentará en otros sitios.

Después de todo, la mayoría de las personas reutilizan sus contraseñas.

4. Ataques de diccionario

Este es efectivamente otro tipo de ataque de fuerza bruta. De hecho, estos dos enfoques a menudo se usan en conjunto a medida que obtienen resultados.

Este enfoque agrega frases comunes a un ataque de fuerza bruta y las contraseñas más comunes actuales.

Un ataque de fuerza bruta estilo diccionario suele ser muy exitoso y rápido, siempre que la contraseña sea simple.

Cuando está utilizando una contraseña segura, el ataque de diccionario no ayudará mucho, dejando que el ataque bruto haga todo el trabajo.

5. Ingeniería Social

La ingeniería social no requiere necesariamente software, aunque vale la pena usar técnicas de raspado de datos.

El principio es escanear las cuentas de redes sociales de un individuo específico y extraer la mayor cantidad de información posible.

Esto puede proporcionarle el nombre, la ubicación, la fecha de nacimiento y una gran cantidad de otra información útil.

Si bien es poco probable que esto le dé una contraseña, se puede usar junto con un ataque de fuerza bruta para limitar las combinaciones objetivo y acelerar el proceso de piratería.

Por supuesto, a medida que la tecnología ha mejorado, también lo han hecho las opciones relacionadas con la ingeniería social.

Al acceder a las cuentas de las redes sociales, los piratas informáticos pueden usar IA, combinada con tecnología de voz, para recrear artificialmente la voz de alguien.

🔥 Recomendado:  La nueva herramienta AI de Google puede ayudar a escribir borradores de Gmail y Docs

Esto les permitirá hacer llamadas, haciéndose pasar por el individuo.

Al hacer esto, y apuntar a las grandes empresas, los piratas informáticos no necesitan encontrar una contraseña, simplemente pueden convencer a un director ejecutivo de que se desprenda del dinero, creyendo que lo envían de acuerdo con las prácticas comerciales normales.

Este tipo de enfoque a menudo comienza cuando un hacker se pone en contacto con el objetivo.

Se hará pasar por un funcionario de una empresa reconocida.

El objetivo es simplemente obtener la mayor cantidad de información posible, lo que les permite realizar un seguimiento con la llamada de IA.

Como el pirata informático tendrá suficiente información personal, debería resultarle fácil convencer a un director ejecutivo para que comparta una contraseña o envíe los fondos necesarios.

Vale la pena señalar que el acercamiento inicial se puede hacer por teléfono, a través de las redes sociales o incluso cara a cara.

6. Araña

Esta es otra adición que se puede usar cuando se realiza un ataque de fuerza bruta.

De hecho, este enfoque puede funcionar simultáneamente con ataques de fuerza bruta y de diccionario.

Spidering significa recopilar información sobre un objetivo.

Es una forma de raspado de datos que se enfoca en encontrar la mayor cantidad de información posible sobre el objetivo.

Este enfoque supone que la contraseña se conectará a la información de la persona o empresa.

Una búsqueda spidering crearía este tipo de información:

  • Fundador: Elon Reeve Musk
  • Fundador Fecha de nacimiento – 28/06/1971
  • Hermanos – Kimbal Musk, Tosca Musk, Alexandra Musk
  • Nombre de la empresa – SpaceX
  • Segundo nombre de la empresa: Tesla
  • Nombre de la tercera empresa: Twitter
  • Sede de SpaceX – Hawthorne, California
  • Sede de Tesla – Austin, Texas
  • Sede de Twitter – San Francisco, California

Esta es solo una pequeña cantidad de la información que podría recuperarse rápidamente.

Utilizado con una herramienta de descifrado de contraseñas, podría potencialmente resolver contraseñas de empresas o individuales extremadamente rápido.

7. La mesa del arcoíris

Una tabla arco iris es simplemente una compilación de las contraseñas más utilizadas y sus versiones hash equivalentes.

La tabla también incluirá las contraseñas filtradas y las que se hayan descifrado previamente.

En efecto, un pirata informático terminará con una tabla larga que muestra una gran variedad de contraseñas, todas las cuales se usan comúnmente o se sabe que son contraseñas genuinas.

Esta compilación enumera todas las contraseñas y su equivalente hash.

Un pirata informático simplemente necesita extraer la contraseña hash de un servidor y compararla con su lista.

El software hace la comparación, haciéndola mucho más rápida que un ataque directo a la contraseña.

Si el hash corresponde a algo en la tabla del arco iris, sabrá instantáneamente cuál es la contraseña.

Por supuesto, este enfoque generalmente falla si las contraseñas almacenadas se han ampliado o modificado con sal.

8. Adivina

La última opción que mencionamos al principio, simplemente adivinar la contraseña. Para ello, puede consultar las contraseñas más utilizadas.

Eso incluye:

  • Contraseña
  • Contraseña123
  • QWERTY
  • 123456
  • 1q2w3e
  • 111111

Alternativamente, las personas a menudo usan el nombre de su mascota o su fecha de nacimiento, lo que facilita adivinar la contraseña.

Crear una contraseña segura

La mejor manera de proteger su contraseña es hacerla fuerte.

Idealmente, debe elegir una combinación aleatoria de letras, números y caracteres especiales.

También debe ser lo más largo posible, al menos 12 caracteres.

Ni siquiera necesita crear la contraseña usted mismo, simplemente use un generador de contraseñas.

No solo la contraseña será más larga, sino que, como es completamente aleatoria, será muy difícil de descifrar.

Por supuesto, también debe tener una contraseña única para cada inicio de sesión.

Entonces, si se descifra una contraseña, solo hay una cuenta en riesgo.

🔥 Recomendado:  ¿Cuántas publicaciones en Instagram por día? ¡La frecuencia óptima revelada!

Herramientas para descifrar contraseñas

Con miles o incluso millones y miles de millones de posibles combinaciones de contraseñas, no puede ingresar cada una para ver si funciona. Necesitas ayuda informática.

Eso viene en forma de herramientas para descifrar contraseñas:

juan el destripador

Esta es una herramienta gratuita de descifrado de contraseñas de código abierto.

Se puede usar con sistemas Linux y Mac y se adapta a cifrados de tipo cifrado y hash.

HashSuite ha sido desarrollado, basado en John The Ripper, para dispositivos Windows y Android.

Caín y Abel

Esta es una herramienta de piratería extremadamente popular ya que tiene una interfaz muy amigable y fácil de usar.

Es tan fácil de usar que ni siquiera necesita conocimientos de codificación informática.

Sin embargo, solo se puede usar con Windows.

Cain and Abel es el mejor punto de partida para los aficionados o principiantes en el descifrado de contraseñas.

Hidra de THC

Esta opción de código abierto tiene una gran cantidad de protocolos que puede admitir.

Estos incluyen Cisco AAA, FTP, HTTP-Proxy, SOCK5 y muchos más.

El software utiliza una mezcla de fuerza bruta y ataques de diccionario, junto con listas de palabras, lo que lo hace sorprendentemente rápido y efectivo.

Se puede usar con Windows, Mac e incluso Linux.

hachís

Hashcat también es gratuito y de código abierto. Generalmente se la conoce como la opción más rápida y se basa en la fuerza bruta combinada con una variedad de otras técnicas, incluidas las listas de palabras.

Funciona con Windows, Mac y Linux, y puede descifrar más de 300 tipos de hash.

Por supuesto, necesitará el hash antes de poder comenzar. Afortunadamente, existen herramientas para ayudarlo a obtener el hash.

La legalidad del descifrado de contraseñas

La gente instantáneamente asume que la piratería es ilegal y, por lo tanto, también lo son las herramientas involucradas en la piratería.

Sin embargo, todas las herramientas para descifrar contraseñas que se enumeran aquí son legales.

Son utilizados por empresas que prueban la seguridad de las contraseñas, por funcionarios encargados de hacer cumplir la ley e incluso para ayudar a recuperar contraseñas perdidas.

Lo que más importa cuando se considera la legalidad es la intención.

La intención de tomar los datos de alguien después de usar una herramienta de craqueo y luego usarla para fines dudosos probablemente se considere ilegal.

Antes de comenzar a descifrar contraseñas, tenga en cuenta que el castigo puede ser una multa o varios años de prisión.

Resumiendo

Existen varias técnicas efectivas para descifrar contraseñas, pero quizás el detalle más sorprendente es que no necesita ser un profesional para descifrar una contraseña.

Las técnicas anteriores, combinadas con la herramienta adecuada, significa que casi cualquier persona puede piratear una contraseña con éxito.

Simplemente comience con la fuerza bruta y continúe con enfoques más complicados.

Si desea mantener su contraseña segura, asegúrese de usar una contraseña segura, idealmente una creada por un generador de contraseñas.

Si es posible, agregue la autenticación de dos factores.

Eso hace las cosas mucho más complicadas para un hacker.

Otros temas interesantes:

Tabla de Contenido