¿Sabes cómo se las arregla un hacker habitualmente para averiguar una contraseña? Te cuento técnicas para saber cómo protegerte

Quienes en alguna ocasión han visto cómo su cuenta de correo, Facebook, Twitter o cualquier otro servicio web ha sido “hackeada” se suelen hacer la misma pregunta: ¿cómo es posible que hayan averiguado la contraseña? Hay gente muy descuidada, cierto, pero también hay quien está siendo precavido y aún así ve cómo su seguridad queda comprometida. ¿Por qué ocurre esto?

Normalmente porque, en realidad, no somos tan precavidos como pensamos. Obviamente si un delincuente informático experimentado trata de entrar en nuestro correo hay poco que podamos hacer, del mismo modo que echar el pestillo de casa no sirve de mucho ante una carga de dinamita.

Un usuario normal no suele enfrentarse a ataques de tanto nivel; los hackers realmente habilidosos casi nunca se dirigen contra particulares sino contra grandes empresas, entidades gubernativas, bancos… Si alguien entra en tu cuenta de correo es más probable que sea un chaval con tiempo libre y ganas de fastidiar; ante ese tipo de ataque, basta con tener pequeños conocimientos de seguridad informática para estar razonablemente seguros.

Y a esto se suma el principal problema de la seguridad informática de un usuario: la reutilización de contraseñas, que hace que baste con “cazarnos” una contraseña para que puedan acceder a muchísima información nuestra. ¿Y qué más da que me roben la contraseña, pongamos, de Steam o Spotify? Si tienes registrada la información de tu tarjeta de crédito para facilitar los pagos, puedes acabar en un aprieto… Como ya hemos recomendado en otra ocasión: ¡usa una contraseña diferente para cada cosa!

En otras ocasiones ya hemos ofrecido en estas páginas consejos de seguridad para nuestras contraseñas. Para entender realmente cómo defendernos de esos ataques lo mejor que podemos hacer es saber precisamente en qué consisten: cuáles son las técnicas habituales para averiguar la contraseña o algún otro dato privado de una persona. Vamos a repasar las formas más habituales de romper una contraseña para ofrecer consejos que permitan protegernos de todas ellas.

1. Por ‘fuerza bruta’

La forma más extendida de averiguar una contraseña es, sencillamente, probar una y otra vez hasta que aciertas. Obviamente esto no se hace a mano (¡tardarías años!): existen programas informáticos relativamente fáciles de encontrar y utilizar que primero prueban con un amplio diccionario de palabras, luego las combinan de distintas formas y finalmente tratan de probar caracteres al azar hasta que aciertan.

¿Piensas que incluso un ordenador tardaría demasiado? Ten en cuenta que la mayoría de usuarios utilizan contraseñas muy obvias: nombres propios, palabras simples, una fecha de nacimiento… Pan comido para un programa que puede realizar millones de operaciones en segundos. Si recuerdas las peores contraseñas de Internet que publicamos en Vadejuegos hace un tiempo, las dos más extendidas eran ‘password’ y ‘123456’…

2. Con un keylogger

Un keylogger es un programa informático que registra todas las teclas que pulsamos en el teclado. Es decir: si consiguen infectar nuestro ordenador con un virus troyano que incluya un keylogger, el hacker en cuestión sabrá todo lo que escribimos… incluyendo nuestras contraseñas.

Este tipo de herramientas son algo más complejas de usar, y hay una forma relativamente sencilla de mantenerse más o menos a salvo: sé precavido en Internet. No entres en páginas en las que no tengas confianza, utiliza un buen antivirus actualizado al día, no abras archivos de procedencia desconocida y no dejes que un extraño “mangonee” tu ordenador (portátil o de sobremesa).

3. A base de ingenio

Has puesto una contraseña de dieciocho caracteres que combina mayúsculas, minúsculas y hasta runas vikingas y crees que ya estás seguro. ¡No tan rápido! ¿Qué has puesto en las preguntas de seguridad? Ten en cuenta que hay tanta información en Internet que es muy posible que alguien con paciencia e ingenio pueda averiguar cómo se llamó tu primer perro o el nombre de tu primera pareja del instituto…

Otro ejemplo: quizá tu dirección de correo profesional tenga una buena contraseña… pero has puesto como dirección de recuperación de contraseña (para recibir una nueva si se te olvida) una dirección con una contraseña fácil de romper o preguntas de seguridad muy obvias. ¡No se lo pongas tan fácil a los hackers! No utilices jamás ningún dato de tu vida (salvo que sea un auténtico secreto) como “llave” de tus datos privados en Internet.

4. Mediante ingeniería social

La ingeniería social es un conjunto de técnicas para manipular a una persona para que te dé información confidencial que no debería darte. Tienes una contraseña muy difícil de capturar, eres precavido con las preguntas de seguridad… Pero sigue habiendo formas de conseguir tu contraseña. El phishing, por ejemplo, es una de las formas más básicas de ingeniería social: hacer creer a un usuario que eres, por ejemplo, administrador de su banco y necesitas la contraseña de su tarjeta. ¡Te sorprendería saber la cantidad de gente que “pica”! También hay hackers que engañan a los servicios técnicos para que les entreguen la cotnraseña.

Para ello investigan a la persona en cuestión con toda la información disponible en Internet. Se aprovechan de la buena fe de las personas: en el fondo, casi todo el mundo quiere ayudar y casi nadie piensa que puede ser engañado (¡todos nos creemos muy listos!). Basándose en la información que conocen (y haciéndose los despistados con la que no conocen) hay auténticos genios a la hora de sonsacar datos a los demás.

¿Y qué podemos hacer?

¿Cómo estar a salvo de estos ataques? Es imposible ser absolutamente invulnerable, pero hay formas de que, al menos, tus contraseñas sean muy difíciles de averiguar. Cuanto más caracteres tenga y más combine diferentes tipos (números, letras, símbolos, mayúsculas, minúsculas…) más complicada será de romper. Aquí tienes algunos consejos que ya dimos hace tiempo sobre cómo elegir contraseña segura.

Más consejos imprescindibles: cambia tu contraseña cada cierto tiempo y no la utilices para distintos servicios de Internet. Por supuesto, jamás se la digas a nadie que no sea de tu absoluta confianza y no la dejes por escrito al alcance de ojos fisgones. Limita a lo imprescindible la información sobre tu vida privada que aparece en Internet, y evita a toda costa utilizar esa información como elemento de seguridad (¡no pongas de contraseña el nombre de tu madre!).

Con respecto a los sistemas de recuperación de contraseña, ya hemos contado que suponen un importante agujero de seguridad. Para evitar problemas hay dos consejos muy sencillas: la primera es elegir una respuesta absurda y memorizarla. Si te preguntan por el nombre de tu primera mascota una respuesta como “La pizza es la comida favorita de las Tortugas Ninja” será mucho más difícil de averiguar. El segundo consejo es que utilices una cuenta de correo secreta para recuperar contraseñas; de este modo evitarás una de las formas habituales para robar claves. Ponle a esa cuenta de correo un nombre extraño que nadie pueda relacionar contigo.

Un último consejo extremadamente útil como último recurso: cada vez más servicios de Internet permiten que introduzcamos nuestro teléfono móvil como elemento de seguridad. El mecanismo es muy sencillo: si el sistema detecta que se está accediendo a nuestra cuenta desde algún sitio diferente al habitual (cosa que puede detectar gracias a la dirección IP) nos enviará un SMS a nuestro teléfono con un código de confirmación. Si eres tú quien está accediendo desde un ordenador diferente no hay problema. Si es otra persona sabrás que ha llegado el momento de cambiar las contraseñas…