Ataque de diccionario, la peligrosa técnica de fuerza bruta que los atacantes usan para robar tus contraseñas con estas letras
Es uno de los ataques más antiguos y conocidos, aunque sigue siendo letal en caso de que tengas alguna contraseña débil o entre las más utilizadas.
Un ataque de fuerza bruta consiste prácticamente en una técnica que usan los cibercriminales mediante prueba y error: si una contraseña no funciona, pasan directamente a la siguiente hasta que sea la correcta.
Muchos servicios cuentan con herramientas de verificación adicionales para evitar que esto ocurra, como el límite en el número de intentos de inicio de sesión o la autenticación en 2 pasos, una protección más para evitar que tu contraseña caiga en malas manos.
Esta técnica es una de las más antiguas del mundo de Internet, aunque eso no implica que no sea realmente devastadora, ya que existen incluso herramientas que pueden automatizar los intentos de autenticación fraudulenta.
Uno de los ataques más sencillos de fuerza bruta es el que se basa en utilizar una combinación de contraseñas muy débiles o predeterminadas, como pueden ser "1234" o "0000" en el desbloqueo de un PIN numérico de 4 dígitos.
Entre los ataques de fuerza bruta, aparece uno de los más temidos, como es el ataque de diccionario, que se aprovecha de un listado de contraseñas muy simples y prueba todas las de este diccionario particular para saltarse la autenticación.
Más aún, si el ataque es dirigido, los atacantes podrían elaborar un diccionario personalizado con términos asociados a un usuario, como el lugar de nacimiento, de residencia, el nombre de una mascota o cualquier otro dato personal.
Nunca pongas este tipo de contraseñas
Según menciona Kaspersky, una de las empresas de ciberseguridad más importantes a nivel mundial, un ataque de diccionario consta de 3 fases, la primera de estas con la creación de una lista predefinida de posibles contraseñas –lo que se denomina diccionario de fuerza bruta–.
En el segundo paso, el atacante utiliza diferentes herramientas que automatizan la introducción de los términos de ese diccionario, como puede ser John the Ripper, una de las más conocidas en este ámbito.
Finalmente, el atacante usa los datos personales de la cuenta comprometida para realizar todo tipo de acciones, como el acceso ilícito a entidades bancarias o a perfiles de redes sociales asociados a las credenciales obtenidas.
No existe ninguna contraseña inquebrantable, pero sí se pueden tomar varias precauciones para evitar ser víctimas de un ataque de diccionario.
Según el recuento de contraseñas más frágiles elaborado por NordPass, existen aún muchos usuarios que utilizan algunas que no deberías usar en ningún caso, como "123456" –y sus variaciones–, "España", "qwerty123", "00000" o "11111".
Todas ellas pueden ser descifradas en menos de 1 segundo, por lo que no deberías utilizarlas bajo ningún concepto; por el contrario, existen varias recomendaciones para esquivar este tipo de técnicas de ataque mediante herramientas de software especializadas.
Cómo crear una contraseña a prueba de ataques de diccionario
Las contraseñas mencionadas anteriormente son genéricas y suelen venir asociadas, por ejemplo, cuando estrenas una tarjeta SIM o quieres entrar a la configuración de tu nuevo router. Afortunadamente, el castellano cuenta con la letra "ñ", difícil de adivinar.
Esto se debe a que muchos diccionarios se basan en idiomas ajenos a España o América Latina, además de que muchos teclados de ordenadores no llegan con esta de forma predeterminada. Introducir esta letra en tu contraseña siempre es un plus en seguridad.
Además de esto, lo más recomendable es usar una contraseña larga con una combinación de símbolos y letras –tanto mayúsculas como minúsculas–. Como ejemplo puedes tomar la de tu router y aplicar el mismo formato a tus cuentas personales.
Ahora bien, existe incluso una solución mucho mejor para protegerse: no utilizar ninguna contraseña en absoluto. Para ello, activa siempre que puedas la identificación biométrica o elige alguna solución adicional, como los gestores de contraseñas.
Así, tendrás una individual para cada uno de los servicios de autenticación, sin necesidad de recordarlas todas y con la posibilidad de acceder a estas mediante la huella dactilar. Con ello, evitarás ser víctima de un ataque de diccionario.