¿Por qué no es tan fácil "hackear" una cuenta en internet (redes sociales o correo electrónico)?- Parte I #Podcast

Introducción

Notas del episodio en https://www.soysoliscarlos.com/por-que-no-es-tan-facil-hackear-una-cuenta-en-internet-redes-sociales-o-correo-electronico-parte-i-podcast
Hola a todos, primero quiero disculparme por no haber publicado durante las semana pasadas anteriores, cosas de la agenda diaria que lo complican a uno, y para reivindicarme con ustedes esta semana tendremos dos publicaciones, bueno,pues aquí estoy y también estoy haciendo un poco de trampa, porque es un solo éste articulo, lo único que voy hacer es picarlo en dos partes, así que ya tenemos la publicación de la semana que viene.

En esta ocasión les hablaré de algo que siempre me pregunta, tanto los que se están iniciando, como los que no saben mucho de la materia, y de ciberseguridad. Y es que parece que cuando le dices a alguien que trabajas es ciberseguridad lo primero que te preguntan es ¿me puede hackear el Facebook de mi novia? y cuando le dices que no (dejando más allá los aspectos ético y morales) entonces te dicen que no sabes nada de seguridad (como su eso fuera materia de ciberseguridad) y estoy seguro que más de uno de los que me están leyendo en este momento tienen una sonrisa pintada en su cara, porque les ha pasado lo mismo.

Debemos darle las gracias al cine, debido a que han hecho parecer tan fácil el asunto de ingresar a un sistema, que creen que cualquiera que ha estudiado en el área de sistema esta en la capacidad de realizar las mismas hazañas que Mr. Robot.

Entonces, antes de entrar en materia de por qué no es tan sencillo como parece, cubriremos unos aspectos básicos y no tan básicos. Les soy sincero, con éste artículo también busco generar debate, ya que solo les mostraré mi punto de vista, pero quiero saber el de ustedes. Además de cubrir éstos aspectos, también daré mis recomendaciones para que estemos más seguro en cada una de estas variables.

Pues, sin más preámbulo comencemos…

Las contraseñas, que son y cómo crearlas

Empecemos con un poco de historia, inicialmente existía un método de autenticación que solo era un PIN, (una clave por número o alfanumérico), pero éste método nos traía ciertas complicaciones y era que no se sabía quién hacia qué, en los sistemas y programas, entonces comenzamos a personalizar los accesos a estos sistemas, que consistía en un usuario (único) y una contraseña, ésto permitiría hacer un seguimiento de las actividades de los usuarios dentro del sistema, ya que sabrías cuando ingreso al mismo, esta contraseña era/es muy similar a la que se empleaba en el pasado (números y/o caracteres alfanuméricos).

Después evolucionamos a contraseñas más «elaboradas».

Durante los últimos años, se estableció el estándar de que una contraseña debe ser de al menos 8 caracteres, 1 mayúscula, 1 minúscula, 1 número y un carácter especial. Después se fue sumando, de acuerdo a estándares internacionales (como PCI) y buenas practicas, que la contraseña debe caducar cada 3 meses, que no se pueden repetir las ultimas 10 contraseñas, que debemos tener una contraseña diferente para cada sistema o aplicación, y paren ustedes de contar. Esto empezó a decantar en que se creaban contraseñas difíciles de recordar para las personas y fáciles de adivinar para las computadoras ¿por qué?, Porque esta contraseña al final, Son valores y caracteres desconocidos para personas y para el usuario común que no hay forma ni manera de poder asociarlo a algo conocido. Sin embargo, como veremos más adelante, a las computadoras nos les genera mayor dificultad éstas contraseñas para realizar ataques por fuerza bruta, debido a que el factor que se toman en cuenta para determinar cuanto tiempo les puede tomar en averiguarla es el largo de las mismas.

Pero no se desesperen que les traigo una solución… reglas nemotécnicas… que no es más que juntar grupos de palabras no relacionadas pero que las recordamos por alguna asociación en nuestro cerebro, por ejemplo «PerroBlancoAviónRosa», con ésta contraseña nos será más fácil recordar la imagen de un «perro blanco» y un «avión rosa» y tenemos una contraseña de una una longitud de 20 caracteres, y el aspecto de interés de ésta contraseña, es que computacionalmente hablando, le tomará más tiempo a un computador el poder «adivinarla» que una contraseña con mayúscula, minúscula, número y caracteres especiales de una longitud de 8… (sí, lo sé… de nada).( Cómo crear mejores contraseñas).

Ataques por fuerza bruta

Hace unos momentos estábamos hablando de ataque por fuerza bruta, ¡ajá,! ¿qué es eso?

Los ataques por fuerza bruta, no es más que eso.. atacar de forma agresiva aplicando todas las posibles combinaciones de caracteres que pueda tener una contraseña hasta que logra su acceso.

En Castellano, ésta técnica consiste en empezar a probar con la contraseña «aaa«, luego «aab«, luego «aac» y así sucesivamente hasta que haya intentado todas las posibles combinaciones posibles o ingrese al sistema. Sé lo que están pensando en este momento y es que esa sería una lista larguísima y que se tardaría mucho tiempo en dar con la palabra correcta, buenos mis amigos, tienen y no tienen razón, porque para una persona hacer ese trabajo sería «eterno», sin embargo, para una computadora sería minutos, horas, días o semanas, ya que debemos tener en cuenta que un programa para hacer ataques por fuerza bruta puede intentar 20 contraseñas en un segundo (por dar un número), esto disminuye los tiempos de trabajo considerablemente.

Otra técnica de ataque, son los ataque por diccionario, éste método es más «elegante» por decirlo de una forma, ya que aplica la misma velocidad de intentos pero con una pequeña diferencia, las contraseñas que va a probar están en una lista, y solo probará aquellas contraseñas que están en la lista, estas listas usualmente las conseguimos en Internet, (coloca el google «1000 contraseñas más comunes»usadas» y a deleitarse), otra forma es utilizando la ingeniería social, que explicaremos en un momento, pero a través de la ingeniería social se puede elaborar una lista más exacta de posibles contraseñas.

Ingeniería social

Y ¿qué es la ingeniería social? pues es la técnica de hacking más antigua que existe, ya que explota el eslabón más débil y vulnerable que tienen todos los sistemas, ¿aún no sabes cual es? pues el usuario.

Consiste en averiguar información como, fecha de cumpleaños, nombre de los hijos/padres/espos@/amante/novia@, nombre del primer colegio, entre muchos más. La cuestión es tener la mayor cantidad de información para poder usarla para dos cosas:
1. Como posibles contraseñas (por eso es que no se pueden usar datos personales como contraseñas), esta es la lista que crearíamos para hacer nuestro ataque por diccionario; y
2. Para tener posibles respuestas a las preguntas de seguridad para recuperación de contraseñas.

De hecho, recuerdo una historia de hace ya unos cuantos años donde a una celebridad le «hackearon su cuenta de yahoo» porque la pregunta de recuperación de contraseña era el nombre de su perro, algo que es muy conocido en ese mundo (aunque yo hoy en día aun no se como se llama el condenado perro). También recuerdo, una parte de la película «Now you see me» (SPOILER ALERT) donde en un supuesto truco le hacen unas preguntas a una de las personas y fingen no poder adivinar, cuando en realidad estaban obteniendo las respuestas a las pregunta secreta para ingresar en la cuenta del banco.

Con estas historias lo que quiero recalcar es la importancia de mantener nuestra información privada, de esa forma, privada y asegurarnos que la información de las preguntas de seguridad sean totalmente secretas.

Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.

Gracias por leerme y hasta la próxima.