Yahoo sufrió en 2013 un robo de 3.000 millones de cuentas de correo electrónico durante una brecha de seguridad. En 2014, la firma registró otra sustracción masiva que afectó a 500 millones de cuentas. Un año más tarde la web de citas Friend Finder sufrió un hackeo que implicó el robo de datos de 412 millones de usuarios. Un ataque en 2017 a la financiera estadounidense Equifax afectó a 146 millones de clientes. Y en 2018, un hacker robó la información personal de 500 millones de clientes de la cadena hotelera Marriot. Estos son los cinco peores ciberataques corporativos de la historia por número de afectados. Pero no los únicos. Uber, Adobe, Sony o LinkedIn son solo algunas de las múltiples empresas que han sufrido robos masivos de contraseñas en los últimos años.
“Las credenciales de los usuarios son muy valiosas, ya que permiten tanto su venta masiva en los mercados alternativos como la posibilidad de generar nuevos ataques contra los usuarios o las empresas de donde han obtenido sus datos de acceso”, explica el investigador en seguridad informática Jaime Sánchez, que trabaja en una multinacional de las telecomunicaciones. Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. Sánchez ha recopilado junto al también investigador en seguridad informática Pablo Caro miles de millones de contraseñas reales de proveedores como Yahoo, Badoo, Adobe o LinkedIn con el fin de hacer un análisis a gran escala de esos comportamientos comunes.
La principal conclusión de este estudio, presentado en el congreso de seguridad informática RootedCon 2019, es que la inmensa mayoría de usuarios tiene contraseñas muy débiles e inseguras que podrían ser descifradas por un atacante de forma rápida y sencilla. La mayoría de contraseñas suelen estar formadas por entre siete y nueve caracteres. Caro, que es miembro del equipo de hacking de una empresa española, explica que lo normal es que un usuario construya su contraseña utilizando una palabra común. Por ejemplo, un nombre de un familiar o una mascota, su lugar de trabajo o el nombre de su pueblo. Después, según señala, es habitual que aplique “mutaciones” a partir de dichas palabras: “Añadir un número o un símbolo al final, cambiar una letra por un número parecido, poner la primera letra en mayúscula…”.
El 20% de las contraseñas son muy fáciles de romper, el 60% tienen una dificultad media y el 20% son bastante difíciles, según han comprobado ambos expertos al realizar el análisis. Entre las más sencillas, están “1234”, “querty” o “asdfg”. Mientras que la población occidental suele utilizar más letras en sus contraseñas, las personas orientales optan por números porque les resulta más fácil recordarlos. Además, los números tienen significados individuales cuando suenan en la lengua china. Por ejemplo, el número 5 en chino se lee como “wu”, que a la vez se pronuncia de forma parecida a la palabra china que significa“yo”. Una credencial habitual en China es 5201314, ya que hace referencia a la expresión inglesa “I love you forever and ever” (te quiero para siempre, en español).
Todas estas contraseñas normalmente no se almacenan en texto plano, sino que se utiliza un hash —un algoritmo que cifra una entrada y devuelve un código de salida encriptado—para protegerlas y dificultar la tarea a un atacante. Sánchez sostiene que generalmente se utilizan dos métodos para identificar contraseñas a través de un hash: fuerza bruta y diccionarios. “En el caso de fuerza bruta, lo que se realiza es una combinación del espacio de caracteres deseado, con una longitud fija o incremental, hasta que se dé con la combinación correcta. Cuando realizamos un ataque con un diccionario, los diferentes intentos se realizan utilizando información conocida, como una lista de palabras en un idioma concreto o de contraseñas comunes”, afirma.
Este tipo de ataques se realizan de forma combinada y, según se obtenga información adicional del objetivo, se reorienta y optimiza el proceso con otras técnicas: “Una vez obtenida la contraseña hasheada, siempre será posible obtener la original”. El problema radica en el factor tiempo y en el coste. Dependiendo del algoritmo para proteger la contraseña, y el hardware que se utilice para realizar el proceso, se podría tardar desde tan solo unos milisegundos hasta millones de años. “Por ejemplo, una contraseña de 10 caracteres como ‘m@4#J%CN5P’ implica, en el peor de los casos, realizar un ataque sobre 60.510.648.114.517.017.120 combinaciones posibles. Teniendo acceso a una instancia en la nube que realiza 450.000.000.000 comprobaciones por segundo, el tiempo máximo para obtener la contraseña sería de unos cuatro años 266 días 23 horas y 47 minutos, con un coste aproximado de 347.740,33 dólares”, explica.
Un gran número de usuarios utilizan la misma contraseña en todas sus cuentas, tanto personales como empresariales. “Si logramos atacar una infraestructura más débil, como un foro de deportes en Internet donde el usuario esté registrado, es posible que también obtengamos unas credenciales adecuadas para acceder de forma remota al espacio de trabajo del usuario dentro de la empresa”, afirma Sánchez. Eso genera al atacante nuevos objetivos y permite evitar ciertas medidas de seguridad a las que debería enfrentarse si no tuviera unas credenciales válidas.
De esta forma, tal y como subraya Caro, “alguien podría hacerse con gran parte de la identidad digital de una persona” y usar las cuentas de email para registrarse en servicios de pago, usar tarjetas de crédito almacenadas en tiendas online para realizar compras e incluso usar la información personal conseguida para intentar estafar al usuario de formas increíblemente sofisticadas. “Hasta el acceso a nuestra agenda de contactos tiene valor, porque puede utilizarse para engrosar listas de envío de spam o continuar el ataque”, añade.
Cualquier persona malintencionada con suficiente conocimiento técnico puede robar credenciales, “bien para utilizarlas o para venderlas en el mercado negro de la deep web”. Aunque en ocasiones en casos de hacktivismo o espionaje estos ataques pueden atribuirse a algún actor, Sánchez asegura que la mayoría de veces no tienen autoría.
En: ElPais.com
