El mundo de la seguridad en la era digital es realmente un reto y básicamente porque actualmente existe la tecnología para hacer y deshacer cualquier cosa.
Una de las cosas más comunes es que te “hackeen” tu cuenta, es decir, te roban la clave y no tienes ni idea del cómo pasó. Aquí vamos a ver un poco como se hace.
Antes de hablar del “cómo” se hace, hay que entender el “que” es lo que se hace. Existen varios métodos para descubrir una clave, los principales son:
- - Fuerza bruta
- - Diccionario
- - Man in the middle (hombre en medio)
- - Key loggers
Vamos a explicar uno a uno de forma sencilla para que sepas como protegerte y sobre todo de qué.
Los hackeos por Fuerza Bruta son, sencillamente como su nombre lo indica, a lo bestia, es decir, intentar con todas las combinaciones de letras posibles hasta encontrar tu clave. Un ejemplo sería: si alguien conoce tu nombre de usuario en una página o aplicación, el hacker ya tiene parte del trabajo hecho, ahora solo le falta tu contraseña. Para calcularla no creas que el hacker va a ir probando de forma manual las combinaciones, pues no, existen programas que lo hacen por él. En caso de una página web, el hacer colocará la página en este programa y le dará tu nombre de usuario. Adicional a ello, el hacker puede darle un estimado de caracteres a probar, por ejemplo probar con claves de 10 caracteres. El hacker puede saber la longitud de tu clave si alguna vez te ha visto escribirla, que con todo y que no vea qué escribiste, puede “contar” las pulsaciones al teclado (esto en caso que el hacker te conozca o haya estado cerca de ti. Adicional a la longitud de caracteres a probar, el hacker puede indicar en el programa si quiere realizar combinaciones con mayúsculas, números y caracteres especiales. Si el hacker coloca probar con hasta 10 caracteres, el programa se encargará por sí solo a probar todas las combinaciones posibles comenzando desde “a” hasta “9999999999” pasando por cualquier cosa que haya en medio (aa, aab … aaaaaaaaab, aaaaaaaaac, etc.)
¿Cómo prevenir ataques por Fuerza Bruta? Este proceso por supuesto que lleva su tiempo, es por ello que por lo general las páginas o bancos te recomienda cambiar la contraseña de vez en cuando, ya que al hacerlo probablemente utilices una combinación que ya el programa de hackeo probó y en su momento no era, así que al finalizar el ciclo el hacker no encontrará nada.
El método por Diccionario es una mezcla de Fuerza Bruta con algo de optimización, es decir, mejorado hasta cierto nivel. Con el método de diccionario, el hacker en principio hace lo mismo, requiere un usuario al cual atacar, luego de tenerlo, utiliza un programa que al igual que el caso anterior hará todo el trabajo sucio por él. Este programa (muchas veces el mismo solo que “seleccionas” otro “método de ataque”) va a probar en vez de combinaciones raras como “aaaaaaaaab” probará con palabras que existan y tengan sentido, eso sí, probándolas de cualquier manera posible (prueba, Prueba, PRueba, PrueBa, etc.). Adicional a palabras por idioma (español, inglés, francés, etc) existen (si, existen y gratis en la web) diccionarios por país o región. Por ejemplo, si bien español se habla en cantidad de países no todos utilizan las mismas palabras o frases, un diccionario venezolano puede incluir palabras o frases como: mondongo, papelón con limón, etc. Si es el caso de España puede que sean palabras o frases como: de puta madre, chaval, etc. Al igual que el caso anterior, el hacker puede indicarle al programa si combinar las palabras con números y caracteres especiales, así que nada de claves como “clAve1” porque de seguro te la descubren =P.
Man in the Middle ya es un poco más “pro” ya que realmente cualquiera puede intentar de forma extremadamente fácil los dos casos anteriores. Para este ataque requiere que sepas algo de redes y comunicaciones IP, direcciones MAC entre otras. Para explicarlo sencillo, consiste en que toda la comunicación que realice tu PC hacia algún sitio web o aplicativo a través de la red sea “intervenido” por “alguien”. Cuando tu PC abre por ejemplo la página de tu banco, podemos decir que son dos “entes” hablando, tu PC y el servidor web del banco. En un caso normal tu PC hablaría directamente con ese servidor final, pero con este ataque, alguien será un tercer “ente” en la conversación. Tu PC enviará un mensaje a través de internet esperando ser leído y respondido, pero antes que ese mensaje llegue al ente final (por ejemplo el banco), este amigo no deseado recibe el mensaje, lo lee, sabe ahora de quien viene y para donde va, lo reempaqueta y se lo envía al banco pero esta vez cambiándole el “remitente”, así este amigo evita que el banco te responda a ti y le responda a él. Una vez que el banco le responde, nuevamente nuestro amigo lee el mensaje, este amigo sabe que el mensaje era originalmente para ti, así que lo empaqueta, le coloca como “remitente” el banco” y te lo entrega. Tu PC no se enteró que alguien en el medio está leyendo y filtrando información ya que tu PC lee que el “remitente” es el banco.
Este ataque es muy común en aplicaciones de mensajería web hoy en día, ya que los bancos y páginas importantes ya tienen el cómo evitarlo. Una vez tuve la oportunidad de asistir a una charla de seguridad en una universidad la cual ofrecía wifi gratis en todo el campus. Durante la convención, el instructor con un simple programa comenzó a recibir todas las conversaciones de MSN que circulaban en la red. Es por ello que el Messenger al abrir una ventana de conversación te indica “no envíes información personal o claves” ya que cualquiera que escuche puede leerlo. Por cierto las conversaciones estuvieron interesantes xD
Aquí hay mucha tela que cortar, así que de este tipo de ataques no me extiendo más pero si te recomiendo utilizar navegación cifrada al navegar en páginas que consideres importantes. La gran mayoría de portales importantes (Gmail, bancos, etc) utilizan navegación cifrada por defecto, así que no te preocupes, pero en el caso de Facebook no, sólo utiliza información cifrada si tu lo indicas dentro de las opciones del portal.
¿Cómo saber si estas navegando en una página segura? Fácil, fíjate en la barra de direcciones y mira las primeras letras, si solo dice http:// no es navegación cifrada o segura, pero si por el contrario ver https:// si, la diferencia? La “s” ;-) httpS://
Para finalizar el artículo vamos a repasar el último tipo de hackeo, Key logger, este tipo de ataque es muy simple y de hecho muy fácil de contagiar por lo cual siempre está pendiente de que archivos abres en tu PC o que aplicaciones instalas. Los key logger funcionan de manera local en tu PC y se encargan de registrar todas las teclas que presionas en el teclado, guardando ese registro en un archivo en tu disco duro para luego ser enviado a la dirección de correo del atacante según las reglas que éste le configure (tamaño del archivo, frecuencia diaria o semanal, entre otras). Los key logger permiten por lo general también “tomar fotos” de tu pantalla según también lo configure el atacante (con cada clic, cada 3 minutos, etc), es por ello que ya por lo general los portales del banco te solicitan una clave la cual no puedes escribir, sino que tienes que seleccionar los números con clics del ratón, esto es para protegerte en caso que un key logger esté registrando todo lo que escribes. Hay un número importante de bancos que no solo te piden escribir laa clave haciendo clics, sino que también sucede que all pararte sobre ese “teclado en pantalla” convierte todos los dígitos en “*” (asteriscos) para prevenir que el key logger tome una foto justo cuando hagas clic sobre tu contraseña.
La gran mayoría de los key logger (que de hecho puedes conseguir en la red gratis) están vigilados por tu antivirus, es decir, si lo instalas para “probar” como funcionan, tu antivirus va a saltar diciéndote que hay un programa malicioso, pero no descartes que siempre esté algún amigo de lo ajeno programando el suyo propio encontrando la forma de pasar desapercibido ante el antivirus.
Quieres saber que tan segura es tu clave? Te recomiendo ésta web en la cual puedes “ver” cuánto tiempo se tardaría un programa en descubrir tu súper contraseña de forma automática. Te recomiendo entrar en la página, pero no uses tu clave expresamente tal cual es ya que no se si esa página también esta guardándolas para venderlas luego a desarrolladores de diccionario hehe así que puedes cambiar alguno que otro carácter para que tengas una idea. Por ejemplo si tu clave es “miclave1” prueba en la página con “mocleva3” mismo número y tipo de caracteres pero no los exactos, es solo precaución ;-)
Si quieren más info sobre ataques, certificados digitales, métodos de encriptación o sencillamente alguna duda de alguno de los métodos mencionados no dudes en comentar y con gusto lo desarrollo =)
También puede que te interese:
También puede que te interese:
Te falta dar clases en la universidad Yorchi xD....falou cara....
ResponderEliminarPD: no estoy muy convencido aun del rooteo del SII...
entao cara! blz? lo del rooteo viene bien poro si quieres hacer cosas avanzadas con el teléfono, si hasta ahora vas bien así no le pares, pero si quieres probar ROMs nuevas o sencillamente quitarle la publicidad a los juegos y apps será inevitable =P
ResponderEliminarWE ARE LEGION
ResponderEliminar