Como usuarios, confiamos en empresas y proveedores de servicios para que protejan nuestra información. Tenemos fe en que no dejen ninguna puerta trasera abierta en sus programas, formen a sus empleados como es debido y no guarden nuestros nombres de usuarios y contraseñas en formato de texto sin encriptar.
Pero no es oro todo lo que reluce. Los ataques a la ciberseguridad pueden afectar a cualquiera, y es muy difícil mantener a salvo a tu persona o negocio. Por otro lado, algunos de estos, como el caso de los ataques de diccionario, pueden prevenirse muy fácilmente.
Descubre qué es un ataque de diccionario y qué puedes hacer para prevenirlos.
¿Qué es un ataque de diccionario?
Un ataque de diccionario es un método sistemático que adivina una contraseña empleando palabras comunes y sus distintas variaciones. Los atacantes recurren a listas extensas de las contraseñas más comunes, nombres de mascotas comunes, personajes de ficción o cualquier palabra del diccionario, de ahí su nombre. También cambian algunas letras por números o caracteres especiales, como “p@ssw0rd”.
Los hackers utilizan este tipo de ataque para obtener acceso a cuentas online, pero también para desencriptar archivos; el gran problema. La mayoría de gente pone muy poco empeño a la hora de proteger sus cuentas de correo electrónico y redes sociales. En su lugar, optan por palabras fáciles de recordar para proteger los archivos que comparten. Si se envían mediante una conexión desprotegida, dichos archivos pueden ser interceptados con suma facilidad, y usar un ataque de diccionario para adivinar sus contraseñas no supondrá ningún problema.
¿En qué consiste un ataque de diccionario?
Durante un ataque de diccionario, un programa introduce de forma sitemática palabras de una lista para conseguir acceder al sistema, cuenta o archivo encriptado. Un ataque de diccionario puede llevarse a cabo online y offline.
En un ataque online, el atacante intenta repetidamente iniciar sesión o conseguir acceso como cualquier otro susario. Este tipo de ataque funciona mejor si el hacker cuenta con una lista de contraseñas. Si el ataque dura demasiado, puede ser descubierto por el administrador del sistema o usuario.
Por otro lado, en un ataque offline no hay limitaciones de red a la hora de adivinar la contraseña. Para consegurilo, el hacker debe obtener el archivo de almacenamiento de contraseñas del sistema objetivo, lo cual es mucho más complicado. Pero una vez dan con la contraseña correcta, será capaz de iniciar sesión sin que nadie se percate.
¿Cuál es la diferencia entre un ataque de fuerza bruta y un ataque de diccionario?
Ataques de fuerza bruta también se emplean para adivinar contraseñas. Estos se sustentan en el poder de computación del ordenador del atacante. Durante un ataque de fuerza bruta, un programa intropduce automáticamente combinaciones de letras, símbolos y números, pero en este caso, son totalmente aleatorios. Los ataques de fuerza bruta también pueden llevarse a cabo online y offline.
Sin embargo, existen 1.022.000 palabras en inglés. Alfabeto y números del 0-9 dan lugar a 218.340.105.584.896 contraseñas de ocho caracteres. Teniendo en cuenta lo anterior, un ataque de diccionario tiene mayores probabilidades de éxito, pues seguro que se trata de una palabra común escrita en inglés. Un ataque de fuerza bruta básico conllevará más tiempo y muchas menos probabilidades de éxito.
Los ataques de diccionario son en esencia ataques de fuerza bruta. La única diferencia radica en que los ataques de diccionario son más eficaces, pues no necesitan tantos intentos y combinaciones. Por otro lado, si la contraseña es muy orignal, un ataque de diccionario no suritrá efecto. En dicho caso, el ataque con fuerza bruta es la única opción.
¿Cómo evitar un ataque de diccionario?
El departamento de IT de cualquier empresa debería tomar medidas para proteger sus sistemas frente a ataques de diccionario. Los ataques online son fáciles de detener. Puedes emplear captchas, autenticación de dos factores y limitar el número de intentos del usuario a la hora de iniciar sesión antes de bloquear la cuenta.
La cosa se complica cuando se trata de ataques offline. Aun así, es recomendable implementar la autenticación de dos factores y establecer reglas estrictas en materia de contraseñas: nada de contraseñas populares, nada de palabras o frases comunes, 12 caracteres mínimo, etc. Y lo más importante, no guardar las contraseñas en formato de texto sin encriptar.
Pero ¿qué puedes hacer para evitar que las cuentas sean hackeadas? Lo primero y más importante, no seas predecible. Las mejores contraseñas están compuestas por palabras que no significan nada para la mayor parte del público. Ten presente que la longitud de la contraseña no determina su seguridad. No importa que elijas “pachycephalosaurus” o "gato" como contraseña; un ordenador tardará lo mismo en introducir ambas.
Así que crea nuevas palabras, utiliza caracteres especiales originales o, mejor aún, escribe una cadena de letras en minúscula, mayúscula, símbolos y números.
¿Tienes problemas a la hora de pensar en nuevas contraseñas? Prueba nuestro generador de contraseñas. Puedes elegir qué símbolos quieres usar y crear contraseñas únicas y seguras para todas tus cuentas. Cierto, son imposibles de recordar, pero también imposibles de adivinar. Y afortunadamente, no necesitas recordar ninguna de tus contraseñas.
Usa un gestor de contraseñas, como NordPass, para guardar todas tus contraseñas con seguridad. Solo tú tendrás acceso a ellas, por lo que podrás estar tranquilo sabiendo que tus cuentas online permanecen a salvo.