Los ataques realizados por “fuerza bruta” se basan en descifrar las contraseñas de los usuarios mediante pruebas de ensayo y error. Los ciberdelincuentes realizan numerosas combinaciones de letras y palabras aleatorias, relacionadas muchas de ellas con la identidad de los usuarios (fechas de nacimiento, nombres, apellidos, ciudades, etc.), hasta encontrar los patrones correctos.
Adivinar las contraseñas puede llevar tan solo unos segundos, si se trata de claves sencillas y cortas, o varios meses e incluso años si por el contrario son robustas y complejas. Para alcanzar su objetivo, los atacantes utilizan herramientas automáticas que realizan las búsquedas en todo tipo de aplicaciones y páginas web.
Para ejecutar los ataques de “diccionario”, los ciberdelincuentes también emplean un software especializado con el que hallan las contraseñas de forma automática, realizando inicialmente comprobaciones sencillas de letras (“A”, “AA”, “AAA”) y, de manera progresiva, formando palabras completas y reales, recogidas en los diccionarios de los distintos idiomas, hasta dar con las correctas.
Este tipo de ataques ha ido en aumento por su alta tasa de éxito, dado que muchos usuarios tienden a utilizar contraseñas sencillas que, además, repiten otros usuarios. Entre las claves más elegidas por los internautas se encuentran las tradicionales “123456”, “password”, “qwerty” y “abc123”.
Para no ser víctima de estos ataques y proteger la información digital, es necesario crear contraseñas robustas, complejas y que no se encuentren en los diccionarios, así como llevar a cabo otras buenas prácticas que se exponen a continuación:
- Combinar palabras en diferentes idiomas en la misma contraseña. Por ejemplo, “The_C0che75*”. Asimismo, las contraseñas deben incluir mayúsculas, números y caracteres especiales intercalados y en ellas se debe evitar utilizar fechas de nacimiento, apellidos o cualquier otro dato que pueda identificar a la persona.
- En los servicios digitales que lo permitan, es recomendable configurar un número máximo de intentos de acceso para reducir las posibilidades de que la contraseña sea vulnerada.
- Activar la autenticación en dos pasos siempre que sea posible (código obtenido a través de una aplicación o mensaje SMS que se aplica después de la contraseña) para añadir una capa extra de seguridad.
- Utilizar un gestor de contraseñas si resulta complicado o tedioso recordarlas todas. Estas aplicaciones permiten almacenarlas cifradas bajo una contraseña maestra (la única que se debe recordar).
- Por regla general, se debe evitar introducir contraseñas u otros datos confidenciales cuando el equipo o dispositivo esté conectado a la red wifi pública de un hotel o de un restaurante, por ejemplo, ya que puede no tener establecidas las medidas de seguridad necesarias.
- No es recomendable hacer uso de la opción “recordar contraseña” que proporcionan los navegadores web, ya que algunos de ellos las almacenan en un listado de texto sin cifrar, por lo que quedan desprotegidas y expuestas.
- Utilizar claves biométricas, como la huella digital o el reconocimiento facial, incrementa la protección y seguridad, ya que basan su fiabilidad en características físicas intransferibles.