CIO
Los expertos coinciden en que ya es hora de que las empresas dejen de confiar en las contraseñas tradicionales. Deben cambiar a métodos de acceso más seguros como autenticación multifactor (MFA), biometría y sistemas de inicio de sesión único (SSO).
De acuerdo con el último Informe de Verizon Data Breach Investigations , el 81% de las violaciones de seguridad relacionadas con la piratería informática involucran contraseñas robadas o débiles.
Primero, hablemos de las técnicas de piratería de contraseñas. La historia es diferente cuando el objetivo es una empresa, un individuo o el público en general, pero el resultado final suele ser el mismo. El hacker gana.
Si todas las contraseñas de una empresa son descifradas al mismo tiempo, esto generalmente se debe al robo de un archivo de contraseñas. Algunas empresas tienen listas de contraseñas de texto sin formato, mientras que las empresas con conciencia de seguridad generalmente mantienen sus archivos de contraseñas en forma de hash.
Los archivos hash se usan para proteger contraseñas para controladores de dominio, plataformas de autenticación empresarial como LDAP y Active Directory, y muchos otros sistemas, explicó Brian Contos, CISO de Verodin, Inc. Estos hashes, incluidos los hashes con sal, ya no son muy seguros. Los hashes codifican las contraseñas de tal manera que estas no se pueden descifrar de nuevo.
Para verificar si una contraseña es válida, el sistema de inicio de sesión codifica la contraseña que ingresa un usuario y la compara con la contraseña hash previamente almacenada.
Los atacantes que tienen en sus manos un archivo de contraseñas hash utilizan algo llamado “tablas de arcoíris” para descifrar los hashes usando búsquedas simples. También pueden comprar hardware especial diseñado para descifrar contraseñas, alquilar espacio de proveedores de nubes públicas como Amazon o Microsoft, o construir o alquilar botnets para procesarlos.
Los atacantes que no son expertos en descifrar contraseñas pueden subcontratar a otros. “Puedo rentar estos servicios por un par de horas, un par de días o un par de semanas, y generalmente también incluyen soportes”, comentó Contos. Con suficiente tiempo y recursos, se puede descifrar cualquier contraseña. La diferencia está en si tomará horas, días o semanas.
Como resultado, los tiempos necesarios para descifrar las contraseñas hash, incluso las que antes se consideraban seguras, ya no son millones de años. “De acuerdo con mi experiencia de cómo las personas crean contraseñas, generalmente del 80% al 90% de ellas pueden ser craqueadas en menos de 24 horas. Con suficiente tiempo y recursos, puedes descifrar cualquier contraseña”, argumentó Contos.
Esto es especialmente cierto para cualquier contraseña creada por humanos, en lugar de una generada aleatoriamente por computadora. Una contraseña más larga, como una frase-contraseña, es una buena práctica cuando los usuarios necesitan algo que puedan recordar, pero jamás reemplazará a una autenticación multifactor fuerte.
Los archivos hash robados son particularmente vulnerables porque todo el trabajo se realiza en la computadora del atacante. No es necesario enviar una contraseña de prueba a un sitio web o aplicación para ver si funciona.
“En Coalfire Labs preferimos Hashcat y tenemos una máquina de craqueo dedicada complementada con unidades de procesamiento de gráficos múltiples que se utilizan para reducir esas listas de contraseñas usando algoritmos hash criptográficos”, dijo Justin Angel, investigador de seguridad en Coalfire Labs.
Para atacar los grandes sitios públicos, los atacantes usan botnets para probar diferentes combinaciones de inicios de sesión y contraseñas. Usan listas de credenciales de acceso robadas de otros sitios y listas de contraseñas que las personas usan comúnmente.
Según Philip Lieberman, presidente de Lieberman Software Corp., estas listas están disponibles de forma gratuita o a bajo costo, e incluyen información de inicio de sesión de aproximadamente el 40% de todos los usuarios de Internet.
“Violaciones de la seguridad realizadas en el pasado a compañías como Yahoo!, han creado bases de datos masivas que los delincuentes pueden usar”, expresó Lieberman. A menudo, esas contraseñas se mantienen válidas durante mucho tiempo.
“Incluso después de la violación de seguridad, muchos usuarios no cambiarán su contraseña ya violada“, añadió Roman Blachman, CTO de Preempt Security.
Digamos, por ejemplo, que un hacker quiere ingresar a cuentas bancarias. Iniciar sesión en la misma cuenta varias veces activará alertas, bloqueos u otras medidas de seguridad. Entonces, comienzan con una lista gigante de direcciones de correo electrónico conocidas y luego toman una lista de las contraseñas más comunes que usan las personas, aclaró Lance Cottrell, científico jefe de Ntrepid Corp.
Intentan iniciar sesión con cada una de las direcciones de correo electrónico usando una de las contraseñas más comunes, entonces, cada cuenta solo registra un error. Esperan un par de días y luego prueban cada una de esas direcciones de correo electrónico con la siguiente contraseña más común.
“Pueden usar su botnet de un millón de computadoras comprometidas, por lo que el sitio web objetivo no detecta que todos los intentos provienen de una sola fuente”, agregó Cottrell.
La industria está empezando a abordar el problema. El uso de servicios de autenticación de terceros como LinkedIn, Facebook o Google ayuda a reducir el número de contraseñas que los usuarios deben recordar. La autenticación de dos factores (2FA) se está volviendo común en los principales proveedores de la nube, así en los sitios de servicios financieros y los principales minoristas.
Los organismos de establecimiento de normas también están mejorando, afirmó James Bettke, investigador de seguridad de SecureWorks. En junio, NIST lanzó un conjunto de Pautas de identidad digital actualizadas que abordan el problema específicamente.
“Reconoce que los requisitos de complejidad de contraseñas y los reinicios periódicos en realidad producen contraseñas más débiles. La fatiga causada por las contraseñas hace que los usuarios reutilicen contraseñas y reciclen patrones predecibles”, aseguró Bettke.
Además de los estándares, también existen nuevas tecnologías “sin fricción”, como la bioetría conductual y el reconocimiento facial, que pueden ayudar a mejorar la seguridad de los sitios web y las aplicaciones móviles de los consumidores.
Para atacar a un individuo, los atacantes verifican si las credenciales de ese usuario ya han sido robadas de otros sitios en el probable caso de que la misma contraseña o una contraseña similar hayan sido utilizadas. “La violación de seguridad de LinkedIn hace unos años es un buen ejemplo. Los piratas informáticos capturaron la contraseña de LinkedIn de Mark Zuckerberg y pudieron acceder a otras plataformas porque aparentemente la reutilizaron en otras redes sociales”, señaló Gary Weiss, vicepresidente senior y gerente general de seguridad, análisis e investigación en OpenText Corp.
La persona promedio tiene 150 cuentas que requieren contraseñas, según una investigación de Dashlane, una compañía que ofrece una herramienta de administración de contraseñas. Esas son demasiadas contraseñas para recordar, por lo que la mayoría de las personas usan solo una o dos contraseñas, con algunas variaciones simples. Eso es un problema.
“Existe un error común al afirmar que, si tiene una contraseña muy complicada, puede usarla en todas partes y permanecer protegido. Esto es categóricamente falso. Los hackeos son reportados después de que ya es demasiado tarde, momento en el que tu única contraseña muy complicada ya está comprometida, y también lo está toda tu información”, explicó Emmanuel Schalit, CEO de Dashlane Inc.
Una vez que se piratea cualquier sitio y se roba la contraseña, se puede aprovechar para acceder a otras cuentas. Si los hackers pueden acceder a la cuenta de correo electrónico de sus usuarios, la usarán para restablecer la contraseña del usuario en cualquier otro lugar.
“Puedes tener una contraseña muy buena en tu banco o cuenta de inversión, pero si tu cuenta de Gmail no tiene una buena contraseña, y ellos pueden entrar a través de ella, y ese es tu correo electrónico de recuperación de contraseña, ellos serán los dueños de ti”, declaró Cottrell.
Si encuentran un sitio o una aplicación empresarial interna que no limite los intentos de inicio de sesión, también tratarán de aplicar fuerza bruta a la contraseña utilizando listas de contraseñas comunes, tablas de búsqueda de diccionarios y herramientas para descifrar contraseñas como John the Ripper, Hashcat, o Mimikatz.
Los servicios comerciales están disponibles en la clandestinidad criminal que utilizan algoritmos más sofisticados para descifrar las contraseñas. Estos servicios han sido de gran ayuda debido a las continuas filtraciones de archivos de contraseñas.
Cualquier cosa que un ser humano pueda pensar, reemplazar letras con símbolos, usar abreviaturas difíciles, patrones de teclado o nombres inusuales de novelas de ciencia ficción, alguien más ya lo ha pensado.
“No importa cuán inteligente seas, las contraseñas generadas por humanos son completamente inútiles, pero los humanos no hemos mejorado mucho en la selección de nuestras contraseñas”, especificó Cottrell de Ntrepid.
Para un objetivo de alto valor, los atacantes también investigarán para encontrar información que pueda ayudarlos a responder las preguntas de recuperación de seguridad. Las cuentas de usuario generalmente son solo direcciones de correo electrónico, agregó, y las direcciones de correo electrónico corporativo en particular son muy fáciles de adivinar porque están estandarizadas.
La mayoría de los sitios web hacen un mal trabajo a la hora de decirle a los usuarios si la contraseña que eligieron es fuerte o no. Por lo general, están varios años desactualizados, y buscan cosas como una longitud de al menos ocho caracteres, una combinación de letras mayúsculas y minúsculas, y el uso de símbolos y números.
“Los sitios de terceros evaluarán la fortaleza de tu contraseña, pero los usuarios deben tener cuidado con los sitios que utilizan. Lo peor que se puede hacer en el mundo es ir a un sitio web al azar y escribir una contraseña para que este la pruebe”, argumentó Cottrell.
Vea luego: Administre sus contraseñas de forma gratuita
Si se tiene curiosidad acerca de cuánto demoraría una contraseña en ser craqueada, un sitio web que le podría servir es HowSecureIsMyPassword.net de Dashlane .Otro sitio que mide la fortaleza de la contraseña, probando palabras del diccionario, escritura Leet y patrones comunes, es el medidor de entropía de prueba del ingeniero de software Aaron Toponce. Él recomendó elegir una contraseña con al menos 70 bits de entropía.
Para la mayoría de los usuarios, y para los sitios web y las aplicaciones en las que inician sesión, esto es un problema. ¿Cómo se espera que los usuarios creen contraseñas únicas para cada sitio, y las cambien cada tres meses, el tiempo suficiente para garantizar su seguridad y recordarlas?
“Una regla general es que, si se puede recordar, entonces no es una buena contraseña. Ciertamente, si puedes recordar más de una o dos de ellas, no es una buena contraseña, siempre son un par de palabras y el nombre del sitio web”, dijo Cottrell.
El experto recomienda usar una contraseña generada aleatoriamente y de la mayor longitud que permita el sitio web, además de almacenarla usando un sistema seguro de administración de contraseñas. Luego, para la contraseña maestra de la bóveda, use una frase-contraseña larga.
“Mi recomendación para recordar las contraseñas es que debería ser extraordinariamente obscena, lo que también hace menos probable que vayas y se la cuentes a alguien. Si tienes una frase de 30 caracteres, es efectivamente imposible de craquearla usando fuerza bruta. La combinatoria simplemente explota”, añadió Cottrell.
Para las contraseñas individuales de los sitios web o aplicaciones, 20 caracteres es una longitud razonable, según Cyril Leclerc, jefe de seguridad de Dashlane, pero solo si son caracteres aleatorios.
“Los crackers podrán descifrar una contraseña generada por humanos de 20 caracteres, pero no una contraseña generada aleatoriamente”, concluyó Leclerc.