Ir al contenido
Productos y Servicios PRODUCTOS Y SERVICIOS

Cómo hackear 5500 cuentas simplemente usando “relleno de credenciales”

Todos deberíamos saber a estas alturas que las contraseñas que son fáciles de adivinar serán adivinadas.

Recientemente lo comprobamos adivinando, a mano, 17 de las 20 contraseñas principales en la base de datos de Have I Been Pwned (HIBP) Pwned Passwords en menos de dos minutos.

Probamos las 10 secuencias de todos los dígitos 1, 12, 123 y así sucesivamente hasta 1234567890, y ocho de ellas estaban entre las 20 primeras.

Luego probamos otras combinaciones de dígitos obvias como 000000, 111111 y 123123 (comenzamos con seis dígitos porque esa es la longitud mínima actual de Apple y porque notamos que 123456 salió muy por delante de 12345 y 1234).

Los otros fueron igualmente fáciles: qwerty, password, abc123, password1, iloveyou y qwertyuiop, siendo el último un recordatorio útil de que la longitud por sí sola cuenta muy poco.

Rank  Contraseña  SHA-1 Hash                                Apariciones
----  ----------  ----------------------------------------  -----------
  1:  123456      7C4A8D09CA3762AF61E59520943DC26494F8941B   24,230,577
  2:  123456789   F7C3BC1D808E04732ADF679965CCC34CA7AE3441    8,012,567
  3:  qwerty      B1B3773A05C0ED0176787A4F1574FF0075F7521E    3,993,346
  4:  password    5BAA61E4C9B93F3F0682250B6CF8331B7EE68FD8    3,861,493
  5:  111111      3D4F2BF07DC1BE38B20CD6E46949A1071F9D0E3D    3,184,337
  6:  12345678    7C222FB2927D828AF22F592134E8932480637C0D    3,026,692
  7:  abc123      6367C48DD193D56EA7B0BAAD25B19455E529F5EE    2,897,638
  8:  1234567     20EABE5D64B0E216796E834F52D61FD0B70332FC    2,562,301
  9:  12345       8CB2237D0679CA88DB6464EAC60DA96345513964    2,493,390
 10:  password1   E38AD214943DAAD1D64C102FAEC29DE4AFE9DA3D    2,427,158
 11:  1234567890  01B307ACBA4F54F55AAFC33BB06BBBF6CA803E9A    2,293,209
 12:  123123      601F1889667EFAEBB33B8C12572835DA3F027F78    2,279,322
 13:  000000      C984AED014AEC7623A54F0591DA07A85FD4B762D    1,992,207
 14:  iloveyou    EE8D8728F435FD550F83852AABAB5234CE1DA528    1,655,692
 15:  1234        7110EDA4D09E062AA5E4A390B0A572AC0D2C0220    1,371,079
 16:  - - - - -   B80A9AED8AF17118E51D4D0C2D7872AE26E2109E    1,205,102
 17:  qwertyuiop  B0399D2029F64D445BD131FFAA399A42D2F8E7DC    1,117,379
 18:  123         40BD001563085FC35165329EA1FF5C5ECBDBBEEF    1,078,184
 19:  - - - - -   AB87D24BDC7452E55738DEB5F868E1F16DEA5ACE    1,000,081
 20:  - - - - -   AF8978B1797B72ACFFF9595A5A2A373EC3D9106D      994,142

Conseguimos las otras tres contraseñas más tarde después de un poco más de trabajo.

Uno fue el patrón obvio 1q2w3e4r5t: originalmente dejamos de intentarlo en 1q2w3e4r, pero claramente deberíamos haber pensado en ir más allá, dado que otros dos patrones de teclado de 10 caracteres ya habían aparecido en nuestra lista.

Y deberíamos haber pensado en probar el zodíaco chino, que habría revelado las contraseñas de 6 letras mono (monkey) y dragón, que terminaron la lista en el puesto 19 y 20 respectivamente. (¡Gracias a los lectores de Naked Security que nos escribieron para contárnoslo!)

Como puedes ver arriba, estas contraseñas no solo aparecieron una vez cada una en los muchos volcados de contraseñas públicas que fueron encontrados y procesados ​​por HIBP, sino literalmente millones de veces, con 123456 en la parte superior con más de 24 millones de apariciones, y dragón en la parte inferior con 994.142.

Así que tenemos que elegir mejores contraseñas, y aunque 99pass!!word45 es probablemente lo suficientemente segura (pero no la uses, ¡puedes hacerlo mejor fácilmente!), una cadena realmente larga y fuerte como yjCMth15SU,atTWT? es el tipo de contraseña que deberías tener como objetivo.

Si te lo estás preguntando, esa es una contraseña mnemotécnica que puedes recordar con la frase ” You just can’t make this stuff up, ain’t that the whole truth?”.

¿Lo suficientemente fuerte para todo?

El problema es que algunos de nosotros todavía parecemos pensar que una vez que hemos memorizado una contraseña realmente larga y segura, básicamente hemos resuelto el problema de las contraseñas.

En pocas palabras, todavía hay una escuela de pensamiento que dice así:

  • La contraseña password1 es una mala idea. Siempre es mala, por lo que no debes usarla en ningún lado.
  • La contraseña 99pass!!word45 es lo suficientemente segura, siempre que solo la uses en un sitio.
  • Pero huEX+IDszSSMcBjMw/S9kA es una CONTRASEÑA TAN BUENA que la podrías usar en todas partes, porque nadie la resolverá jamás.

Hasta que lo resuelvan, por supuesto.

Como explicamos a principios de esta semana, los ciberdelincuentes suelen obtener contraseñas sin necesidad de adivinarlas o descifrarlas algorítmicamente, por ejemplo:

  • Si un servicio de Internet descuidado almacena tu contraseña en texto plano y luego es violada, los delincuentes adquieren tu contraseña real directamente, sin importar cuán compleja sea.
  • El malware keylogging en tu ordenador puede capturar tus contraseñas a medida que las escribes, obteniéndolas así “en la fuente”, sin importar lo largas o extrañas que sean.
  • El malware que raspa la memoria en servidores pirateados puede rastrear contraseñas sin procesar mientras se verifican, incluso si la contraseña en sí nunca se guarda en el disco.

Relleno de credenciales

La reutilización de contraseñas es la razón por la que los ciberdelincuentes utilizan un truco llamado relleno de credenciales para intentar convertir un truco que funcionó en una cuenta en un truco que funcionará en otra.

Después de todo, si saben que una de tus cuentas estaba protegida por yjCMth15SU,atTWT?, no cuesta casi nada en tiempo o esfuerzo ver si alguna de tus otras cuentas usa la misma contraseña, o una que está obviamente relacionada con ella, dando a los ciberdelincuentes un ataque de dos por el precio de uno.

(Por “obviamente relacionado” queremos decir que si los delincuentes adquieren una lista de contraseñas que muestra que tu contraseña de Facebook era yjCMth15SU-FB, probablemente intentarán yjCMth15SU-TW para Twitter y yjCMth15SU-GM para Gmail, porque ese tipo de patrón es bastante obvio.)

Y, según el Departamento de Justicia de EEUU (DOJ), así es como se dice que un presunto ciberdelincuente llamado Charles Onus, que fue arrestado a principios de este año en San Francisco, se llevó unos 800.000 dólares en tan solo unos meses.

El sospechoso, afirma el Departamento de Justicia, simplemente probó las contraseñas ya conocidas de miles de usuarios con sus cuentas en un servicio de nómina en línea en Nueva York.

Suponemos que era posible adivinar qué víctimas potenciales eran usuarios del servicio de nómina simplemente mirando sus direcciones de correo electrónico.

Si la dirección coincidía (o tal vez el perfil de la persona en las redes sociales revelaba) el nombre de un empleador que utilizó el servicio, entonces era una buena apuesta que tuvieran una cuenta de nómina con la misma dirección de correo electrónico y, por lo tanto, también un experimento criminal valioso para ver si tenían la misma contraseña.

Onus, dice la acusación, pudo iniciar sesión ilegalmente en al menos 5500 cuentas diferentes utilizando este sistema simple, tan simple que ni siquiera cuenta como “piratería”.

Luego, aparentemente, pudo cambiar los detalles de la cuenta bancaria de algunos usuarios para que el próximo pago de su salario se ingresara en una cuenta de tarjeta de débito que él mismo controlaba, y para quitarse la friolera de 800.000 dólares entre julio de 2017 y principios de 2018 más o menos.

¿Qué hacer?

  • No reutilices las contraseñas. Y no intentes inventar una técnica para modificar ligeramente cada contraseña de una plantilla original para que parezcan diferentes, porque los ciberdelincuentes están al acecho de eso.
  • Considera usar un administrador de contraseñas. Los administradores de contraseñas generan contraseñas aleatorias y no relacionadas para cada cuenta, por lo que no hay similitudes que un delincuente pueda descubrir, incluso si una de las contraseñas se ve comprometida. Recuerda que no es necesario que ingreses todas tus contraseñas en la aplicación de administrador si no lo deseas: está bien tener una forma especial de manejar tus cuentas más importantes, especialmente si no las usas con frecuencia.
  • Activa 2FA si puedes. La autenticación de dos factores no garantiza mantener alejados a los delincuentes, pero evita que ataques como este se lleven a cabo con tanta facilidad y en una escala tan amplia, porque las contraseñas por sí solas no habrían sido suficientes.
  • Informa de anomalías de pago. Obviamente, debes buscar pagos que no deberían haberse realizado y pagos entrantes que nunca llegaron. Pero también ten cuidado con los pagos salientes que de alguna manera fallaron cuando deberían haberse procesado, o los fondos entrantes que no esperabas, sin importar cuán pequeña sea la cantidad. Cuanto antes informes sobre cualquier error, incluso si no perdiste dinero, antes ayudarás a todos.

1 comentario

Qué artículo tan interesante! muchas gracias por compartir toda esta información que habéis descubierto. La verdad es que siempre pecamos de poner contraseñas demasiado sencillas para poder memorizarlas rápidamente y evitar problemas. Sin embargo, es cierto que los problemas pueden venir precisamente de elegir este tipo de contraseñas. Sobre todo creo que ha que tener mucho cuidado con ellas cuando se trata de cuentas corporativas o bancarias. Hay mucho en juego. Tomo nota de todos tus consejos. Muchas gracias de nuevo. Saludos

Responder

Dejar un comentario

Your email address will not be published.