¿Qué es un ataque de diccionario (si no se refiere a arrojar un libro a alguien)?
El concepto “ataque de diccionario”, aunque suene a pelea en la biblioteca, hace referencia a un método de 'hacking' para derribar la seguridad de sistemas protegidos por contraseñas.
La técnica consiste en probar consecutivamente muchas palabras reales recogidas en los diccionarios de los distintos idiomas, y también las contraseñas más usadas como “123456”, para tratar de romper las barreras de acceso a sistemas protegidos con clave. Este tipo de ataque está basado en el hecho probado de que un gran número de usuarios eligen las mismas contraseñas fáciles de recordar, pero también fáciles de adivinar por parte de los delincuentes.
Para perpetrar ataques de diccionario se utilizan diferentes tipos de 'software' especializados capaces, además, de combinar varias palabras en la búsqueda de una contraseña.
Para evitar ser víctimas de este tipo de ataques se recomienda usar contraseñas que no estén en los diccionarios y dificultar que el 'hacker' pueda probar muchas veces, es decir:
1. Utilizar palabras en distintos idiomas en la misma contraseña (*_MiHouse*_).
2. Escribir las palabras con números o caracteres especiales intercalados (C0ntr4señ4).
3. Insertar dobles consonantes en algunas sílabas (Conntrasseña).
4. Extraer las primeras letras de las palabras contenidas en una frase compleja. (El número de la casa donde vivo es el 155: Endlcdvee155).
5. Si es posible, configurar un número máximo de intentos de acceso a los servicios.
6. Utilizar la autenticación en dos pasos que ofrecen algunos servicios, es decir, recibir un código del servicio que luego habrá que introducir para acceder a la cuenta.
Poner en práctica estos consejos evitará la tentación de utilizar claves sencillas que repiten miles de personas y que por ese motivo corren el peligro de ser descubiertas por los delincuentes. Por ejemplo, en el último estudio llevado a cabo al respecto, se descubrió que el 3% de los usuarios a nivel mundial usaron esta contraseña, la más elegida del planeta: “123456”. No sorprende, por tanto, que el 10% de los usuarios utilicen las 25 contraseñas más usadas, entre las que aparecen: “password”, “password1”, “football”, “loveme”, la combinación de teclas “qwerty” o las actuales “starwars” y “dragon”.
Conviene tener en cuenta que los ciberdelincuentes utilizan este método no solo para acceder a servicios del usuario como su correo electrónico o sus redes sociales, también se sirven del ataque de diccionario para tratar de saltarse la seguridad de las redes wifi, para vulnerar el sistema de acceso de los videojuegos o los sistemas corporativos de las organizaciones.
En su día a día, cada usuario utiliza varios servicios y dispositivos que se protegen con contraseñas. Estas contraseñas deberían ser distintas entre sí, porque en caso de que un atacante descubra una clave por un ataque de diccionario, lo primero que hará será probar suerte con la misma clave en otros servicios del mismo usuario. Para evitar la costosa labor de memorizar las contraseñas de todos los servicios y dispositivos existen aplicaciones que las gestionan, como KeePass. Los gestores de contraseñas solicitan una única clave que hay que recordar y que es la que da acceso al resto de credenciales de los servicios.
Hasta que sea realmente masivo el uso de métodos de autenticación que sustituyen o complementan a las contraseñas, para evitar que los atacantes accedan ilícitamente a las cuentas de usuario, es importante generar contraseñas robustas, gestionarlas correctamente y no repetirlas en distintos servicios.