05 septiembre 2016

¿Quién necesita vulnerabilidades cuando se pueden hackear contraseñas sencillas?

Cuando sale la noticia de que un atacante ha conseguido robar un determinado número de contraseñas, normalmente se piensa que ha sido obra de un astuto hacker que ha encontrado una determinada vulnerabilidad a través de exploits como los de la NSA. La realidad es que este tipo de ataques son los menos comunes, y la mayoría ocurren por culpa de contraseñas poco seguras.

Las contraseñas fáciles son lo primero que prueban los atacantes mediante scripts que comprueban diccionarios llenos de palabras y contraseñas más comunes. Normalmente estos ataques van hacia administradores de sistemas, páginas web o de foros, de tal manera que puedan acceder con permisos de administrador al resto de cuentas e información de usuarios.

Una empresa de seguridad de Estados Unidos llamada Praetorian ha recopilado datos de 450 ataques exitosos a diversas organizaciones, en los que se accedió a datos confidenciales o información sensible. En estos datos han podido comprobar como las contraseñas juegan un papel importantísimo en estas vulnerabilidades, teniendo en más del 60% de los casos la culpa de que se consiga un acceso no autorizado. En concreto, los vectores de ataque fueron:
  • Contraseñas débiles o fáciles puestas por los administradores o los usuarios en sus cuentas, siendo este el principal vector.
  • Ataques de Protocolo de autodescubrimiento de Proxy Web, o WPAD.
  • Ataques ‘Pass the Hash’, que utilizan el hash generado por la contraseña en lugar de la contraseña en sí.
  • Mediante un ataque conocido como Mimikatz, que es un programa open-source que permite hacer un volcado de los datos de las contraseñas de Windows. Para evitar estos ataques, las empresas intentan evitar en la medida de los posible que los usuarios no tengan acceso a permisos de administrador.
  • Controles insuficientes en la red, como zonas poco restringidas.

El informe detalla que los ataques exitosos, en su mayoría, tienen como causas dos o más motivos, y que, de los vectores detallados, los cuatro primeros están basados en utilizar contraseñas robadas.

En resumen, es mucho más fácil acceder a una red o empresa mediante ataques a las contraseñas, que tener que encontrar complejas vulnerabilidades de día cero que no están parcheadas. Es por ello que lo recomendable, tanto si sos usuario como una empresa, que utilices contraseñas lo más largas y complejas posibles, y que no utilices palabras comunes, series de letras o números que puedan estar en diccionarios por su facilidad. Intercalar caracteres, números, y símbolos harán que tu contraseña sea segura, e incluso, indescifrable.

Fuente: Naked Security https://nakedsecurity.sophos.com/2016/08/23/who-needs-software-vulnerabilities-when-you-can-find-lame-passwords/