Por qué los bloqueos de cuentas no detienen a los piratas informáticos

Es muy común que los usuarios queden bloqueados de sus propias cuentas. Después de unos pocos errores tipográficos, ya no pueden volver a intentarlo hasta que pase el tiempo o restablezcan sus contraseñas mediante un correo electrónico. Por muy frustrante que sea, al menos detiene a los piratas informáticos, ¿o no?

Las estadísticas sugieren lo contrario. Un tercio de todos los estadounidenses Han sufrido ataques informáticos en sus cuentas de redes sociales a pesar de los límites de intentos estándar. ¿Por qué estas protecciones no detienen a los cibercriminales si pueden bloquear a los usuarios por sí mismos? ¿Y cómo pueden mantenerse a salvo las personas?

Cómo se supone que los bloqueos de cuentas detienen a los piratas informáticos

Se supone que los bloqueos de cuentas detienen un tipo de ataque conocido como “ataque de fuerza bruta”. En su forma más simple, el ataque de fuerza bruta implica probar una serie de entradas aleatorias hasta que algo funcione. La mayoría de las veces, los cibercriminales usan herramientas automatizadas para hacerlo, que son mucho más rápidas que adivinar las contraseñas manualmente.

La idea detrás de los límites de intentos de inicio de sesión es que obtener una contraseña correcta requerirá mucho más que tres intentos. En consecuencia, bloquear la cuenta después de tantos intentos teóricamente detiene los ataques de fuerza bruta antes de que tengan éxito. Sin embargo, las cosas rara vez ocurren de esta manera.

Cómo los piratas informáticos evitan los bloqueos de cuentas

Los cibercriminales pueden acceder a una cuenta protegida por contraseña de varias formas. A continuación, se indican algunas estrategias que utilizan para eludir los bloqueos de cuentas, incluso en un ataque de fuerza bruta.

Ataques de fuerza bruta fuera de línea

Los bloqueos de cuentas funcionarían si los piratas informáticos intentaran adivinar una contraseña en la pantalla de inicio de sesión. El problema es que no suelen hacerlo. En su lugar, realizan ataques de fuerza bruta fuera de línea, en los que roban datos de contraseñas e intentan acceder a ellos en un entorno diferente donde no hay límites de intentos.

Atacantes No se puede bloquear Después de varios intentos fallidos cuando poseen los datos cifrados sin procesar, esto se debe a que no intentan descifrarlos en línea, donde el servidor tiene estas protecciones, sino que toman solo los datos de la cuenta y los fuerzan a la fuerza en su propia computadora o en un servidor diferente y no seguro.

Estos ataques requieren robar primero las contraseñas de un sitio web y luego usar herramientas de fuerza bruta para romper el cifrado. Si bien eso es más complicado que simplemente adivinar las credenciales en el sitio, les da tiempo a los delincuentes. Incluso si se necesitan millones de intentos, pueden revelar la contraseña en unos pocos días y luego iniciar sesión como un usuario normal en el sitio legítimo.

Lamentablemente, a menudo no es necesario realizar millones de intentos. A pesar de los años de advertencias de los expertos en seguridad, la "contraseña" sigue siendo el término base más común Se utilizan en contraseñas y el 18 % de las contraseñas contienen solo letras minúsculas. Los ataques de fuerza bruta fuera de línea suelen ser más fáciles para los piratas informáticos simplemente porque los usuarios no siguen las mejores prácticas en cuanto a longitud y complejidad de las contraseñas.

Relleno de credenciales

Otra opción es utilizar el robo de credenciales. En este caso, los piratas informáticos toman la información de inicio de sesión que saben que funciona para una cuenta y la utilizan para acceder a otra. A menudo obtienen esas credenciales de violaciones de datos anteriores, en las que otros cibercriminales han vendido nombres de usuario y contraseñas robados en la red oscura.

Justo12% de los usuarios de Internet a nivel mundial Utilice siempre nuevas credenciales al abrir una nueva cuenta. La mayoría de las personas utilizan las mismas contraseñas en varios sitios (a veces, en todos). Por lo tanto, es muy probable que una contraseña robada funcione en otro sitio, por lo que los piratas informáticos pueden usarla para iniciar sesión en una cuenta en uno o dos intentos.

Ingeniería social

Los piratas informáticos también pueden evitar los bloqueos de cuentas mediante ingeniería social. Se trata de una categoría de ataques tan amplia que puede abarcar varias estrategias para robar o eludir las credenciales de inicio de sesión.

La forma más directa es engañar a los usuarios para que les digan a los atacantes sus contraseñas haciéndose pasar por una fuente confiable. Otra opción es que los cibercriminales envíen un correo electrónico que diga que proviene de un sitio legítimo con un enlace para iniciar sesión en su cuenta. Sin embargo, el enlace conduce a una página de inicio de sesión fraudulenta idéntica a la real donde los delincuentes pueden ver lo que escriben los usuarios.

Estos ataques pueden parecer obvios, pero 298.878 personas cayeron en intentos de phishing solo en 2023. Eso es más que cualquier otra forma de ciberdelito y sugiere que la ingeniería social sigue siendo muy eficaz.

Keylogging y ataques de tipo Man-in-the-Middle

Otra forma en la que los atacantes pueden evitar el bloqueo de cuentas es observando a los usuarios mientras escriben sus contraseñas. Existen dos métodos principales para evitarlo: software de registro de pulsaciones de teclas y ataques de intermediario (MITM).

Los keyloggers son un tipo de malware que los cibercriminales pueden distribuir a través de suplantación de identidad (phishing), sitios web maliciosos u otros medios. Una vez instalados, rastrean lo que los usuarios escriben, incluidas las contraseñas, que los piratas informáticos pueden usar para iniciar sesión en las cuentas de las personas en un solo intento.

Los ataques MITM son similares, pero implican interceptar las entradas de los usuarios (que pueden incluir contraseñas) antes de que lleguen al servidor. El cifrado puede detener estos ataques, pero las redes Wi-Fi públicas o los sitios web no seguros son susceptibles a ellos.

¿Cómo pueden mantenerse seguros los usuarios?

Se puede decir con seguridad que los bloqueos de cuentas no son suficientes para detener a los piratas informáticos. Afortunadamente, los usuarios pueden protegerse siguiendo algunas otras prácticas recomendadas. Una mejor seguridad comienza con el uso de contraseñas más seguras. Recomendamos utilizar generadores de contraseñas aleatorias , ya que crean cadenas de caracteres más complejas que son más difíciles de descifrar mediante fuerza bruta.

También es una buena idea no reutilizar nunca las contraseñas y cambiarlas periódicamente. Estas medidas harán que el robo de credenciales sea menos eficaz.

Los usuarios también deben habilitar la autenticación multifactor (MFA) siempre que esté disponible. Es posible forzar la MFA , pero es mucho más difícil que superar una simple combinación de nombre de usuario y contraseña.

Detener a los cibercriminales no es nada sencillo

Los ataques de fuerza bruta no son tan simples como parecen a primera vista y la defensa contra ellos rara vez es sencilla. Si bien un sistema de bloqueo de cuentas tiene sentido en teoría, no es lo suficientemente seguro como para ser la única defensa en la práctica.

Los cibercriminales tienen muchas herramientas a su disposición, por lo que las protecciones sólidas también utilizan múltiples formas de mantenerse a salvo. La combinación de límites de inicio de sesión con contraseñas largas, complejas y únicas, autenticación multifactor y cambios frecuentes de credenciales ofrecerá la mayor seguridad.