Malas noticias: hay mucha gente que quiere sus contraseñas. Y las quiere por muchos motivos, pero por desgracia ninguno es bueno. Aquí veremos cuáles son los perfiles de los ciberdelincuentes que quieren sus contraseñas, por qué tratan de conseguirlas a toda costa, cómo acceden a ellas y qué puede hacer para minimizar las consecuencias en caso de que una contraseña acabe en las manos equivocadas.
Vamos a dividirlos en tres grandes grupos: estados nación, ciberdelincuentes e insiders maliciosos. Tras leer estas líneas se dará cuenta de que las motivaciones son diferentes, aunque el objetivo final es siempre el mismo: acceder a datos o sistemas confidenciales.
Estados nación
Es un término culto (utilizado también en ciencias políticas y relaciones internacionales) para hablar de los gobiernos. Los estados nación quieren contraseñas para acceder a sistemas, información o ambas cosas. Y quieren el acceso para robar datos, afianzar su presencia en dichos sistemas o hacer las dos cosas a la vez. En algunos casos esporádicos van un paso más allá y destruyen los datos o el sistema por completo. Este último escenario puede tener unas consecuencias gravísimas, sobre todo si los datos o el sistema tienen relación con infraestructuras críticas (como la red eléctrica, para poner un ejemplo).
Ciberdelincuentes
El nombre lo dice todo. Las motivaciones están claras: estamos ante delincuentes que buscan hacer dinero fácil. Y con las contraseñas pueden conseguirlo de dos maneras: vendiendo las contraseñas directamente (en la Dark Web se pagan unos 10 dólares por unas credenciales) o accediendo a cuentas o sistemas para generar dinero a través de diferentes vías, como ransomware, filtración de datos o extorsión. Y si se trata de una cuenta bancaria o similar, vaciándola sin más.
Insiders maliciosos
Aunque sería una aplicación más que correcta del término, no estamos hablando de compañeros que utilizan el microondas del comedor del trabajo para calentar brócoli o pescado. Son personas de nuestra misma empresa que quieren hacer daño aprovechando su acceso a las redes de la compañía. Quizás les interese tener su contraseña para llevar a cabo sus estrategias desde su cuenta, para cargarle la culpa y dificultar las investigaciones. O puede que necesiten su contraseña para acceder a otras partes de la red de la empresa, como información financiera delicada, y para acceder a sistemas de control industrial con la capacidad de provocar daños físicos.
¿Cómo consiguen las contraseñas?
Existen algunos puntos en común en las estrategias utilizadas por estos diferentes actores para conseguir su contraseña, ya sea utilizando “commodity malware” adquirido online o comprando credenciales a través de la Dark Web tras una filtración anterior. Sin embargo, también hay algunas diferencias en sus métodos. Vamos a ver cuáles.
Los estados nación son los que tienen más formación y recursos (es decir, personas y dinero), lo que se traduce en más posibilidades de éxito. A menudo desarrollan su propio malware, a partir de vulnerabilidades de software nuevas o no publicadas todavía, para tratar de acceder a dispositivos o redes y filtrar contraseñas. Otra estrategia es preparar minuciosamente un correo de spearphishing dirigido a una persona concreta para que revele su contraseña sin darse cuenta. En ocasiones su objetivo son directamente operadores de servicios, como un proveedor de servicios en la nube, porque les permiten acceder a numerosas cuentas y credenciales al mismo tiempo.
Los ciberdelincuentes tienen un modus operandi bastante más expeditivo. Algunos grupos se dedican básicamente a obtener contraseñas a través de infostealers o correos de phishing y luego venden estas credenciales en la Dark Web (tiene más información sobre los infostealers en esta
entrada del blog). Otros, en cambio, recurren al malware creado por otros grupos. Se trata de kits de phishing o infostealers que se venden como servicio, igual que los paquetes de software de oficina. Estos productos de malware-as-a-service (MaaS) están diseñados para que cualquiera con unos conocimientos técnicos mínimos pueda configurar y lanzar campañas de phishing o malware. Tienen interfaces intuitivas que facilitan todo el proceso de configuración de los ataques.
Los insiders maliciosos están un paso por delante de los demás, porque suelen tener acceso a sus oficinas y redes. Buscan contraseñas apuntadas en una mesa o entran en las carpetas compartidas de la red para mirar si alguien ha guardado contraseñas en un sitio de SharePoint o en cualquier otro espacio compartido. A veces se cuelan también en repositorios de códigos para acceder a contraseñas protegidas, siempre con el objetivo de acceder sin autorización y provocar algún tipo de daño a la empresa o los compañeros.
¿Qué puede hacer para minimizar el impacto?
La respuesta no es muy original: usar un gestor de contraseñas. Solo es necesario recordar una contraseña maestra, tiene todas las facilidades para crear y guardar contraseñas complejas y únicas para cada cuenta y, si una contraseña se filtra a raíz de un ataque, es sencillo generar otra. Además, LastPass permite a todos los clientes supervisar sus credenciales sin ningún coste extra. Si utiliza la supervisión de Dark Web, nuestro servicio contrasta constantemente su información con una base de datos de credenciales expuestas y le alerta de inmediato para que pueda actuar enseguida. El hecho de tener contraseñas únicas en cada cuenta minimiza también el riesgo en caso de exposición de sus credenciales y limita la capacidad de acción de los ciberdelincuentes si caen en sus redes. Hoy, la pregunta no es si un hacker atacará, sino cuándo lo hará. Lo mejor es estar preparado cuando ocurra y, con eso, nosotros podemos ayudarle.
