Los 6 métodos de hackeo más comunes

Cuando pensamos en un hacker, a la gran mayoría se le viene a la mente los típicos hackers o especialistas informáticos de las películas.
Pensamos por ejemplo en las mega-pantallas que usa Lucius Fox en El Caballero Oscuro (que no es un hacker per se pero es Morgan Freeman):
Soy un hacker de alto vuelo.


Pensamos en Mr. Robot, una serie en la que un grupo de súper hackers luchan por hundir a empresas multinacionales que controlan el mundo:
No es Will Smith.

Pensamos en la película Blackhat, en la que nuestro destino pende del hilo de un duelo entre hackers:
Los medios de comunicación nos han ofrecido una imagen de los hackers muy diferente de la realidad. Creemos que los métodos de hackeo son impresionantes, complejos y están llenos de monitores con gráficos en 3D:
El sueño humedo de los hackers.

Creemos que los hackers usan miles de monitores como Lucius Fox, que deben imitar a Los Vengadores y formar equipo como en Mr. Robot, que controlan nuestro destino como en Blackhat...
En la tele o en Facebook también te toparás con noticias de hackers reales. Los más populares son los que conforman Anonymous. La sobreexposición de este grupo ha provocado, que crean que los hackers anuncian a bombo y platillo sus ataques antes de efectuarlos o que lo único que hacen son DDoS o ataques de degenación de archivos (o saturar la conexión).
Esperando que inicie Windows.

Los hackers aprovechan esta desinformación para engañar. Ellos saben que tú esperas que cuando seas hackeado de repente te aparezca una cuadro en el monitor de tu PC con una calavera riendo malignamente mientras de fondo suena alguna música dramática (en los 90 si hacían eso)...

Esta noche soñarás conmigo.
Lo que no esperas, y lo que realmente ocurre, es que es posible que ya te hayan hackeado sin que te hayas dado cuenta. Los métodos de hackeo reales son más simples, rápidos y rutinarios de lo que crees. No hay ventanas emergentes que te avisen.
De forma simple: "sobrevalorar los métodos de los hackeros ha sido tu mayor error".
Aquí algunos de los auténticos métodos de hackeo, algunos de ellos revelados por auténticos hackers que no tienen reparos en afirmar, por ejemplo, que tan solo necesitan 3 horas o menos para hackear tu router.

1. La herramienta hacker que puede usar cualquiera contra ti

Uno de los métodos de hackeo más clásico es también uno de los más siniestros: un software, o incluso un dispositivo, que registra cada tecla que presionas en el teclado. Archiva cada mensaje personal, cada contraseña, cada tarjeta de crédito... para pasarlo a un tercero.

Los keyloggers son el sistema de malware más popular, tanto que puede que tengas uno instalado ahora mismo de la mano de alguien conocido. Un compañero sentimental que sospeche de la fidelidad de su compi puede usarlo para confirmar o negar su paranoia. Las leyes de algunos países son demasiado flexibles con este método así que quizás tu jefe lo ha instalado para averiguar si le criticas o no.

2. Los hackers atacan al ordenador más vulnerable: tu mente

A continuación tienes una serie de imágenes del blog oficial de seguridad de Malwarebytes. La imagen de la izquierda es siempre la oficial mientras que la derecha es una página web "falsa" cuyo propósito es engañarte para conseguir tus datos privados (lo que se conoce como phishing).
Mucho ojo.


Si no fuese por el "good" y el "bad", no tendrías NI IDEA que me estoy adentrando en el famoso engaño del phishing.
"Seamos honestos: el phishing es el tipo de ciber-ataque más simple y a la vez el más peligroso y efectivo", explica Malwarebytes en su artículo. "Eso es porque ataca al ordenador más vulnerable y poderoso del planeta: la mente humana".
A nivel nacional, en un artículo de junio del año pasado se repostaron muchas alertas por mensajes fraudulentos enviados para simular alertas de distintas instituciones bancarias y cuyas víctimas compartieron las imágenes por las redes sociales:
Estafadores wasapenado contigo.

El artículo completo lo puedes leer aquí.

3. Con una herramienta común te lo pueden arrebatar todo

Los Packet Sniffers o analizadores de paquetes son herramientas que suelen usar técnicos informáticos para diagnosticar problemas relacionados con la red. Un Packer Sniffer analiza el tráfico de una red y lo presenta de forma que los humanos podamos entenderlo. Si existe un problema en la red, un Sniffer te permite descubrir el dispositivo del que nace el error en cuestión.
Olfateando tus datos.

El problema es que un Packet Sniffer ofrecerá a un hacker toda la información que intercambias si logra instalarlo en tu red. Y uno de los datos que te puede robar es tu contraseña como administrador de tu ordenador. Si se hace con ella, tiene el poder de hacer lo que quiera en tu red: borrar datos, modificarlos...
Los hackers no necesitan miles de ordenadores ni un súper-equipo de frikis para atraparte: necesitan instalar una herramienta común y conseguir una simple contraseña.

4. Un hacker confiesa su sencillísimo método con Word

Investigando sobre los métodos de hackeo, me he encontrado con una confesión de Lucas Gates en Quora. Gates se considera "hacker profesional".
"Uno de mis métodos favoritos para entrar dentro de una organización es enviarle a alguien un documento Word con un macro `malicioso´. Cuando el empleado abre el documento, aparece este botón amarillo:
"Nunca confié en ese tipo. (Alf)"

"Si el empleado hace clic en el botón, mi malware se instala en su PC. Después, cada 30 minutos, su ordenador se conecta a mi servidor y me permite acceso completo. Desde la perspectiva del usuario, no hay indicación alguna de que su ordenador está controlado a distancia".

5. "Puedes hackear cualquier router WiFi en menos de 4 horas usando anda más que un ordenador viejo y polvo de hadas"

No nos alejemos de Quora todavía. En esta misma página de preguntas y respuestas, Stephen Punwasi ("Rompiendo Internet desde antes de que eso molase") explica lo fácil que es hackear un router WiFi.
"Todos los routers creados después de 2007 tienen algo llamado WiFi Protected Setup o WPS. Es un sistema que conecta dispositivos con solo pulsar un botón. Como si fuera magia, se intercambia un pin de 8 digitos y tu dispositivo se conecta al router. Genial, ¿verdad? Pues no".
Actívame y compartiremos juntos tus datos con el mundo. Te divertirás... si hasta wikipedia lo dice..


"¿No nos habían dicho que nuestras contraseñas debían tener 16 dígitos o más, contener letras y números y algunos caracteres aleatorios por si acaso?".
"Con un pin de solo 8 cifras, solo hay 10.000.000 posibles combinaciones; un número muy trivial. Tardarías horas, en lugar de años, en dar con el pin en cuestión. Pero hay más".
"El WPS está diseñado para romperse en dos contraseñas de 4 dígitos cada una y te da el pin como suma. Eso significa que solo hay 11.000 combinaciones más o menos. En 3 horas puedes entrar en cualquier router".
¿Cómo puedes protegerte de este método en concreto? "Desactiva WPS. No hay solución a esto, es un problema de fábrica".

6. Y el método más sencillo y estúpido es 100% culpa tuya

Acabo este repaso con un método rematadamente sencillo que se debe a un error que cometes tú, tu vecina y una servidora de ustedes. En palabras de Ryan McGeehan, consejero fundador de HackerOne:
"Los hackers esperan que uses siempre la misma contraseña de mierda para todos tus logins porque es para ti la forma más sencilla de usar Internet".
¡Tranquilos, mi contraseña es 123456!
Para un hacker, existen muchas posibilidades de que hackearte en un sitio signifique hackearte en todas partes, ¡incluso si usas una contraseña compleja! "Algunas páginas hacen un trabajo pésimo guardando tus contraseñas para evitar que las roben los hackers. Si los hackers te la quiten de una de estas páginas pésimas, la usarán en las otras páginas con mayor protección".
Aquí puedes ver un listado de las más usadas y que debes evitar.
Que sepas que a veces los hackers no van a por adrede. No tienen una vendetta personal porque les miraste mal en la calle. "Simplemente procesan una especie de contenedor de contraseñas y tú estás dentro de una lista enorme de personas a las que spammean".
Tu hackeo puede ser una simple casualidad.

¿Y qué puedes hacer tú contra todo esto?

Existen trucos para evitar que te hackeen pero por desgracia no son definitivos porque siempre existe algo que puede fallar: tu mente. Aún así, acá hay una recopilación de acciones concretas que puedes iniciar nada más terminar de leer este texto.
  • Lucas Gates, el hacker del Word, te recomiendas que uses SIEMPRE la autentificación en dos pasos. "Con este método el atacantes no podrá acceder a la aplicación web con una contraseña robada"
  • Ya que estamos, asegúrate de que tu sistema de correos puede filtrar documentos de Office con macros. No sea que caigas en las garras de alguien que sigue los métodos de Gates
  • Usa contraseñas diferentes para cada servicio. Puede ser un fastidio. Pero de lo contrario te pasará como como al le hackearon su cuenta de World of Warcraft y a partir de ahí lo hackearon TODO. Ah, y este consejo también cuenta con las contraseñas de administrador.
  • Otro método es agrupar los servicios de poca importancia con la contraseña que nunca olvidas y nunca usar esa misma  para tus cuentas personales importantes, allí si tienen que ser individuales. Pero ten en cuenta que de poca importancia tambien le atañe a los datos personales que has ingresado a esas cuentas. Ve la mejor manera.
  • Práctica la ciber-higiene: si te te duchas cada día (ESPERO) Pues con tu ciber-vida debe ser igual. Cada cierto tiempo usa un antivirus como Panda o compañía para limpiar tu ordenador. ¿Cada cuánto tiempo deberías ciber-ducharte? Piensa en lo siguiente: "¿si mi ordenador fuese una persona, tendría moscas a su alrededor?". En caso afirmativo: ¡a limpiar!
Be clean.

  • Utiliza VPN para proteger tus envíos de paquetes de información
  • Si recibes un correo extraño, investiga sin hacer clic: ¿el enlace del email es extraño? ¿la ortografía deja mucho que desear? ¿el miedo es un factor importante en el mensaje? Desconfía con tan solo levantar una sospecha
  • ¿Crees que has entrado en una web phishing? Introduce una contraseña inventada que no sea la tuya. Si "entras" es que era una estafa como la lotería de Bil Gates.
  • Por sobre todas las cosas: no guardes todas tus contraseñas en un documento llamado "AQUÍESTANMISCONTRASEÑAS.docx". Si te parece una exageración, te sorprenderías de la de gente que hace eso
  • Acabando con la regla de oro: utiliza el sentido común. A lo largo de este artículo, hemos comprobado que el hacker no ataca al ordenador sino que engaña al usuario. Si sospechas de una página o de un archivo que te acaban de pasar, haz caso de tu instinto y toma precauciones antes de seguir adelante.
Ya estas advertido. Mi dinero se queda en mis cuentas.

 Fuentes: What are some computer hacks that hackers know but most people don't?, What is a Packet Sniffer?, What Can Hackers Do With a Packet Sniffer?, Keyloggers Explained: What You Need to Know, Phishing 101: Part 1
Softonic.

0 comentarios:

Copyright © 2013 Informacion Prelude