Los medios de comunicación nos han ofrecido una imagen de los hackers muy diferente de la realidad. Creemos que los métodos de hackeo son impresionantes, complejos y están a rebosar de monitores con gráficos en 3D.
Lo que no sospechas es que los hackers aprovechan esta desinformación para engañarte. Ellos saben que tú esperas que cuando seas hackeado de repente te aparezca una gran ventana en el monitor de tu PC con una calavera riendo malignamente mientras de fondo suena alguna música dramática a cargo de Hans Zimmer… Lo que no esperas, y lo que realmente ocurre, es que es posible que ya te hayan hackeado sin que te hayas dado cuenta. Los métodos de hackeo reales son más simples, rápidos y rutinarios de lo que crees.
Dicho de forma simple: sobrevalorar los métodos de los hackers ha sido tu mayor error.
A continuación te explico los auténticos métodos de hackeo, algunos de ellos revelados por auténticos hackers que no tienen reparos en afirmar, por ejemplo, que tan solo necesitan 3 horas o menos para hackear tu router.
MÉTODO 1: KEYLOGGERS. La herramienta hacker que hasta tu pareja puede usar contra ti.
Uno de los métodos de hackeo más clásico es también uno de los más siniestros: un software, o incluso un dispositivo, que registra cada tecla que presionas en el teclado. Archiva cada mensaje personal, cada contraseña, cada tarjeta de crédito… para pasarlo a un tercero.
Los keyloggers son el sistema de malware más popular, tanto que puede que tengas uno instalado ahora mismo de la mano de alguien conocido. Las leyes de algunos países son demasiado flexibles con este método así que quizás tu jefe lo ha instalado para averiguar si le criticas o no.
MÉTODO 2: PHISHING. Los hackers revelan la parte más vulnerable de tu ordenador: no es lo que esperas.
A continuación tienes una serie de imágenes del blog oficial de seguridad de Malwarebytes. La imagen de la izquierda es siempre la oficial mientras que la derecha es una página web “falsa” cuyo propósito es engañarte para conseguir tus datos privados (lo que se conoce como phishing).
Si no fuese por el “good” y el “bad”, no tendrías NI IDEA que te estás adentrando en el famoso engaño del phishing.
El phishing es el tipo de ciber-ataque más simple y a la vez el más peligroso y efectivo”, explica Malwarebytes en su artículo. “Eso es porque ataca al ordenador más vulnerable y poderoso del planeta: la mente humana”.
MÉTODO 3: SNIFFERS. Con esta herramienta común cualquiera hacker te lo puede arrebatar todo.
Los Packet Sniffers o analizadores de paquetes son herramientas que suelen usar técnicos informáticos para diagnosticar problemas relacionados con la red. Un Packer Sniffer analiza el tráfico de una red y lo presenta de forma que los humanos podamos entenderlo. Si existe un problema en la red, un Sniffer te permite descubrir el dispositivo del que nace el error en cuestión.
El problema es que un Packet Sniffer ofrecerá a un hacker toda la información que intercambias si logra instalarlo en tu red. Y uno de los datos que te puede robar es tu contraseña como administrador de tu ordenador. Si se hace con ella, tiene el poder de hacer lo que quiera en tu red: borrar datos, modificarlos…
Los hackers no necesitan miles de ordenadores ni un súper-equipo de frikis para atraparte: necesitan instalar una herramienta común y conseguir una simple contraseña.
MÉTODO 4: MACROS. Un hacker confiesa su sencillísimo método con Word.
“Uno de mis métodos favoritos para entrar dentro de una organización es enviarle a alguien un documento Word con un macro `malicioso´. Cuando el empleado abre el documento, aparece este botón amarillo:
“Si el empleado hace clic en el botón, mi malware se instala en su PC. Después, cada 30 minutos, su ordenador se conecta a mi servidor y me permite acceso completo. Desde la perspectiva del usuario, no hay indicación alguna de que su ordenador está controlado a distancia”.
MÉTODO 5: HACKEAR ROUTER. “Puedes hackear cualquier router WiFi en menos de 4 horas usando nada más que un ordenador viejo”
No nos alejemos de Quora todavía. En esta misma página de preguntas y respuestas, Stephen Punwasi explica lo fácil que es hackear un router WiFi.
“Todos los routers creados después de 2007 tienen algo llamado WiFi Protected Setup o WPS. Es un sistema que conecta dispositivos con solo pulsar un botón. Como si fuera magia, se intercambia un pin de 8 digitos y tu dispositivo se conecta al router. Genial, ¿verdad? Pues no”.
“¿No nos habían dicho que nuestras contraseñas debían tener 16 dígitos o más, contener letras y números y algunos caracteres aleatorios por si acaso?”.
“Con un pin de solo 8 cifras, solo hay 10.000.000 posibles combinaciones; un número muy trivial. Tardarías horas, en lugar de años, en dar con el pin en cuestión. Pero hay más”.
“El WPS está diseñado para romperse en dos contraseñas de 4 dígitos cada una y te da el pin como suma. Eso significa que solo hay 11.000 combinaciones más o menos. En 3 horas puedes entrar en cualquier router”.
¿Cómo puedes protegerte de este método en concreto? “Desactiva WPS. No hay solución a esto, es un problema de fábrica”.
MÉTODO 6: PASSWORDS O CONTRASEÑAS. Los hackers saben que cometerás este error 100% estúpido y humano.
Acabo este repaso con un método rematadamente sencillo que se debe a un error que cometen muchos usuarios. En palabras de Ryan McGeehan, consejero fundador de HackerOne:
Para un hacker, existen muchas posibilidades de que hackearte en un sitio signifique hackearte en todas partes, ¡incluso si usas una contraseña compleja! “Algunas páginas hacen un trabajo pésimo guardando tus contraseñas para evitar que las roben los hackers. Si los hackers te la quiten de una de estas páginas pésimas, la usarán en las otras páginas con mayor protección”.
Debes saber que la mayoría de las veces los hackers no van a propósito por tí. “Simplemente procesan una especie de contenedor de contraseñas y tú estás dentro de una lista enorme de personas a las que spammean”.
Exacto: tu hackeo puede ser una simple casualidad.
¿Y qué puedes hacer tú contra todo esto?
- Lucas Gates, el hacker del Word, te recomiendas que uses SIEMPRE la autentificación en dos pasos. “Con este método el atacantes no podrá acceder a la aplicación web con una contraseña robada”
- Ya que estamos, asegúrate de que tu sistema de correos puede filtrar documentos de Office con macros. No sea que caigas en las garras de alguien que sigue los métodos de Gates
- Usa contraseñas diferentes para cada servicio. Y este consejo también cuenta con las contraseñas de administrador
- Práctica la ciber-higiene: Cada cierto tiempo usa un antivirus como Avast o compañía para limpiar tu ordenador.
- Utiliza VPN para proteger tus envíos de paquetes de información
- Si recibes un correo extraño, investiga sin hacer clic: ¿el enlace del email es extraño? ¿la ortografía deja mucho que desear? ¿el miedo es un factor importante en el mensaje? Desconfía con tan solo levantar una sospecha
- ¿Crees que has entrado en una web phishing? Introduce una contraseña inventada que no sea la tuya. Si “entras” es que era una estafa como una catedral
- No guardes todas tus contraseñas en un documento llamado “AQUÍESTANMISCONTRASEÑAS.docx”.
Acabo con la regla de oro: utiliza el sentido común. A lo largo de este artículo, hemos comprobado que el hacker no ataca al ordenador sino que engaña al usuario. Si sospechas de una página o de un archivo que te acaban de pasar, haz caso de tu instinto y toma precauciones antes de seguir adelante.
Fuentes: What are some computer hacks that hackers know but most people don’t?, What is a Packet Sniffer?, What Can Hackers Do With a Packet Sniffer?, Keyloggers Explained: What You Need to Know, Phishing 101: Part 1
No hay comentarios:
Publicar un comentario