Hay muchas formas de hackear una cuenta. El cracking de contraseñas es una de ellas: implica el uso de varios métodos computacionales y de otro tipo para romper el paso de autenticación de la contraseña. En este artículo hablaremos de varias técnicas de descifrado de contraseñas. Hoy en día, incluso se pueden encontrar herramientas especializadas en el descifrado de contraseñas, que no tienen que ser utilizadas sólo con fines ilícitos. Pero antes de entrar en detalles, hablemos de lo que es el cracking de contraseñas.
¿Qué es el cracking de contraseñas y cómo funciona?
El cracking de contraseñas significa recuperar las contraseñas de un ordenador o de los datos que un ordenador transmite. No tiene por qué ser un método sofisticado. Un ataque de fuerza bruta en el que se comprueban todas las combinaciones posibles también es un cracking de contraseñas.
Si la contraseña se almacena como texto plano, el hackeo de la base de datos proporciona al atacante toda la información de la cuenta. Sin embargo, ahora la mayoría de las contraseñas se almacenan utilizando una función de derivación de claves (KDF). Ésta toma una contraseña y la hace pasar por un cifrado unidireccional, creando lo que se conoce como «hash». El servidor almacena la versión hash de la contraseña.
Es fácil probar diferentes contraseñas con hash a un alto ritmo cuando se utiliza una GPU o botnet. Por eso, la mayoría de las funciones de hash de las contraseñas utilizan algoritmos de estiramiento de claves, que aumentan los recursos (y, por lo tanto, el tiempo) necesarios para un ataque de fuerza bruta.
Algunos métodos de descifrado de contraseñas se vuelven significativamente más difíciles si su contraseña utiliza salting o estiramiento de claves. Desgraciadamente, todavía hay algunos servicios que almacenan contraseñas sin cifrar o débilmente cifradas en sus servidores.
Herramientas de descifrado de contraseñas
Ningún descifrado de contraseñas comienza sin las herramientas adecuadas. Cuando hay que adivinar entre miles de millones de combinaciones, alguna ayuda computacional es más que bienvenida. Como siempre, cada herramienta tiene sus pros y sus contras.
Pero antes de empezar a crackear, necesitas tener primero el hash de la contraseña. Estas son algunas de las herramientas más populares para conseguir el hash:
- Mimikatz. Conocida como una aplicación de auditoría y recuperación de contraseñas, Mimikatz también puede utilizarse para la recuperación de hash malignos. De hecho, también podría extraer contraseñas en texto plano o códigos PIN.
- Wireshark. Wireshark te permite hacer packet sniffing, que es el número diez en nuestra lista de técnicas de cracking de contraseñas anterior. Wireshark es un galardonado analizador de paquetes utilizado no sólo por los hackers, sino también por instituciones empresariales y gubernamentales.
- Metasploit. Este es un popular marco de pruebas de penetración. Diseñado para los profesionales de la seguridad, Metasploit también puede ser utilizado por los hackers para recuperar los hashes de las contraseñas.
Y ahora vienen las herramientas más populares para descifrar contraseñas sin ningún orden en particular.
John the Ripper
Figurado en muchas listas de herramientas populares para descifrar contraseñas, John the Ripper es una aplicación gratuita, de código abierto y basada en comandos. Está disponible para Linux y macOS mientras que los usuarios de Windows y Android obtienen Hash Suite, desarrollada por un colaborador.
John the Ripper soporta una lista masiva de diferentes tipos de cifrado y hash. Algunos de ellos son:
- Unix, macOS, y contraseñas de usuario de Windows
- Aplicaciones web
- Servidores de bases de datos
- Capturas de tráfico de red
- Claves privadas encriptadas
- Discos y sistemas de archivos
- Archivos
- Documentos
También hay una versión Pro con funciones extra y paquetes nativos para los SO soportados. Las listas de palabras utilizadas en el descifrado de contraseñas están a la venta, pero también hay opciones gratuitas.
Cain & Abel
Descargado casi 2 millones de veces desde su fuente oficial, Cain & Abel es otra herramienta popular para el descifrado de contraseñas. Pero al contrario que John the Ripper, utiliza una interfaz gráfica de usuario, lo que la hace instantáneamente más fácil de usar. Eso y el hecho de que esté disponible en Windows sólo hace que Caín & Abel sea una herramienta para aficionados, también conocidos como script kiddies.
Se trata de una herramienta polivalente, capaz de muchas funciones diferentes. Cain & Abel puede actuar como un analizador de paquetes, grabar VoIP, analizar protocolos de ruta o escanear redes inalámbricas y recuperar sus direcciones MAC. Si ya tiene el hash, esta herramienta ofrecerá una opción de ataque por diccionario o fuerza bruta. Cain & Abel también puede mostrar las contraseñas que se esconden debajo de los asteriscos.
Ophcrack
Ophcrack es una herramienta de crackeo de contraseñas gratuita y de código abierto que se especializa en ataques de tablas rainbow. Para ser más precisos, crackea hashes LM y NTLM, donde el primero se dirige a Windows XP y sistemas operativos anteriores y el segundo se asocia a Windows Vista y 7. NTLM también está disponible, hasta cierto punto, en Linux y freeBSD. Ambos tipos de hash son inseguros: es posible crackear un hash de NTLM en menos de 3 horas con un ordenador rápido.
Como se puede ver en la captura de pantalla de arriba, Ophcrack tardó apenas seis segundos en descifrar una contraseña de 8 símbolos utilizando una tabla arco iris que incluye letras, números y mayúsculas. Eso es incluso más variables de las que suele tener una contraseña convencional.
Esta herramienta viene con tablas arcoíris gratuitas para Windows XP/Vista/7 y una función de ataque de fuerza bruta para contraseñas simples. ¡Ophcrack está disponible en Windows, macOS y Linux.
THC Hydra
Discutiblemente, el punto más fuerte de THC Hydra no es el posible número de cabezas que puede crecer, sino el gran número de protocolos que soporta que parece estar creciendo también! Se trata de una herramienta de código abierto para descifrar contraseñas de acceso a la red que funciona con Cisco AAA, FTP, HTTP-Proxy, IMAP, MySQL, Oracle SID, SMTP, SOCKS5, SSH y Telnet, por nombrar sólo algunos.
Los métodos disponibles con THC Hydra incluyen ataques de fuerza bruta y de diccionario, mientras que también utiliza listas de palabras generadas por otras herramientas. Este cracker de contraseñas es conocido por su velocidad gracias a la prueba de combinación multihilo. Incluso puede ejecutar comprobaciones en diferentes protocolos simultáneamente. THC Hydra está disponible en Windows, macOS y Linux.
Hashcat
Posicionándose como el cracker de contraseñas más rápido del mundo, Hashcat es una herramienta gratuita de código abierto que está disponible en Windows, macOS y Linux. Ofrece una serie de técnicas, desde un simple ataque de fuerza bruta hasta una máscara híbrida con lista de palabras.
Hashcat puede utilizar tanto su CPU como su GPU, incluso al mismo tiempo. Esto hace que descifrar múltiples hashes simultáneamente sea mucho más rápido. Pero lo que hace que esta herramienta sea realmente universal es el número de tipos de hash soportados. Hashcat puede descifrar MD5, SHA3-512, ChaCha20, PBKDF2, Kerberos 5, 1Password, LastPass, KeePass, y muchos más. De hecho, soporta más de 300 tipos de hash.
Técnicas de descifrado de contraseñas utilizadas por los hackers
Naturalmente, los hackers quieren utilizar el método más fácil disponible para el descifrado de contraseñas. La mayoría de las veces, ese método es el phishing, descrito en detalle a continuación. Mientras el ser humano sea el eslabón más débil de cualquier sistema de seguridad, dirigirse a él es la mejor apuesta. Si eso falla, hay muchas otras técnicas de descifrado de contraseñas que se pueden probar.
Aunque las contraseñas son una herramienta de seguridad de cuentas muy popular, no son necesariamente la opción más segura. Eso es especialmente cierto si un usuario crea una contraseña débil, la reutiliza y almacena su copia en texto plano en algún lugar en línea. Por eso, el uso de datos biométricos (que también tiene sus contras) o la adición de un segundo factor harán inútiles la mayoría de los métodos de cracking que se detallan a continuación.
Un típico ataque de cracking de contraseñas se parece a esto:
- Consigue los hashes de las contraseñas
- Prepara los hashes para tu herramienta de cracking seleccionada
- Elige una metodología de cracking
- Ejecuta la herramienta de cracking
- Evalúa los resultados
- Si es necesario, retoca tu ataque
- Ve al paso 2
Ahora vamos a hablar de las técnicas de cracking de contraseñas más populares. Hay muchos casos en los que se combinan entre sí para lograr un mayor efecto.
Phishing
El phishing es la técnica más popular que consiste en atraer al usuario para que haga clic en un archivo adjunto de correo electrónico o en un enlace que contiene malware. Los métodos para hacerlo suelen consistir en el envío de algún correo electrónico de aspecto importante y oficial que advierte de que hay que actuar antes de que sea demasiado tarde. Al final, se instala automáticamente un software de extracción de contraseñas o el usuario introduce los datos de su cuenta en un sitio web de apariencia similar.
Existen diferentes tipos de phishing adaptados a una situación concreta, por lo que veremos los más comunes:
- El spear phishing se dirige a una persona concreta e intenta recopilar toda la información personal posible antes del ataque.
- El whaling se dirige a altos ejecutivos y utiliza contenido específico de la empresa, que puede ser una queja de un cliente o una carta de un accionista.
- El phishing de voz implica un mensaje falso de un banco o de alguna otra institución, que pide al usuario que llame a la línea de ayuda e introduzca los datos de su cuenta.
Malware
Como has visto, el malware también suele formar parte de la técnica del phishing. Sin embargo, puede funcionar sin el factor de «ingeniería social» si el usuario es lo suficientemente ingenuo (normalmente lo es). Dos de los tipos de malware más comunes para robar contraseñas son los keyloggers y los screen scrapers. Como sus nombres implican, el primero envía todas las pulsaciones del usuario al hacker, y el segundo sube las capturas de pantalla.
También se pueden utilizar otros tipos de malware para robar contraseñas. Un troyano de puerta trasera puede conceder acceso total al ordenador del usuario, y esto puede ocurrir incluso al instalar el llamado grayware. También conocidos como aplicaciones potencialmente no deseadas, estos programas suelen instalarse tras hacer clic en el botón de «Descarga» equivocado en algún sitio web. Mientras que la mayoría mostrará anuncios o venderá tus datos de uso de la web, algunos podrían instalar software mucho más peligroso.
Ingeniería social
Esta técnica de descifrado de contraseñas se basa en la credulidad y puede o no emplear software o hardware sofisticado: el phishing es un tipo de esquema de ingeniería social.
La tecnología ha revolucionado la ingeniería social. En 2019 los hackers utilizaron la IA y la tecnología de voz para hacerse pasar por el dueño de una empresa y engañaron al director general para que transfiriera 243.000 dólares. Este ataque demostró que fingir la voz ya no es el futuro, y que la imitación de vídeo se convertirá en algo habitual antes de lo que se piensa.
Por lo general, el atacante se pone en contacto con la víctima disfrazado de representante de alguna institución, tratando de conseguir toda la información personal posible. También existe la posibilidad de que, haciéndose pasar por un agente del banco o de Google, consiga enseguida la contraseña o los datos de la tarjeta de crédito. A diferencia de las otras técnicas, la ingeniería social puede ocurrir fuera de línea llamando o incluso conociendo personalmente a la víctima.
Ataque de fuerza bruta
Si todo lo demás falla, los crackers de contraseñas tienen el ataque de fuerza bruta como último recurso. Básicamente consiste en probar todas las combinaciones posibles hasta dar con el premio gordo. Sin embargo, las herramientas de cracking de contraseñas permiten modificar el ataque y reducir significativamente el tiempo necesario para comprobar todas las variaciones. El usuario y sus hábitos son los eslabones débiles de nuevo aquí.
Si el atacante fue capaz de forzar una contraseña, asumirá que la contraseña ha sido reutilizada e intentará la misma combinación de credenciales de acceso en otros servicios online. Esto se conoce como «credential stuffing» y es muy popular en la era de las violaciones de datos.
Ataque de diccionario
Un ataque de diccionario es un tipo de ataque de fuerza bruta y a menudo se utiliza junto con otros tipos de ataque de fuerza bruta. Comprueba automáticamente si la contraseña no es una frase de uso frecuente como «iloveyou» buscando en el diccionario. El atacante también podría añadir contraseñas de otras cuentas filtradas. En este escenario, la posibilidad de que un ataque de diccionario tenga éxito aumenta sustancialmente.
Si los usuarios eligieran contraseñas fuertes que no contengan sólo una palabra, estos ataques se reducirían rápidamente a un simple ataque de fuerza bruta. En caso de utilizar un gestor de contraseñas, entonces generar un conjunto aleatorio de símbolos es la mejor opción. Y si no lo haces, una frase larga compuesta por al menos cinco palabras también es estupenda. Eso sí, no te olvides de reutilizarla para cada cuenta.
Spidering
El spidering es una técnica de descifrado de contraseñas complementaria que ayuda con los ataques de fuerza bruta y de diccionario mencionados anteriormente. Consiste en recopilar información sobre la víctima, normalmente una empresa, suponiendo que utiliza parte de esa información para la creación de contraseñas. El objetivo es crear una lista de palabras que ayude a adivinar la contraseña más rápidamente.
Después de comprobar el sitio web de la empresa, las redes sociales y otras fuentes, se puede llegar a algo así:
- Nombre del fundador – Mark Zuckerberg
- Fecha de nacimiento del fundador – 1984 05 14
- Hermana del fundador – Randi
- Otra hermana del fundador – Donna
- Nombre de la empresa – Facebook
- Sede – Menlo Park
- Misión de la empresa – Dar a la gente el poder de construir una comunidad y acercar el mundo
- 123456
- qwerty
- password
- iloveyou
- admin
- lovely
- 7777777
- 888888
- princesa
- dragón
- Longitud. Como suele ocurrir, la longitud es el factor más importante.
- Combinar letras, números y caracteres especiales. Esto aumenta enormemente el número de combinaciones posibles.
- No reutilizar. Aunque su contraseña sea fuerte en teoría, reutilizarla le dejará vulnerable.
- Evite las frases fáciles de adivinar. Una palabra que esté en el diccionario, en el collar de tu mascota o en tu matrícula es un gran NO.
Ahora sólo hay que subirlo a una herramienta adecuada para descifrar contraseñas y recoger los beneficios.
Adivinar
Aunque adivinar no es ni mucho menos la técnica de cracking de contraseñas más popular, se relaciona con el spidering orientado a los negocios antes mencionado. A veces, el atacante ni siquiera tiene que reunir información sobre la víctima porque con probar algunas de las frases de contraseña más populares es suficiente. Si recuerdas haber utilizado una o varias de las patéticas contraseñas de la lista que aparece a continuación, te recomendamos encarecidamente que las cambies ahora.
Algunas de las contraseñas más comunes en 2019
.
Aunque el número de personas que utilizan contraseñas simples o por defecto como «admin,», «qwerty» o «123456» está disminuyendo, a muchos les siguen gustando las frases fáciles y memorables. Éstas suelen incluir nombres de mascotas, amantes, ex-mascotas, o algo relacionado con el servicio real, como su nombre (en minúsculas).
Ataque de tabla arco iris
Como se mencionó anteriormente, una de las primeras cosas que hay que hacer al descifrar una contraseña es obtenerla en forma de hash. Luego se crea una tabla de contraseñas comunes y sus versiones con hash y se comprueba si la que se quiere descifrar coincide con alguna entrada. Los hackers experimentados suelen tener una tabla arcoíris que también incluye contraseñas filtradas y previamente crackeadas, lo que la hace más efectiva.
La mayoría de las veces, las tablas arcoíris tienen todas las contraseñas posibles que las hacen extremadamente enormes, ocupando cientos de GBs. Por otro lado, hacen que el ataque real sea más rápido porque la mayoría de los datos ya están ahí y sólo hay que compararlos con el hash-contraseña objetivo. Por suerte, la mayoría de los usuarios pueden protegerse de este tipo de ataques con sales grandes y estiramiento de la clave, especialmente cuando se utilizan ambos.
Si la sal es lo suficientemente grande, digamos de 128 bits, dos usuarios con la misma contraseña tendrán hashes únicos. Esto significa que generar tablas para todas las sales llevará una cantidad de tiempo astronómica. En cuanto al estiramiento de la clave, aumenta el tiempo de hashing y limita el número de intentos que el atacante puede hacer en un tiempo determinado.
¿Cómo crear una contraseña fuerte?
No importa lo buena que sea tu memoria o tu gestor de contraseñas, no crear una buena contraseña te llevará a consecuencias no deseadas. Como ya comentamos en este artículo, las herramientas de cracking de contraseñas pueden descifrar contraseñas débiles en días, si no en horas. Por eso nos vemos obligados a recordar algunos de los consejos clave para idear una frase de contraseña fuerte:
Si quieres aprender más sobre cómo crear buenas contraseñas, considera consultar nuestro artículo Cómo crear una contraseña fuerte. También puedes probar nuestro generador de contraseñas que te ayudará a idear contraseñas seguras.
Crea contraseñas únicas
Genera contraseñas seguras que sean completamente aleatorias e imposibles de adivinar.
¿Es ilegal el crackeo de contraseñas?
No hay una respuesta clara a esto. Para empezar, todas las herramientas de cracking de contraseñas descritas anteriormente son perfectamente legales. Eso es porque juegan un papel clave en la comprobación de vulnerabilidades y también pueden ayudar a recuperar una contraseña perdida. Además, estas herramientas ayudan a las fuerzas del orden a luchar contra el crimen. Así que, como suele ocurrir, el cracking de contraseñas puede ayudar a la buena y a la mala causa.
En cuanto al cracking de contraseñas como actividad, depende de dos factores. Uno, el hacker no tiene la autoridad para acceder a esos datos en particular. Dos, el objetivo es robar, dañar o hacer un mal uso de los datos. Incluso si sólo se da uno de estos factores, lo más probable es que el hacker reciba un castigo, que puede ir desde una multa hasta varios años de prisión.
En resumen, si no hay recompensa por los errores, no hay acuerdo para hacer una prueba de penetración y no se pide ayuda para recuperar una contraseña perdida, el cracking es ilegal.
Finalidad
El cracking de contraseñas es más fácil de lo que la mayoría de los usuarios piensan. Hay un montón de herramientas gratuitas y algunas de ellas son lo suficientemente fáciles incluso para los crackers novatos. También hay más de una técnica de cracking de contraseñas para probar. Empezando por un simple ataque de fuerza bruta y pasando por sofisticados métodos que combinan diferentes técnicas, el cracking de contraseñas está evolucionando cada día.
La mejor defensa contra el cracking de contraseñas es utilizar una contraseña fuerte. Utilizar suficientes símbolos y caracteres diferentes garantiza que ni el ordenador más rápido podrá descifrar tu cuenta en esta vida. Y como recordar varias contraseñas fuertes es poco probable, la mejor apuesta es utilizar un gestor de contraseñas fiable. La autenticación de dos factores sigue siendo un dolor de cabeza para cualquier hacker, por lo que añadir un identificador dactilar o facial mantendrá tus datos a salvo, al menos en el futuro inmediato.fcomm