También usan contraseñas débiles.
También los ciberdelincuentes usan contraseñas. Seguro que las utilizan para proteger sus cuentas y datos personales, pero también hay quienes utilizan las contraseñas para proteger el acceso al código desarrollado para actividades cibernéticas malintencionadas o malware.
¿Qué tan fuertes son las contraseñas que usan los ciberdelincuentes?
Antonin Hyza es un investigador de seguridad en AVAST Software. Al intentar decodificar un malware hecho en shell de PHP se le ocurrió analizar las muestras de malware recolectados en el Laboratorio de Virus de AVAST para averiguar cuán fuertes eran las contraseñas utilizadas por los ciberdelicuentes en el malware.
Analizó puertas traseras, bots y shells y encontró contraseñas sin cifrar y cifradas, decodificando éstas últimas y creando con ellas un diccionario, según publicó en el blog de AVAST.
Hyza encontró contraseñas en texto claro o sin cifrar. Las contraseñas cifradas lo fueron con MD5 o SHA1.
Algunas codificadas con MD5 pudieron ser rotas con facilidad porque eran de menos de 9 caracteres.
- Alrededor del 10% de las contraseñas fueron difíciles de adivinar o de romper. Algunas eran de 75 caracteres, otras eran frases largas con caracteres especiales, como lol dont try cracking 12 char+ (ésta almacenada en texto plano).
- Más de la mitad de las contraseñas fueron hechas sólo con caracteres alfabéticos en minúsculas (a-z).
- La longitud promedio de las contraseñas fue de 6 caracteres.
Los caracteres alfabéticos en mayúsculas son raramente utilizados. Cuando se usan es ya sea sólo en la primer letra de la contraseña o en toda la palabra de la contraseña.- Los caracteres especiales más utilizados son el punto (.), el guión bajo (_), el guión medio (-) y el espacio en blanco.
- 30% de las contraseñas contenían números, siendo el “1” el número más utilizado.
- La contraseña más utilizada fue hack.
Siguiendo sus hallazgos, Hyza ha determinado dos conjuntos de caracteres para romper por la fuerza bruta la seguridad de las contraseñas utilizadas por los ciberdelincuentes:
- acdehiklmnorstu01234579!-.@_ (28 caracteres).
- acdehiklmnorstubgpxyw0123456789!-._@#$+* (41 caracteres, incluyendo el espacio en blanco).
Los resultados mostrados por Hyza revelan que los ciberdelincuentes también cometen los mismos errores que el resto de los usuarios al conformar contraseñas. Son humanos, no les preocupa la seguridad de sus contraseñas, ni tan siquiera por la ilicitud de su actividad.
Actualmente generar y usar contraseñas fuertes, difíciles de adivinar pero fáciles de recordar es todo un reto. Lo más práctico es utilizar alguna herramienta de software que permita su generación con base en reglas personalizables y su uso en el navegador y demás aplicaciones que se utilicen en el computador y dispositivos móvil.