¿Cómo protegerse de un ataque de tabla de arcoíris con ayuda del MFA?
Desde 2013, el primer jueves de mayo se celebra el Día Mundial de las Contraseñas para promover mejores hábitos de uso de las contraseñas. Un evento que nos permite recordar que las contraseñas son los principales guardianes de nuestras identidades digitales y que debemos hacer un esfuerzo para implementar contraseñas fuertes y seguras capaces de protegernos. Sólo en 2022, fueron descubiertas 721,5 millones de credenciales expuestas en línea.
En consecuencia, los ataques de apropiación de cuentas (ATO, por sus siglas en inglés) van en aumento. Existen varias formas en que los cibercriminales consiguen robar las contraseñas de sus objetivos e incluso las credenciales cifradas pueden ser vulnerables a cierto tipo de ataques. Pero hoy nos centraremos en un ataque específico: el ataque de tabla arcoíris.
¿Qué es un ataque de tabla arcoiris?
Este tipo de ataques es utilizado por ciberdelincuentes para descifrar hashes de contraseñas con ayuda del uso de una tabla de contraseñas comunes, con su hash correspondiente, que permite a un atacante desvelar la contraseña original a través de un proceso de ingeniería inversa. Al momento de crear una nueva cuenta online, las bases de datos de contraseñas suelen “hashear”, o cifrar de forma irreversible, las contraseñas para que no puedan utilizarse si un actor malicioso se hace con esa base de datos. De modo que, los ataques de tabla arcoíris se basan en tablas precalculadas que contienen estos hashes, con los que un atacante puede revertir una contraseña cifrada a su forma de texto sin formato de manera más eficiente que si se tratara del uso de métodos de fuerza bruta o simples tablas de búsqueda.
Si bien las tablas arcoíris ofrecen a los administradores de seguridad un método para comprobar los estándares de seguridad de las contraseñas, también proporcionan a los cibercriminales una forma de descifrar rápidamente las contraseñas para obtener acceso no autorizado a los sistemas informáticos.
Para llevar a cabo este ataque, el actor crea primero una “cadena” de valores hash que le permiten generar una tabla arcoíris. Para ello, parte de un valor conocido y aplica la función hash, con lo que obtiene su valor correspondiente. Una vez que tiene el listado, el actor compara los valores hash de la tabla con los valores hash de una base de datos para encontrar coincidencias. Al encontrarlas, el atacante puede conocer la contraseña y utilizarla para iniciar sesión en el sistema o acceder a información confidencial del usuario.
En una investigación reciente, un grupo de analistas realizó un estudio en el que introdujeron más de 15,6 millones de contraseñas en un programa de descifrado de contraseñas basado en IA llamado PassGAN y concluyeron que es posible descifrar el 51% de las contraseñas comunes en un minuto. Sin embargo, el software de IA no logró descifrar las contraseñas más largas. Para descifrar una contraseña que solo contenga números y de 18 caracteres, se tardaría al menos 10 meses, y una contraseña de la misma longitud que contenga números, letras mayúsculas y minúsculas y caracteres especiales se tardaría seis quintillones de años para revelarla. Estos programas de IA utilizan técnicas similares a los ataques de tabla arcoíris y los algoritmos hash más antiguos, como MD5 y SHA-1, son más susceptibles a estas formas de ataque.
4 consejos para conseguir una contraseña segura
Como hemos visto, la importancia de una contraseña fuerte y segura no se desvanece con el paso del tiempo. Por eso, recordaremos 4 consejos básicos para crear una contraseña segura:
1. Tomar en cuenta la longitud: para crear una contraseña que sea realmente segura, la longitud es realmente importante. Cada símbolo carácter y símbolo adicional en una contraseña aumenta de forma exponencial el número de combinaciones posibles. Lo ideal es tener una contraseña de, al menos, 12 caracteres.
2. Crear una contraseña única: hay que evitar utilizar algo genérico como "qwerty", "password" o "12345". Estas contraseñas están entre las más usadas de todo el mundo y, por tanto, entre las menos útiles. De igual forma, es recomendable crear contraseñas diferentes para cada cuenta, ya que, al reutilizar una contraseña, aunque sea segura, dejaría de serlo.
3. No utilizar información personal: al emplear información personal como un apodo, la fecha de nacimiento o el nombre de una mascota para una contraseña, es posible que un cibercriminal pueda averiguarla con facilidad simplemente echando un vistazo a las redes sociales o incluso escuchando una conversación con otra persona.
4. Combinar letras, números y caracteres especiales: la combinación de distintos tipos de caracteres en una misma contraseña aumenta enormemente el número de combinaciones posibles.
MFA: la protección extra que las contraseñas necesitan
Utilizar una contraseña segura puede ser clave para evitar ser víctima de un ataque de tabla arcoíris, ya que, de esta forma, es imposible que se encuentre en una tabla de este tipo y el atacante, o su IA, no podrá descubrirla fácilmente mediante este método.
Sin embargo, para asegurar la protección de las identidades es recomendable siempre acompañar la contraseña con la autenticación multifactor, ya que esta capa extra de protección agrega una variable más a la ecuación y consigue una seguridad robusta y fiable.
Las contraseñas pueden ser adivinadas, robadas o interceptadas, y los atacantes pueden utilizar diversas técnicas para eludirlas. Requerir múltiples factores de autenticación, utilizando una solución de MFA como AuthPoint de WatchGuard, hace mucho más difícil para los atacantes obtener acceso no autorizado.
Si quieres profundizar más en cómo el uso de una solución MFA es clave para proteger las identidades y redes de las empresas, visita los siguientes contenidos de nuestro blog:
- ¿No te decides a adoptar un gestor de contraseñas corporativo? Te doy 9 razones para hacerlo
- Cinco entidades cibercriminales venden acceso a 2.300 redes corporativas
- MFA es el método de autenticación elegido por el 83% de las empresas
- ¿Por qué la seguridad en el endpoint y la MFA deben ir siempre de la mano?