Contenidos
Muchos sitios web y aplicaciones hacen preguntas de seguridad cuando te registras por primera vez. Luego usan las respuestas que proporciona para verificar su identidad cada vez que solicita cambiar una contraseña perdida. Pero los atacantes cibernéticos a menudo encuentran formas de eludir las preguntas de seguridad.
¿Cómo revelan sus respuestas secretas e inician sesión en su cuenta? ¿Cómo sortean estas preguntas para hackear tus perfiles?
Una desventaja de las redes sociales es que es difícil saber quién es real. No es raro que los ciberdelincuentes lo utilicen para engañar a las víctimas para que revelen sus respuestas a las preguntas de seguridad.
Una forma común en que los piratas informáticos logran esto es mostrándose como amigos o seguidores de sus víctimas en plataformas de redes sociales como Facebook, LinkedIn, Instagram o Twitter. Usando formas de manipulación psicosocial, engañan a la víctima para que confíe en ellos. Este es otro nivel de ingeniería social.
Una vez que un atacante cibernético se hace amigo de su objetivo en las redes sociales, chatea con la víctima y divulga información falsa sobre sí mismo antes de parecer confiable. En lo que parece más una de esas estafas de aplicaciones de citas, entablan conversaciones sobre los intereses y gustos de la víctima.
En ocasiones, el atacante podría pretender compartir los mismos intereses, aficiones y simpatías con una víctima, que podría terminar compartiendo información secreta sin saberlo, que, por supuesto, podría incluir respuestas a preguntas de seguridad. Esto podría variar desde aquellos que usan para acceder a los recursos en el lugar de trabajo hasta los que se usan para compras en línea u otras transacciones en línea confidenciales.
2. suplantación de identidad
El phishing y la ingeniería social van de la mano. El phishing ocurre cuando el hacker se presenta como una persona diferente, una persona falsa. Por ejemplo, un atacante podría decirle a través de una llamada, un mensaje de texto o un correo electrónico que representa a la empresa propietaria de uno de sus perfiles.
Es posible que le pidan que responda algunas preguntas dentro de un período de tiempo determinado para fortalecer su confianza. O incluso pueden enviarle un enlace a un formulario en línea, en su mayoría una réplica falsa del sitio web original en el que tiene un perfil. Incluso hay casos en los que los piratas informáticos piden a sus víctimas que completen formularios de Google o cualquier cuestionario en línea con el pretexto de realizar una investigación.
Los piratas informáticos suelen utilizar esta técnica para aprovecharse de las personas con menos conocimientos de seguridad. Por supuesto, una vez que obtiene la información requerida, es fácil eludir las preguntas de seguridad y obtener un control ilimitado de la cuenta del objetivo.
3. Información de sus perfiles en línea
Si bien las preguntas de seguridad deben ser privadas y solo tú las conoces, probablemente hayas dejado muchas pistas sobre sus respuestas en Internet. Un pirata informático puede descifrar fácilmente las respuestas a sus preguntas de seguridad si a menudo deja información confidencial sobre usted en sus perfiles de redes sociales.
Esta técnica generalmente implica que el pirata informático realice una investigación exhaustiva de sus datos en línea. Para lograr esto, lo buscan en motores de búsqueda como Google y verifican sus contactos de redes sociales, incluidos LinkedIn, Facebook, Twitter, Instagram y otros, en busca de sugerencias que puedan recopilar.
¿Esa vez que respondiste una pregunta de broma en Facebook haciendo coincidir el apellido de soltera de tu madre con el nombre de tu primera mascota? Esto es realmente útil para los ciberdelincuentes.
En este punto, el atacante vuelve a las preguntas de seguridad para responder en función de la información recopilada de sus perfiles públicos.
4. Fuerza bruta
Si bien los piratas informáticos suelen utilizar ataques de fuerza bruta para descifrar contraseñas, hay poco que les impida hacer lo mismo con las preguntas de seguridad. Si bien la fuerza bruta manual requiere tiempo y paciencia para lograrlo, los algoritmos de fuerza bruta modernos simplifican el proceso.
Además, mientras resuelve preguntas de seguridad, un atacante cibernético debe concentrarse solo en combinaciones de palabras en lugar de en la manipulación de caracteres, como es el caso de las contraseñas. Esto hace que las preguntas de seguridad sean menos difíciles de descifrar, ya que es fácil ingresar entradas significativas al combinar diferentes palabras.
Además, una vez que el pirata informático sabe qué preguntas hace un sitio web, todo lo que tiene que hacer es forzar todas las respuestas específicas posibles a una víctima. Puede pensar que esto es más difícil para el pirata informático si el sitio web solo permite a los usuarios generar sus preguntas. Desafortunadamente, esto está lejos de la verdad, ya que las preguntas generadas por los usuarios suelen ser menos seguras. Por lo tanto, las respuestas son probablemente más fáciles de adivinar.
Cómo mantenerse a salvo
Entonces, ha visto cómo los atacantes cibernéticos pueden eludir sus preguntas de seguridad e iniciar sesión en su cuenta. Pero, ¿cómo puede mantenerse seguro en línea? Aquí hay algunos puntos que pueden ayudar.
1. Usa la autenticación de dos factores
Si bien los piratas informáticos pueden eludir la autenticación de dos factores, a menudo es más técnico descifrar que las preguntas de seguridad. Además, combinarlo con preguntas de seguridad fortalece aún más su cuenta. Tal fusión del protocolo de seguridad deja al atacante con acertijos más complicados para resolver. En estos casos, tienden a desistir en poco tiempo.
Tiene suerte si su proveedor de servicios admite ambos métodos. Si no, hay muchos proveedores de autenticación de dos factores de terceros.
2. Evita usar preguntas y respuestas genéricas
Muchas preguntas de seguridad son fáciles de adivinar porque las víctimas suelen dar respuestas genéricas. Empeora cuando un sitio web o una aplicación permite a los usuarios generar sus propias preguntas de seguridad.
Las respuestas a preguntas como pasatiempos, color favorito, mascota, película, música o comida son relativamente fáciles de adivinar. Así que es posible que desee evitarlos. Y para preguntas más específicas como el apellido de soltera de su madre, etc., también puede intentar proporcionar respuestas más exclusivas; por ejemplo, estos ni siquiera tienen que ser los correctos, sino algo con lo que los asocies.
Si es probable que olvide las respuestas que proporcionó para una pregunta en particular porque es única, puede resumirlas en una aplicación de notas cifradas para buscarlas cuando las necesite.
3. Elimina información sensible de tus perfiles
La información personal en sus redes sociales y otros perfiles en línea puede proporcionar pistas sobre sus respuestas de seguridad. A menudo, es mejor eliminar esos detalles destacados de sus perfiles para verificar una violación de la pregunta de seguridad. En última instancia, ¿cuál es el punto de responder a los chistes italianos en Facebook, Twitter y similares?
Proteja su información en línea
Al igual que la autenticación de dos factores, las preguntas de seguridad agregan una capa adicional de protección a sus perfiles en línea. Algunos servicios solicitan preguntas de seguridad antes de proporcionar un enlace de restablecimiento de contraseña. Y para algunos, lo hacen después de restablecer la contraseña. Todos estos tienen como objetivo proteger aún más sus cuentas.
De cualquier manera, los escudos de segundo nivel, como las preguntas de seguridad, son a lo que los piratas informáticos se enfrentan a menudo cuando intentan iniciar sesión en su cuenta. Además, la forma en que usamos Internet afecta el poder de las preguntas de seguridad.
Leer siguiente
Sobre el Autor