El primer dijous de maig se celebra el Dia Mundial de la Contrasenya, una data que vol conscienciar sobre la necessitat de cuidar al màxim aquest mecanisme de seguretat en dispositius electrònics. Un mètode per protegir-nos de possibles ciberatacs consisteix en ser conscients dels tipus d'atacs més habituals i les tàctiques dels cibercriminals, així com els errors que comenten freqüentment els usuaris.

Primer, la 'força bruta'. Segons expliquen des d'Entelgy Innotec Security, el ciberdelinqüent fa servir programes especials que proven contrasenyes a l'atzar fins trobar amb la correcta, si bé l'atacant intenta primer les més comunes, així com '1q2w3i4r5t', 'zxcvbnm' o 'qwertyuiop'.

Tens 123456 de contrasenya?

Alerta, ja que la combinació numèrica '123456' era la contrasenya dels comptes piratejades de més de 23,2 milions d'usuaris de tot el món, segons ha advertit una investigació recent del Centre Nacional de Ciberseguretat del Regne Unit.

Si introduir una contrasenya freqüent no funciona, el cibercriminal intentarà obtenir alguna pista consultant informació relacionada amb l'usuari. Per afer-ho, només necessitarà visitar els seus perfils a xarxes socials, en moltes ocasions mal configurats en termes de privadesa.

L'atacant que anota tot el què escrius

Un altre atac habitual és el conegut com 'el diccionari'. Un programa informàtic prova cada paraula d'un diccionari prèviament definit i que conté les combinacions de contrasenyes més emprades al món.

En aquest tipus d'atac també denominat 'keylogger' en anglès, l'usuari instal·la inconscientment un programa maliciós, conegut com a 'keylogger', en accedir a un enllaç o quan descarrega un arxiu d'Internet.

Una vegada instal·lat, aquest programet captura totes les pulsacions del teclat, incloent les contrasenyes, i les envia als ciberdelinqüents. Com assenyalen des d'Entelgy Innotec, aquest tipus d'atac és "especialment perillós" perquè registra tot el que l'usuari escriu.

Phishing

En el cas de l'atac del 'phishing', els cibercriminals enganyen la víctima perquè introdueixi les seves credencials d'inici de sessió en un formulari fraudulent, al que l'usuari ha accedit en clicar en un enllaç enviat a través del correu electrònic, xarxes socials o aplicacions de missatgeria instantània.

Més tècniques d'estafa

Els cribercriminals també recorren a tècniques d'enginyeria social, que són aquelles que no es duen a terme a través d'equips informàtics.

La pràctica coneguda com a 'shoulder surf', és a dir, espiar un usuari quan està escrivint les seves credencials, una trucada de telèfon suplantant la identitat d'algú que requereix una contrasenya, així com espiar al lloc de treball de la víctima són algunes de les tècniques més emprades dins d'aquesta tipologia.

Un dels principals errors comesos pels usuaris és crear contrasenyes relacionades amb la seva vida personal o treball. Els ciberdelinqüents són conscients d'això i, per tant, ho aprofiten per robar-les.

En aquest context, la tècnica 'spidering' empra una "aranya" de cerca, molt similar a les emprades en motors de cerca, que va introduint els termes. És un atac "especialment efectiu contra grans empreses", com indiquen des d'Entelgy Innotec, perquè "disposen de més informació 'online', així com per obtenir contrasenyes de xarxes WiFi, generalment relacionades amb la pròpia companyia".