¿Cómo eluden los ciberdelincuentes las preguntas de seguridad?

Muchos sitios web y aplicaciones hacen preguntas de seguridad cuando te registras por primera vez. Luego usan las respuestas que proporciona para verificar su identidad cada vez que solicita cambiar una contraseña perdida. Pero los atacantes cibernéticos a menudo encuentran formas de evitar las preguntas de seguridad.

¿Cómo desentrañan sus respuestas secretas y acceden a su cuenta? ¿Cómo eluden estas preguntas para hackear tus perfiles?

Un aspecto negativo de las redes sociales es que es difícil saber quién es real. No es raro que los ciberdelincuentes lo utilicen para engañar a las víctimas para que revelen sus respuestas a las preguntas de seguridad.

Una forma común en que los piratas informáticos logran esto es que aparecen como amigos o seguidores de sus víctimas en plataformas de redes sociales como Facebook, LinkedIn, Instagram o Twitter. Usando formas de manipulación psicosocial, engañan a la víctima para que confíe en ellos. Este es otro nivel de ingeniería social.

Una vez que un atacante cibernético se hace amigo de su objetivo en las redes sociales, inicia chats con la víctima y divulga información falsa sobre sí mismo primero para parecer confiable. En lo que parece más uno de esos

estafas de aplicaciones de citas, entablan conversaciones sobre los intereses y gustos de la víctima.

A veces, el atacante puede pretender compartir los mismos intereses, pasatiempos y gustos con una víctima, que puede terminan compartiendo información secreta sin saberlo, que, por supuesto, es probable que incluya respuestas a la seguridad preguntas. Esto puede variar desde los que usan para acceder a los recursos del lugar de trabajo hasta los que se usan para compras en línea u otras transacciones confidenciales en línea.

2. Suplantación de identidad

El phishing y la ingeniería social van de la mano. El phishing ocurre cuando el hacker se presenta como alguien diferente, es decir, una persona falsa. Por ejemplo, un atacante podría decirle en una llamada, SMS o correo electrónico que representa a la empresa que tiene uno de sus perfiles.

Es posible que le pidan que responda algunas preguntas dentro de un período de tiempo determinado para reforzar su seguridad. O incluso pueden enviarle un enlace a un formulario en línea, en su mayoría, una réplica falsa del sitio web original con el que tiene un perfil. Incluso hay casos en los que los piratas informáticos piden a sus víctimas que completen formularios de Google o cualquier cuestionario en línea con el pretexto de que están realizando una investigación.

Los piratas informáticos a menudo usan esta técnica para explotar a las personas menos expertas en seguridad. Por supuesto, una vez que obtienen la información requerida, es fácil eludir las preguntas de seguridad y obtener un control ilimitado de la cuenta del objetivo.

3. Información de sus perfiles en línea

Si bien se supone que las preguntas de seguridad son privadas y solo tú las conoces, probablemente hayas dejado muchas pistas sobre sus respuestas en Internet. Un pirata informático puede descifrar fácilmente las respuestas a sus preguntas de seguridad si a menudo deja información confidencial sobre usted en sus perfiles de redes sociales.

Esta técnica generalmente implica que el pirata informático realice una investigación intensiva de sus datos en línea. Para lograr esto, lo buscan en motores de búsqueda como Google y verifican sus identificadores de redes sociales, incluidos LinkedIn, Facebook, Twitter, Instagram y más, para obtener tantas pistas como puedan captar.

¿Esa vez que respondiste una pregunta de broma en Facebook emparejando el apellido de soltera de tu madre con el nombre de tu primera mascota? Eso es realmente útil para los ciberdelincuentes.

En este punto, el atacante vuelve a las preguntas de seguridad para responderlas en función de la información que recopila de sus perfiles públicos.

4. fuerza bruta

Aunque los piratas normalmente usar ataques de fuerza bruta para descifrar contraseñas, hay poco que les impida hacer lo mismo con las preguntas de seguridad. Si bien la fuerza bruta manual requiere tiempo y paciencia para lograrlo, los algoritmos modernos de fuerza bruta simplifican el proceso.

Además, mientras descifra las preguntas de seguridad, un atacante cibernético solo necesita concentrarse en las combinaciones de palabras en lugar de en la manipulación de caracteres como se hace con las contraseñas. Esto hace que las preguntas de seguridad sean menos difíciles de descifrar, ya que es fácil hacer entradas significativas combinando diferentes palabras.

Además, una vez que el hacker sabe qué preguntas hace un sitio web, todo lo que necesita hacer es aplicar fuerza bruta a todas las posibles respuestas específicas de una víctima. Puede pensar que esto es más difícil para el pirata informático si el sitio web solo permite a los usuarios generar sus preguntas. Desafortunadamente, eso está lejos de la verdad, ya que las preguntas generadas por los usuarios suelen ser menos seguras. Por lo tanto, es probable que las respuestas sean más fáciles de adivinar.

Cómo mantenerse a salvo

Entonces, ha visto cómo los ciberatacantes pueden eludir sus preguntas de seguridad y acceder a su cuenta. Pero, ¿cómo puede mantenerse seguro en línea? Aquí hay algunos puntos que pueden ayudar.

1. Usar autenticación de dos factores

Si bien los piratas informáticos pueden eludir la autenticación de dos factores, a menudo es más técnico descifrar que las preguntas de seguridad. Además, combinarlo con preguntas de seguridad fortalece aún más su cuenta. Tal fusión de protocolos de seguridad deja al atacante con acertijos más complicados para resolver. En tales casos, tienden a darse por vencidos en poco tiempo.

Tiene suerte si su proveedor de servicios admite ambos métodos. Pero si no, hay muchos terceros proveedores de autenticación de dos factores allí afuera.

2. Evite el uso de preguntas y respuestas genéricas

Muchas preguntas de seguridad son fáciles de adivinar porque las víctimas suelen dar respuestas genéricas. Se vuelve peor cuando un sitio web o una aplicación permite a los usuarios generar sus propias preguntas de seguridad.

Las respuestas a preguntas como tu pasatiempo, color favorito, mascota, película, música o comida son comparativamente fáciles de adivinar. Así que es posible que desee evitarlos. Y para preguntas más específicas como el apellido de soltera de su madre, etc., también puede intentar proporcionar respuestas más exclusivas; por ejemplo, estos ni siquiera necesitan ser los correctos, sino algo con lo que los asocies.

Si es probable que olvide qué respuestas proporcionó para una pregunta en particular porque es única, puede resumirlas en un aplicación de notas encriptadas para consultarlos cuando los necesites.

3. Eliminar información confidencial de sus perfiles

La información personal en sus redes sociales y otros perfiles en línea puede dar pistas sobre sus respuestas de seguridad. A menudo, es mejor eliminar esos detalles destacados de sus perfiles para verificar una violación de la pregunta de seguridad. En última instancia, ¿de qué sirve responder a las rondas de bromas en Facebook, Twitter y demás?

Proteja su información en línea

Al igual que la autenticación de dos factores, las preguntas de seguridad agregan otra capa de protección a sus perfiles en línea. Algunos servicios requieren preguntas de seguridad antes de proporcionar un enlace para restablecer la contraseña. Y para algunos, lo hacen después de restablecer su contraseña. Todo esto tiene como objetivo proteger aún más sus cuentas.

Cualquiera que sea el caso, los escudos de segunda capa, como las preguntas de seguridad, son a lo que los piratas informáticos se enfrentan a menudo cuando intentan acceder a su cuenta. Además, la forma en que usamos Internet influye en el poder de las preguntas de seguridad.

10 maneras fáciles de reducir su presencia en línea con unos pocos clics

Leer siguiente

Sobre el Autor