¿Cómo manejar la

seguridad de las
contraseñas?

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 ¿Cómo manejar la
seguridad de las
contraseñas?
Una de las principales formas que viene a nuestra mente cuando
pensamos en proteger un recurso informático es en colocarle
una contraseña. El uso de contraseñas se ha vuelto un elemento
cotidiano en nuestras vidas y sin embargo es uno de los
eslabones más débiles en la cadena de seguridad.

La mayoría de las personas manejamos contraseñas para un propósito

u otro. Por ejemplo, necesitamos un PIN (contraseña de solo 4 dígitos)
para disponer dinero del cajero automático, o para realizar un pago
con tarjeta de crédito. Requerimos de una contraseña para acceder a
nuestro correo electrónico, a una red social o a una aplicación. Es
entonces, la primera barrera contra los ataques, pero es la parte más
sensible de la seguridad. Tu información puede quedar vulnerable
debido a contraseñas poco robustas.

El no contar con una buena gestión de tus contraseñas, las hará más
vulnerables y facilitará el acceso no autorizado por parte de un
atacante. El llevar una buena administración de ellas, te ayudará a
tener un mayor nivel de protección de tus recursos informáticos e
información personal.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 ¿Se deben cambiar frecuentemente nuestras
contraseñas?
Una de las políticas que se encuentra en la mayor parte de las
organizaciones, es que la contraseña debe ser cambiada en un periodo
de tiempo. Generalmente este periodo de tiempo es de 30, 60 o 90
días, dependiendo de la organización.

La complejidad de una contraseña va a depender de dos factores:

Tamaño del conjunto de

caracteres que la componen

Longitud
Da clic para conocer más sobre
cada una de ellas:

Estos dos factores determinarán qué tantas contraseñas se pueden crear.

Por ejemplo, con el conjunto alfanumérico de mayúsculas y minúsculas y una

longitud de 8 caracteres tenemos un total de 218,340,105,584,896 contraseñas
posibles y con una longitud de 10 caracteres tenemos un total de 839,299,365,868
contraseñas posibles . Un número que se ve bastante impresionante.

¿Cuánto tiempo necesita un atacante para

descifrar la contraseña?
Utilizando la misma tecnología que se usa para la minería de
Criptomonedas, un atacante puede optimizar de forma sustancial el
proceso para probar todas las contraseñas posibles, llegando a ser
capaces de probar hasta 38 mil millones de contraseñas por
segundo.

Cuando contrastamos esta capacidad con las contraseñas del

conjunto alfanumérico con mayúsculas y minúsculas de 8
caracteres, un atacante puede probar todas las combinaciones
posibles en menos de dos horas.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

 Cuando se habla de Password Cracking o, descifrando contraseñas

se refiere al hecho de encontrar la contraseña de una determinada

cuenta o de un conjunto de cuentas. Puede ser considerado ilegal o

parte de una auditoría que se lleva a cabo para determinar la

fortaleza de las contraseñas. En general existen varios métodos

para descifrar contraseñas, da clic en los siguientes conceptos

para conocer más:

Fuerza bruta Diccionario Híbrido

Existen otros tipos de métodos o ataques para deducir o conocer la

contraseña de un usuario, da clic en los siguientes ejemplos:

Intercepción Phishing Credential Stuffing

Shoulder Surfing Ingeniería Social Adivinar

Spidering

Reflexiona
Concluyendo el tema de Control de Acceso,

puedes reflexionar sobre los siguientes puntos:

¿Qué técnicas utilizas para generar tus

contraseñas?

¿Utilizas la misma contraseña en más de un

sitio Web o servicio?

¿Cuándo fue la última vez que cambiaste tus

contraseñas?

Recuerda, las contraseñas nunca se comparten, no puedes

dejar que nadie las vea, debes cambiarla regularmente y no

debes compartirla con extraños.

Material propiedad de la Asociación de Bancos de México ABM, A.C.

Queda estrictamente prohibida su reproducción total o parcial sin la autorización de la ABM.

¿Se deben cambiar frecuentemente nuestras
contraseñas?
Una de las políticas que se encuentra en la mayor parte de las
organizaciones, es que la contraseña debe ser cambiada en un periodo
Tamaño
de tiempo. Generalmente l
de esteconjunto de es de 30, 60 o 90
periodo de tiempo
la componen:
días, dependiendo de la organización.

caracteres que

La complejidad de una contraseña va a depender de dos factores:

l l
Una contraseña a fanumérica con mayúscu as y minúscu as l
Tamaño del conjunto de
tiene un conjunto de 62 caracteres (a-z, A-Z y 0-9).

caracteres que la componen

Longitud

Estos dos factores determinarán que tantas contraseñas se pueden crear.

Por ejemplo,
Longitud: con el conjunto alfanumérico con mayúsculas y minúsculas
y una longitud de 10 caracteres, tenemos un total de 218,340,105,584,896
contraseñas posibles (628). Un número que se ve bastante impresionante.
l l l
Significa qué tan arga es a contraseña, norma mente estamos

l
habituados a ongitudes entre 8 ó 10 caracteres.

¿Cuánto tiempo necesita un atacante para

descifrar la contraseña?
Utilizando la misma tecnología que se usa para la minería
de Criptomonedas, un atacante puede optimizar de forma
sustancial el proceso para probar todas las contraseñas
posibles, llegando a ser capaces de probar hasta 38 mil
millones de contraseñas por segundo.

Cuando contrastamos esta capacidad con las

contraseñas del conjunto alfanumérico con
mayúsculas y minúsculas de 8 caracteres, un atacante
puede probar todas las combinaciones posibles en
menos de dos horas.
Cuando se habla de Password Cracking o, descifrando contraseñas,
se refiere al hecho de encontrar la contraseña de una determinada

Fuerza Bruta:
cuenta o de un conjunto de cuentas. Puede ser considerado ilegal o
parte de una auditoria que se lleva a cabo para determinar la
fortaleza de las contraseñas. En general existen varios métodos
Probar contraseñas:

para descifrar todas las combinaciones

de un conjunto de símbolos.
Dado el tiempo y el poder computacional suficiente, las
contraseñas eventualmente serán deducidas o crackeadas.

Fuerza bruta Diccionario Híbrido

Existen otros tipos de métodos o ataques para deducir o conocer la

contraseña de un usuario, como:

Diccionario:
Intercepción Phishing Credential Stuffing
Probar cada palabra de una lista para validar si esta es la
contraseña buscada.

Shoulder Surfing Ingeniería Social Adivinar

Spidering

Reflexiona
Concluyendo el tema de Control de Acceso,
puedes reflexionar sobre los siguientes puntos:

Híbrido:
¿Qué técnicas utilizas para generar tus
contraseñas?
Mezcla de ataques de diccionario junto a combinaciones de
caracteres.
¿Utilizas la misma contraseña en más de un
sitio Web o servicio?

¿Cuándo fue la última vez que cambiaste tus

contraseñas?

Recuerda, las contraseñas nunca se comparten, no puedes

dejar que nadie las vea, debes cambiarla regularmente y no
debes compartirla con extraños.
 Intercepción:
Cuando se habla de Password Cracking o, descifrando contraseñas,
se refiere al hecho de encontrar la contraseña de una determinada
cuenta o de un conjunto de cuentas. Puede ser considerado ilegal o
El atacante intenta tomar la contraseña cuando se encuentra
parte de una auditoria que se lleva a cabo para determinar la
en tránsito,
fortaleza entre la En
de las contraseñas. termina del usuario
generall existen y el sitio donde se
varios métodos
quiere autenticar.
para descifrar contraseñas:

Este tipo de ataque se da cuando el atacante tiene acceso a la

red, y un usuario se autentica a una página web o a una
aplicación que reside fuera de su equipo. Si la transmisión de
Fuerza bruta Diccionario Híbrido
las credenciales no se encuentra cifrada, el atacante puede ver
las credenciales y usarlas posteriormente.

Existen otros tipos de métodos o ataques para deducir o conocer la

contraseña de un usuario, como:

Intercepción Phishing Credential Stuffing

Phishing
Shoulder Surfing Ingeniería Social Adivinar
Es la técnica más popular que consiste en atraer al
usuario para que haga clic en un archivo adjunto de
correo electrónico o un enlSpidering
ace que contenga Malware.

Reflexiona
Concluyendo el tema de Control de Acceso,
puedes reflexionar sobre los siguientes puntos:

¿Qué técnicas utilizas para generar tus

Credential Stuffing:
contraseñas?

¿Utilizas la misma contraseña en más de un

Es práctica común para los usuarios utilizar la misma
sitio Web o servicio?
contraseña en varios sitios. Cuando un sistema o página
web es comprometida y se obtienen las contraseñas de
¿Cuándo fue la última vez que cambiaste tus
los usuarios, los atacantes buscan utilizar las credenciales
contraseñas?
obtenidas en otros sitios.
Recuerda, las contraseñas nunca se comparten, no puedes
dejar que nadie las vea, debes cambiarla regularmente y no
debes compartirla con extraños.
Cuando se habla de Password Cracking o, descifrando contraseñas,
Ingeniería Social:
se refiere al hecho de encontrar la contraseña de una determinada
cuenta o de un conjunto de cuentas. Puede ser considerado ilegal o
parte de una auditoria que se lleva a cabo para determinar la
Por lo general, el atacante contacta a la víctima
fortaleza de las contraseñas. En general existen varios métodos
disfrazado de representante de alguna institución,
para descifrar contraseñas:

tratando de obtener la mayor cantidad posible de

información personal. Recuerda que esto lo vimos con
más detalle en el Tema 3 de la Fase 2.

Fuerza bruta Diccionario Híbrido

Existen otros tipos de métodos o ataques para deducir o conocer la

contraseña de un usuario, como:

Spidering:
Intercepción Phishing Credential Stuffing
La mayoría de las personas utilizan contraseñas que
contienen información personal. Esta información se puede
Shoulder Surfing
encontrar en los sitios webIngeniería Social redes socia
de la empresa, les
Adivinar
como Facebook, Twitter, etc. En este ataque se recopila
información de estas fuentes para generar listas de palabras
Spidering
para realizar ataques de fuerza bruta y de diccionario.

Reflexiona
Concluyendo el tema de Control de Acceso,
puedes reflexionar sobre los siguientes puntos:

¿Qué técnicas utilizas para generar tus

Shoulder Sourfing:
contraseñas?

Esta técnica
¿Utilizasimp lica litera
la misma lmenteen
contraseña mirar porunencima del
más de
hombro
sitiode la ovíctima
Web servicio? para obtener una contraseña u otro
dato confidencial.
¿Cuándo fue la última vez que cambiaste tus
contraseñas?

Recuerda, las contraseñas nunca se comparten, no puedes

dejar que nadie las vea, debes cambiarla regularmente y no
debes compartirla con extraños.
Cuando se habla de Password Cracking o, descifrando contraseñas,
se refiere al hecho de encontrar la contraseña de una determinada
cuenta o de un conjunto de cuentas. Puede ser considerado ilegal o
parte de una auditoria que se lleva a cabo para determinar la
fortaleza de las contraseñas. En general existen varios métodos
para descifrar contraseñas:

Fuerza bruta Diccionario Híbrido

Adivinar:
Si bien
Existen otros tiposadivinar estáo ataques
de métodos lejos depara
serdeducir
la técnica de descifrado
o conocer la de
contraseñas
contraseña más
de un usuario, compleja, se utiliza con bastante frecuencia.
como:

En ocasiones ni siquiera tiene que recopilar información sobre

la víctima porque probarPhishing
Intercepción algunas de las frases deCredential
contraseña
Stuffing
más populares es suficiente.

Shoulder Surfing Ingeniería Social Adivinar

Spidering

Reflexiona
Concluyendo el tema de Control de Acceso,
puedes reflexionar sobre los siguientes puntos:

¿Qué técnicas utilizas para generar tus

contraseñas?

¿Utilizas la misma contraseña en más de un

sitio Web o servicio?

¿Cuándo fue la última vez que cambiaste tus

contraseñas?

Recuerda, las contraseñas nunca se comparten, no puedes

dejar que nadie las vea, debes cambiarla regularmente y no
debes compartirla con extraños.