¡Dame tus contraseñas!

¡Dame tus contraseñas!

robame grande
¿Te consideras una persona confiada? Si eres de aquellos que cuando no estas frente al ordenador, no bloqueas la pantalla o no tomas medidas de protección cuando alguien te deja su USB y lo introduce en tu equipo, puede que este artículo te haga cambiar ciertos hábitos en tu vida que antes no te habías planteado.

En nuestros equipos … ¿Dónde se almacenan las contraseñas? ¿Es fácil acceder a ellas?

En Windows las contraseñas se almacenan cifradas en el registro SAM, usando LM (en los sistemas más antiguos) o NTLM. Está almacenada en la siguiente ruta:

%WinDir%\system32\config\sam

Sólo es accesible con la cuentra de administrador, pero es vulnerable a ataques offline, por ejemplo utilizando un LiveCD  sería posible modificar los datos almacenados en ella.

En Linux, por supuesto, también se almacenan cifradas como hashes, utilizando como algoritmo MD5, Blowfish, SHA256 o SHA512. Están en la siguiente ruta:

/etc/shadow

Si utilizas Google Chrome, puedes consultar las contraseñas almacenadas en el navegador, poniendo en la barra de direcciones chrome://settings/passwords. Para poder visualizarlas es necesario poner la contraseña de Windows, pero en versiones anteriores no existía protección alguna. Estos datos de los usuarios del navegador se almacenan en %userprofile%\AppData\Local\Google\Chrome\User Data\Default\

En el cliente de correo Outlook 2013 puedes encontrarlas en la siguiente clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook

La contraseña se almacena cifrada, pero otra información valiosa como la dirección de e-mail, usuario, servidor, etc. está en texto plano.

Podríamos seguir enumerando dónde se almacenan las contraseñas de otras aplicaciones, pero no es el objetivo de este árticulo. Como vemos, parece que las contraseñas están protegidas. Pero, ¿es suficiente?

¿Cómo podrían robarnos las contraseñas?

Una buena dosis de picaresca humana sumada a la especialización técnica de algunas aplicaciones y dispositivos diseñados para este fin, pueden darnos infinidad de posibilidades.

Existen varias aplicaciones en Internet, muchas gratuitas, diseñadas para romper el cifrado de las contraseñas y lograr así ver en texto plano la contraseña almacenada.

Por ejemplo, la aplicación The LaZagne project está especializada en obtener las contraseñas almacenadas en el equipo en el que se ejecute. Estas son las aplicaciones soportadas hasta la fecha:

softwares

Su uso es muy sencillo, basta con ejecutar el archivo laZagne.exe en una consola de MSDOS para que la aplicación empiece a buscar contraseñas en el sistema donde se esté ejecutando. En la imagen vemos su uso para sacar sólo las contraseñas almacenadas en los navegadores webs.

lazagne

Poniendo el atributo all, buscará las contraseñas de todas las aplicaciones que aparecen en la tabla anterior. Prueba a usarlo en tu equipo a ver cuántas contraseñas te saca a la luz. Puede que te sorprendas.

A nivel de hardware, un dispositivo que se podría utilizar gracias a su versatilidad es USB Rubber Ducky, es un teclado programado con forma de USB, que nada más conectarse comienza a escribir en el equipo de forma automatizada, para lanzar programas y herramientas del equipo víctima o que están almacenadas en su propia memoria. Se podría configurar para copiar todas las contraseñas de la víctima y almacenarlas en la memoria USB para luego en casa poder descifrar tranquilamente los ficheros obtenidos.

rubberduckie

Como veis, nos pueden atacar por varios frentes. Ante todo usad el sentido común y armaros con programas que ayuden a complicarle la vida a los malos, como antivirus, firewalls y tener todo bien actualizado. No se lo pongamos fácil. La tercera guerra mundial ya se está consumando en la red.

Previous ¿Qué hacer si has comprado un móvil de Segunda Mano bloqueado?
Next Los lenguajes de programación más utilizados en 2015

About author

Rafa M.
Rafa M. 51 posts

Ingeniero de Telecomunicación, apasionado de la Seguridad Informática.

You might also like

Internet 3 Comentarios

¿El fin de WhatsApp?

Con el auge de los smartphones han surgido aplicaciones tales como WhatsApp, que sólo con conectarse a Internet (ya sea a través de wifi o red de datos de nuestro

Desarrollo 3 Comentarios

Cómo programar más rápido: Las 7 claves fundamentales

Estas reglas de oro, cada una más importante que la anterior, son tan simples como poderosas. Te aconsejo que no las tomes a la ligera. Notarás como tu tiempo de

Desarrollo 0 Comentarios

12 trucos para diseñar el Formulario Perfecto

El formulario es un elemento fundamental para generar una buena conversión. De su buen diseño depende que un usuario no lo abandone antes de tiempo o que ni siquiera se

1 Comentario

  1. Alberto Ruiz
    agosto 22, 11:28 Reply

    Buenas, gracias por el artículo. Necesito hacer lo mismo que comentas de obtener todas las contraseñas pero de mi móvil Android incluyendo contraseñas de redes Wifi. ¿Cómo podría hacerlo?

    Muchas gracias de antemano y un saludo,

Deja un comentario