¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta utiliza el método de ensayo y error para adivinar la información de inicio de sesión, las claves de cifrado o encontrar una página web oculta. Los hackers estudian todas las combinaciones posibles con la esperanza de acertar.
Estos ataques se realizan por “fuerza bruta”, lo que significa que utilizan intentos de fuerza excesivos para intentar “forzar” su entrada en tu(s) cuenta(s) privada(s).
Se trata de antiguo método de ataque, pero sigue siendo eficaz y goza de popularidad entre los hackers. En función de la longitud y complejidad de la contraseña, descifrarla puede llevar desde unos segundos hasta varios años.
¿Qué ganan los hackers con los ataques de fuerza bruta?
Los atacantes de fuerza bruta tienen que esforzarse un poco para que estos esquemas den sus frutos. Aunque la tecnología facilita las cosas, cabe preguntarse: ¿por qué alguien haría esto?
He aquí cómo se benefician los hackers de los ataques de fuerza bruta:
- Sacar provecho de los anuncios o recopilar datos de actividad
- Robo de datos personales y objetos de valor
- Difusión de malware para causar perturbaciones
- Secuestro de tu sistema para actividades maliciosas
- Arruinar la reputación de un sitio web
Sacar provecho de los anuncios o recopilar datos de actividad
Los hackers pueden explotar un sitio web junto con otros para ganar comisiones por publicidad. Las formas más populares de hacerlo son:
- Poner anuncios de spam en un sitio muy visitado para ganar dinero cada vez que los visitantes hagan clic en un anuncio o lo vean.
- Redirigir el tráfico de un sitio web a sitios de anuncios por encargo.
- Infectar un sitio o a sus visitantes con malware de seguimiento de actividad, normalmente spyware. Los datos se venden a anunciantes sin tu consentimiento para ayudarles a mejorar su marketing.
Robo de datos personales y objetos de valor
Entrar en cuentas en línea puede ser como abrir la caja fuerte de un banco: todo, desde las cuentas bancarias hasta la información fiscal, puede encontrarse en línea.
Basta con que se produzca el ataque adecuado para que un delincuente robe tu identidad, dinero o venda tus credenciales privadas con fines lucrativos.
A veces, bases de datos sensibles de organizaciones enteras pueden quedar expuestas en filtraciones de datos a nivel corporativo.
Difusión de malware para causar perturbaciones
Si un hacker quiere causar problemas o practicar sus habilidades, puede redirigir el tráfico de un sitio web a sitios maliciosos.
Otra posibilidad es que infecten directamente un sitio con malware oculto para instalarlo en los ordenadores de los visitantes.
Secuestrar tu sistema para actividades maliciosas
Cuando una sola máquina no es suficiente, los hackers reclutan un ejército de dispositivos desprevenidos llamado botnet para acelerar sus esfuerzos.
El malware puede infiltrarse en tu ordenador, dispositivo móvil o cuentas en línea para el Spam phishing, ataques de fuerza bruta mejorados y mucho más.
Si no dispones de un sistema antivirus, puedes correr un mayor riesgo de infección.
Arruinar la reputación de un sitio web
Si gestionas un sitio web y te conviertes en blanco de actos vandálicos, un ciberdelincuente podría decidir infestar tu sitio con contenidos obscenos.
Esto puede incluir texto, imágenes y audio de naturaleza violenta, pornográfica u ofensiva desde el punto de vista racial.
Tipos de ataques de fuerza bruta
Cada ataque de fuerza bruta puede utilizar diferentes métodos para descubrir tus datos sensibles. Podrías estar expuesto a cualquiera de los siguientes métodos populares de fuerza bruta:
Ataques simples de fuerza bruta
Los hackers intentan adivinar lógicamente tus credenciales, sin ayuda de herramientas de software u otros medios. Estos pueden revelar contraseñas y PIN extremadamente sencillos. Por ejemplo, una contraseña establecida como “guest12345”.
Ataques de diccionario
En un ataque estándar, un hacker elige un objetivo y comprueba las posibles contraseñas con ese nombre de usuario. A este tipo de ataques se les denomina ataques de diccionario. Los ataques de diccionario son la herramienta más básica en los ataques de fuerza bruta.
Aunque no son necesariamente ataques de fuerza bruta en sí mismos, a menudo se utilizan como un componente importante para descifrar contraseñas.
Algunos hackers utilizan diccionarios íntegros y amplían palabras con ayuda de caracteres especiales y números, o bien utilizan diccionarios especiales, aunque este método de ataque secuencial resulta engorroso.
Ataques híbridos de fuerza bruta
Estos hackers mezclan medios externos con sus conjeturas lógicas para intentar una intrusión. Un ataque híbrido suele mezclar ataques de diccionario y de fuerza bruta.
Estos ataques se utilizan para averiguar contraseñas combinadas que mezclan palabras comunes con caracteres aleatorios. Un ejemplo de ataque de fuerza bruta de esta naturaleza incluiría contraseñas como NewYork1993 o Spike1234.
Ataques de fuerza bruta inversos
Tal y como su nombre indica, un ataque de fuerza bruta inverso invierte la estrategia de ataque comenzando con una contraseña conocida. A continuación, los hackers buscan en millones de nombres de usuario hasta encontrar una coincidencia.
Muchos de estos delincuentes empiezan con contraseñas filtradas que están disponibles en Internet a partir de filtraciones de datos ya existentes.
Relleno de credenciales
Si un hacker tiene una combinación de nombre de usuario y contraseña que funciona en un sitio web, la probará también en muchos otros.
Dado que se sabe que los usuarios reutilizan la información de inicio de sesión en muchos sitios web, son el objetivo exclusivo de un ataque de este tipo.
Herramientas de apoyo para los ataques de fuerza bruta
Para adivinar la contraseña de un usuario o sitio concreto es necesario mucho tiempo, por lo que los hackers han desarrollado herramientas que agilizan esta tarea.
Las herramientas automatizadas ayudan con los ataques de fuerza bruta. Estos utilizan adivinación rápida que se construye para crear todas las contraseñas posibles e intentar utilizarlas. El software de pirateo de fuerza bruta puede descifrar una contraseña consistente en una única palabra que pertenezca a un diccionario en un segundo.
Este tipo de herramientas tienen programadas soluciones para:
- Funcionar contra muchos protocolos informáticos (como FTP, MySQL, SMPT y Telnet)
- Permitir a los hackers crackear módems inalámbricos.
- Identificar contraseñas débiles
- Descifrar contraseñas en almacenamiento cifrado.
- Traducir palabras al leetspeak: “don'thackme” se convierte en “d0n7H4cKm3”, por ejemplo.
- Ejecutar todas las combinaciones posibles de caracteres.
- Ejecutar ataques de diccionario.
Algunas herramientas escanean tablas rainbow precalculadas para las entradas y salidas de funciones hash conocidas. Estas “funciones hash” son los métodos de cifrado basados en algoritmos que se utilizan para traducir las contraseñas en largas series de letras y números de longitud fija. En otras palabras, las tablas arco iris eliminan la parte más difícil de los ataques de fuerza bruta para acelerar el proceso.
GPU acelera los ataques de fuerza bruta
Se necesitan toneladas de capacidad intelectual para ejecutar software de fuerza bruta para contraseñas. Por desgracia, los piratas informáticos han encontrado soluciones de hardware que facilitan mucho esta parte del trabajo.
La combinación de la CPU y la unidad de procesamiento gráfico (GPU) acelera la potencia de cálculo. Al añadir los miles de núcleos de cálculo de la GPU para el procesamiento, el sistema puede gestionar varias tareas a la vez.
El procesamiento en la GPU se utiliza para análisis, ingeniería y otras aplicaciones de cálculo intensivo. Los hackers que utilizan este método pueden descifrar contraseñas unas 250 veces más rápido que una CPU sola.
¿Cuánto tiempo se tarda en descifrar una contraseña? Con un ejemplo, una contraseña de seis caracteres que incluye números tiene aproximadamente 2000 millones de combinaciones posibles.
Para descifrarla con una CPU potente que pruebe 30 contraseñas por segundo, sería necesario más de dos años. Añadiendo una sola tarjeta GPU potente, el mismo equipo puede probar 7100 contraseñas por segundo y descifrarla en 3,5 días.
Pasos para proteger las contraseñas de los profesionales
Para mantener tu seguridad y la de tu red, te conviene tomar precauciones y ayudar a los demás a que también lo hagan. Tanto el comportamiento de los usuarios como los sistemas de seguridad de la red necesitarán un refuerzo.
Tanto los informáticos como los usuarios deben tener en cuenta algunos consejos generales:
- Utiliza un nombre de usuario y una contraseña avanzados. Protégete con credenciales más fuertes que admin y password1234 para mantener alejados a estos atacantes. Cuanto más fuerte sea esta combinación, más difícil será para cualquiera penetrarla.
- Elimina las cuentas no utilizadas con permisos de alto nivel. Son el equivalente cibernético de las puertas con cerraduras débiles que facilitan la infiltración. Las cuentas sin mantener son una vulnerabilidad a la que no puedes arriesgarte. Elimínalas lo antes posible.
Una vez que tengas lo básico, querrás reforzar tu seguridad y conseguir que los usuarios se sumen a ella.
Empezaremos con lo que puedes hacer en el backend, y luego daremos consejos para fomentar hábitos seguros.
Protecciones pasivas de backend para contraseñas
Tasas de cifrado elevadas: para dificultar el éxito de los ataques de fuerza bruta, los administradores de sistemas deben asegurarse de que las contraseñas de sus sistemas estén cifradas con las tasas de cifrado más elevadas posibles, como el cifrado de 256 bits. Cuanto mayor sea el número de bits en el esquema de cifrado, más difícil será descifrar la contraseña.
Salar el hash: los administradores también deben aleatorizar los hashes de las contraseñas añadiendo una cadena aleatoria de letras y números (llamada salt) a la propia contraseña. Esta cadena deberá estar almacenada en una base de datos independiente y poder recuperarla y añadirla antes del hash. Al salar la contraseña, los usuarios con la misma contraseña tienen diferentes funciones hash.
Autenticación de dos factores (2FA): además, los administradores pueden exigir la autenticación en dos pasos e instalar un sistema de detección de intrusos que detecte los ataques de fuerza bruta. Esto requiere que los usuarios hagan un seguimiento de un intento de inicio de sesión con un segundo factor, como una llave USB física o un escáner biométrico de huellas dactilares.
Limitar el número de reintentos de inicio de sesión: limitar el número de intentos también reduce la susceptibilidad a los ataques de fuerza bruta. Si solo se permiten, por ejemplo, tres intentos para introducir la contraseña correcta antes de bloquear al usuario durante varios minutos, se pueden causar retrasos significativos, lo que haría que los hackers apuntaran hacia un blanco más fácil.
Bloqueo de la cuenta tras excesivos intentos de inicio de sesión: si un hacker puede seguir reintentando contraseñas sin cesar, incluso tras un bloqueo temporal, puede volver a intentarlo. Bloquear la cuenta y pedir al usuario que se ponga en contacto con TI para desbloquearla disuadirá de esta actividad. Los temporizadores de bloqueo cortos son más cómodos para los usuarios, pero la comodidad puede ser una vulnerabilidad. Para equilibrar esto, puedes considerar usar el bloqueo a largo plazo si hay un número excesivo de inicios de sesión fallidos después del corto.
Reduce el ritmo de los inicios de sesión repetidos: puedes ralentizar aún más los esfuerzos de un atacante creando un espacio entre cada intento de inicio de sesión. Una vez que falla el inicio de sesión, un temporizador puede denegar el inicio de sesión hasta que haya transcurrido un breve periodo de tiempo. De este modo, tu equipo de supervisión en tiempo real tardará en detectar la amenaza y trabajar para detenerla. Algunos hackers podrían dejar de intentarlo si la espera no merece la pena.
Captcha obligatorio tras repetidos intentos de inicio de sesión: la verificación manual impide que los robots fuercen la entrada a tus datos. Hay muchos tipos de captcha, como volver a escribir el texto de una imagen, marcar una casilla de verificación o identificar objetos en imágenes. Independientemente de lo que utilices, hazlo antes del primer inicio de sesión y después de cada intento fallido para protegerte aún más.
Utiliza una lista de denegación de IP para bloquear a los atacantes conocidos. Asegúrese de que esta lista esté actualizada constantemente por quienes la gestionan.
Protecciones activas de soporte informático para contraseñas
Formación sobre contraseñas: el comportamiento de los usuarios es esencial para la seguridad de las contraseñas. Educa a los usuarios sobre prácticas seguras y herramientas que les ayuden a hacer un seguimiento de sus contraseñas. Servicios como Kaspersky Password Manager permiten a los usuarios guardar sus contraseñas complejas y difíciles de recordar en una “caja fuerte” cifrada, en lugar de anotarlas de forma insegura en notas adhesivas. Dado que los usuarios tienden a comprometer su seguridad en aras de la comodidad, asegúrate de ayudarles a poner en sus manos herramientas prácticas que les mantengan a salvo.
Vigila las cuentas en tiempo real para detectar actividades extrañas: Lugares de inicio de sesión extraños, intentos de inicio de sesión excesivos, etc. Trabaja para encontrar tendencias en la actividad inusual y toma medidas para bloquear a cualquier posible atacante en tiempo real. Busca bloqueos de direcciones IP y bloqueo de cuentas y póngase en contacto con los usuarios para determinar si la actividad de la cuenta es legítima (si parece sospechosa).
Cómo pueden los usuarios reforzar las contraseñas contra los ataques de fuerza bruta
Como usuario, puedes hacer mucho para apoyar tu protección en el mundo digital. La mejor defensa contra los ataques con contraseña es asegurarse de que las contraseñas sean lo más seguras posible.
Los ataques de fuerza bruta se basan en el tiempo para descifrar tu contraseña. Por lo tanto, tu objetivo es asegurarte de que tu contraseña ralentiza estos ataques tanto como sea posible, porque si se tarda demasiado tiempo para que la violación valga la pena… la mayoría de los hackers se darán por vencidos y seguirán adelante.
He aquí algunas formas de reforzar las contraseñas contra los ataques de fuerza bruta:
Contraseñas más largas con tipos de caracteres variados
Si es posible, los usuarios deben elegir contraseñas de 10 caracteres que incluyan números o símbolos. De esta manera se crean 171,3 trillones (1,71 x 1020) de posibilidades. Utilizando un procesador GPU que intenta 10 300 millones de hashes por segundo, descifrar la contraseña llevaría aproximadamente 526 años. Aunque un superordenador podría descifrarlo en pocas semanas. Según esta lógica, incluir más caracteres hace que tu contraseña sea aún más difícil de resolver.
Frases de contraseña elaboradas
No todos los sitios aceptan contraseñas extensas, lo que significa que debes elegir contraseñas complejas en lugar de palabras sueltas. Los ataques de diccionario se construyen específicamente para frases de una sola palabra y hacen que una brecha casi no suponga esfuerzo. Las frases de contraseña —contraseñas compuestas por varias palabras o segmentos— deben estar salpicadas de caracteres adicionales y tipos de caracteres especiales.
Crea reglas para crear tus contraseñas
Las mejores contraseñas son las que tú puedes recordar, pero que no tienen sentido para nadie que las lea. Si optas por la frase de contraseña, considera la posibilidad de utilizar palabras truncadas, como sustituir “wood” por “wd” para crear una cadena que solo tenga sentido para ti. Otros ejemplos pueden ser la supresión de vocales o el uso exclusivo de las dos primeras letras de cada palabra.
Mantente lejos de las contraseñas de uso frecuente
Es importante evitar las contraseñas más comunes y cambiarlas con frecuencia.
Utiliza contraseñas únicas para cada sitio que utilices
Para evitar ser víctima del “credential stuffing”, nunca debes reutilizar una contraseña. Si quieres aumentar tu seguridad, utiliza también un nombre de usuario diferente para cada sitio. Puedes evitar que otras cuentas se vean comprometidas si alguna de tus cuentas es vulnerada.
Utilice un administrador de contraseñas
Instalar un gestor de contraseñas automatiza la creación y el seguimiento de tus datos de acceso a Internet. Te permiten acceder a todas tus cuentas accediendo primero al gestor de contraseñas. De esta manera, puedes crear contraseñas extremadamente extensas y complejas para todos los sitios que visitas, almacenarlas en un lugar seguro y solo tener que recordar la contraseña principal.
Si te preguntas “¿cuánto tardarán en descifrar mi contraseña?”, puedes comprobar la seguridad de la frase de contraseña en nuestra herramienta Password Check.
Artículos relacionados:
- Cómo escoger el administrador de contraseñas adecuado
- Cómo proteger tus datos en línea usando un gestor de contraseñas
- ¿Qué es el rociado de contraseñas?
- ¿Qué es el software publicitario?
- ¿Qué es un troyano?
- Hechos y preguntas frecuentes sobre los virus informáticos y el malware
- ¿Qué son el spam y las estafas de phishing?