Ataques de fuerza bruta: definición y ejemplos

¿Qué es un ataque de fuerza bruta?

Los ataques de fuerza bruta utilizan el método de prueba y error para adivinar información de inicio de sesión y claves de cifrado o encontrar una página web oculta. Los hackers prueban todas las combinaciones posibles con la esperanza de adivinar la combinación correcta.

Estos ataques se realizan por medio de "fuerza bruta", es decir, se utilizan intentos forzosos excesivos para intentar "forzar" el acceso a tus cuentas privadas.

Este es un antiguo método de ataque, pero sigue siendo efectivo y popular entre hackers. Porque, según la longitud y la complejidad de la contraseña, penetrarla puede tardar desde unos pocos segundos hasta muchos años.

¿Qué obtienen los hackers a través de los ataques de fuerza bruta?

Los atacantes de fuerza bruta tienen que hacer cierto esfuerzo para lograr que estos esquemas sean rentables. Si bien la tecnología hace que estos ataques sean más fáciles, podrías preguntarte por qué alguien querría hacer esto.

Los hackers se benefician de los ataques de fuerza bruta de las siguientes maneras:

·       Ganancias a partir de anuncios o recopilación de datos de actividad.

·       Robo de datos personales y valiosos.

·       Propagación de malware para causar problemas.

·       Piratería de sistemas para actividades maliciosas.

·       Destrucción de la reputación de un sitio web.

Ganancias a partir de anuncios o recopilación de datos de actividad

Los hackers pueden aprovechar un sitio web junto con otros para ganar comisiones por anuncios. Estas son las formas más populares para hacer esto:

·       Colocar anuncios de spam en un sitio con un volumen alto de visitas para ganar dinero cada vez que alguien hace clic en un anuncio o cada vez que los usuarios lo ven.

·       Volver a enrutar el tráfico de un sitio web a sitios con anuncios que pagan comisiones.

·       Infectar un sitio o a sus visitantes con malware de seguimiento de actividad, por lo general spyware. Los datos se venden a anunciantes sin tu consentimiento para mejorar sus campañas de marketing.

Robo de datos personales y valiosos

Acceder a cuentas en línea puede ser similar a abrir una bóveda bancaria: puedes encontrar información que va desde cuentas bancarias hasta datos impositivos.

Todo lo que un delincuente necesita para robar tu identidad y dinero o vender tus credenciales privadas es el acceso correcto.

A veces, las bases de datos confidenciales de organizaciones enteras pueden quedar expuestas en filtraciones de datos de nivel empresarial.

Propagación de malware para causar problemas

Si un hacker quiere causar problemas o poner en práctica sus habilidades, podría redirigir el tráfico de un sitio web a sitios maliciosos.

También podría infectar un sitio de forma directa con malware oculto, para que se instale en las computadoras de los usuarios que visitan el sitio.

Piratería de sistemas para actividades maliciosas

Cuando una máquina no es suficiente, los hackers reclutan un ejército de dispositivos inocentes, llamado botnet, para agilizar sus esfuerzos.

El malware puede infiltrar tu computadora, dispositivo móvil o cuentas en línea para ataques de phishing de spam y ataques de fuerza bruta optimizados, entre otros. Si no tienes un sistema antivirus, podrías correr un mayor riesgo de infección.

Destrucción de la reputación de un sitio web

Si administras un sitio web y eres víctima de vandalismo, un ciberdelincuente podría llenar tu sitio de contenido obsceno. Esto puede incluir texto, imágenes y audio de naturaleza violenta, pornográfica o racialmente ofensiva.

Tipos de ataques de fuerza bruta

Cada ataque de fuerza bruta puede usar métodos diferentes para acceder a datos confidenciales. Podrías quedar expuesto a cualquiera de los siguientes métodos populares de fuerza bruta:

Ataques de fuerza bruta simples

Los hackers intentan adivinar tus credenciales de manera lógica; sin ningún tipo de asistencia de herramientas de software u otros medios. Estos ataques pueden revelar contraseñas y códigos PIN extremadamente simples. Por ejemplo, una contraseña como "visitante12345".

Ataques de diccionario

En un ataque estándar, un hacker elige un objetivo y usa contraseñas posibles contra ese nombre de usuario. Estos se conocen como ataques de diccionario. Los ataques de diccionario son la herramienta más básica en los ataques de fuerza bruta. Si bien no son necesariamente ataques de fuerza bruta en sí mismos, suelen utilizarse como un componente importante para descifrar contraseñas. Algunos hackers usan diccionarios exhaustivos y abultan palabras con caracteres especiales y números, o bien, utilizan diccionarios especiales de palabras, aunque este tipo de ataque secuencial resulta complicado.

Ataques de fuerza bruta híbridos

Estos hackers mezclan medios externos con deducciones lógicas para intentar acceder. Un ataque híbrido suele mezclar ataques de diccionario y de fuerza bruta. Estos se utilizan para adivinar combos de contraseñas que mezclan palabras habituales con caracteres aleatorios. Un ejemplo de un ataque de fuerza bruta de esta naturaleza podría incluir contraseñas como NuevaYork1993 o Spike1234.

Ataques de fuerza bruta inversa

Como el nombre lo sugiere, este tipo de ataques de fuerza bruta invierte la estrategia, al comenzar con una contraseña conocida. Luego, los hackers buscan millones de nombres de usuario, hasta que encuentran uno que coincida con esa contraseña. Muchos de estos delincuentes comienzan la búsqueda con contraseñas filtradas que están disponibles en línea y que obtienen a partir de filtraciones de datos existentes.

"Stuffing" o relleno de credenciales

Si un hacker tiene una combinación de nombre de usuario y contraseña que funciona para un sitio web, intentará utilizarla en muchos otros. Debido a que muchos usuarios reutilizan su información de inicio de sesión en muchos sitios web, estos serán los objetivos exclusivos de este tipo de ataques.

Los ataques de fuerza bruta utilizan varias herramientas

Tratar de adivinar la contraseña de un usuario o sitio en particular puede llevar mucho tiempo, por lo que los hackers han desarrollado herramientas para agilizar el trabajo.

Las herramientas automatizadas ayudan a facilitar los ataques de fuerza bruta. En estos, se utilizan suposiciones rápidas para crear todas las contraseñas posibles e intentar utilizarlas.

El software de piratería de fuerza bruta puede encontrar una contraseña de diccionario en menos de un segundo.

Esta clase de herramientas tiene métodos alternativos programados de forma interna para lo siguiente:

·       Enfrentar muchos protocolos informáticos (como FTP, MySQL, SMPT y Telnet).

·       Permitir que los hackers pirateen módems inalámbricos.

·       Identificar contraseñas poco seguras.

·       Descifrar contraseñas en almacenamientos cifrados.

·       Traducir palabras a escritura leet: por ejemplo, "nomepiratees" se vuelve "n0m3pir4T33S".

·       Ejecutar todas las combinaciones posibles de caracteres.

·       Realizar ataques de diccionario.

Algunas herramientas analizan tablas arcoíris precomputadas para las entradas y salidas de las funciones hash conocidas. Estas "funciones hash" son los métodos de cifrado basados en algoritmos utilizados para traducir contraseñas en series largas y de extensión fija de letras y números.

En otras palabras, las tablas arcoíris eliminan la parte más difícil de los ataques de fuerza bruta para acelerar el proceso.

Las GPU agilizan los ataques de fuerza bruta

Se necesita una gran cantidad de poder de procesamiento para ejecutar un software de fuerza bruta de contraseñas. Por desgracia, los hackers lograron desarrollar soluciones de hardware para facilitar esta parte del trabajo.

Al combinar la CPU y la unidad de procesamiento de gráficos (GPU) se acelera el poder de procesamiento. Al agregar los miles de núcleos de procesamiento en la GPU, se logra que el sistema realice múltiples tareas al mismo tiempo.

El procesamiento de GPU se utiliza para análisis, ingeniería y otras aplicaciones que requieren un gran volumen de poder de cómputo. Los hackers que utilizan este método pueden descifrar contraseñas hasta 250 veces más rápido que con solo una CPU.

Entonces, ¿cuánto tiempo llevaría descifrar una contraseña? Para tener una idea, una contraseña de seis caracteres que incluye números tiene aproximadamente 2000 millones de combinaciones posibles.

Tratar de descifrarla con una CPU potente que prueba 30 contraseñas por segundo tarda más de dos años. Sumar solo una tarjeta GPU potente le permite al mismo equipo probar 7100 contraseñas por segundo y descifrarla en 3.5 días.

Pasos para proteger contraseñas para profesionales

Para protegerte y mantener protegida tu red, es importante tomar precauciones y ayudar a otras personas a hacer lo mismo. Deben reforzarse el comportamiento de los usuarios y los sistemas de seguridad de red.

Es importante poner en práctica algunos consejos generales, tanto para especialistas en TI como usuarios:

·       Usar nombres de usuario y contraseñas avanzados. Protegerte con credenciales más seguras que admin y contraseña1234 para mantener a estos atacantes fuera de tus cuentas. Cuanto más segura sea la combinación, más difícil será que alguien pueda descifrarla.

·       Eliminar todas las cuentas que no se usen y que tengan permisos de alto nivel. Estos son el equivalente digital a las puertas con candados débiles, que pueden romperse con facilidad. Las cuentas sin mantenimiento suponen un riesgo demasiado grande. Elimínalas lo antes posible.

Una vez que domines los fundamentos, aumenta tu seguridad y haz que los usuarios te imiten.

Comenzaremos con lo que puedes hacer en el backend y luego compartiremos consejos para reforzar los hábitos seguros.

Protección pasiva en backend para contraseñas

Tasas de cifrado altas: para que sea más difícil que los ataques de fuerza bruta tengan éxito, los administradores de sistema deben asegurarse de que las contraseñas de sus sistemas estén cifradas con el mayor índice de cifrado posible, como un cifrado de 256 bits. Cuantos más bits se destinen al esquema de cifrado, más difícil será descifrar la contraseña.

Salar ("salt", en inglés) el hash: los administradores también deben aleatorizar los hashes de contraseñas mediante la adición de una cadena aleatoria de letras y números (denominada "salt") a la propia contraseña. Esta cadena se debe almacenar en una base de datos independiente, y recuperar y agregar a la contraseña antes de que presente una función hash. Al salar la contraseña, los usuarios con la misma contraseña tienen diferentes funciones hash.

Autenticación de dos factores (2FA): además, los administradores pueden requerir autenticación de dos pasos e instalar un sistema de detección de intrusiones para detectar ataques de fuerza bruta. Este obliga a los usuarios a complementar un intento de inicio de sesión con un segundo factor, como una llave USB física o el análisis biométrico de una huella digital.

Limitar el número de intentos de inicio de sesión: al limitar el número de intentos de inicio de sesión, también se reduce la susceptibilidad a los ataques de fuerza bruta. Por ejemplo, permitir tres intentos para ingresar la contraseña correcta antes de bloquear al usuario durante varios minutos puede provocar retrasos importantes y hacer que los hackers opten por objetivos más fáciles.

Bloquear la cuenta luego de un número excesivo de intentos de inicio de sesión: si un hacker tiene un número indefinido de intentos para adivinar una contraseña, incluso después de un bloqueo temporal, puede regresar para volver a intentarlo. Bloquear la cuenta y solicitar que el usuario se comunique con TI para desbloquearla puede desalentar esta actividad. Los temporizadores de bloqueo cortos son más convenientes para los usuarios, pero la comodidad puede ser una vulnerabilidad. Para equilibrar esto, podrías considerar el uso de un bloqueo a largo plazo si se ingresa la contraseña equivocada muchas veces después del bloqueo corto.

Limita la frecuencia de los intentos de inicio de sesión repetidos: puedes ralentizar el trabajo de un atacante aún más al crear un espacio entre cada intento de inicio de sesión. Cuando se ingresa la contraseña incorrecta, un temporizador puede denegar el inicio de sesión durante un período corto. Esto le dará tiempo al equipo de supervisión en tiempo real para detectar el ataque y bloquear la amenaza. Algunos hackers podrían dejar de intentarlo, si no vale la pena esperar tanto.

Solicitar un captcha luego de intentos repetidos de inicio de sesión: la verificación manual disuade a los robots de intentar acceder a tus datos a través de ataques de fuerza bruta. Existen muchos tipos de captcha, como escribir el texto de una imagen, marcar una casilla de verificación o identificar objetos en imágenes. Sin importar qué opción elijas, puedes utilizarlo antes del primer intento de inicio de sesión o después de cada intento fallido, como protección adicional.

Usa una lista de direcciones IP rechazadas para bloquear atacantes conocidos. Asegúrate de que los encargados de administrar esta lista la actualicen constantemente.

Protección activa de soporte de TI para contraseñas

Educación de contraseñas: el comportamiento de los usuarios es esencial para la seguridad de las contraseñas. Capacita a los usuarios sobre las mejores prácticas y el uso de herramientas para que realicen un seguimiento de sus contraseñas. Los servicios como Kaspersky Password Manager les permiten a los usuarios guardar contraseñas complejas y difíciles de recordar en un "almacén" cifrado, en lugar de en notas escritas. Dado que los usuarios tienden a poner en riesgo la seguridad con tal de aumentar su comodidad, asegúrate de ayudarlos a configurar las herramientas adecuadas para protegerlos.

Supervisa cuentas en tiempo real en busca de actividad sospechosa: ubicaciones de inicio de sesión extrañas, intentos excesivos de inicios de sesión, etc. Busca tendencias en actividades inusuales y toma medidas para bloquear a cualquier atacante potencial en tiempo real. Mantente alerta a bloqueos de direcciones IP y de cuentas, y comunícate con los usuarios para determinar si la actividad en la cuenta es legítima (si parece sospechosa).

Cómo pueden los usuarios reforzar tus contraseñas frente a ataques de fuerza bruta

Como usuario, hay muchas cosas que puedes hacer para mejorar tu protección en el mundo digital. La mejor defensa frente a los ataques de contraseña es garantizar que tus contraseñas sean lo más seguras posible.

Los ataques de fuerza bruta se basan en tiempo para descifrar las contraseñas. El objetivo es lograr que la contraseña ralentice estos ataques lo más posible, porque, si lleva demasiado tiempo descifrarla, la mayoría de los hackers se dará por vencido.

Estas son algunas opciones para aumentar la seguridad de las contraseñas frente a ataques de fuerza bruta:

Contraseñas más largas y con diferentes clases de caracteres

Cuando sea posible, los usuarios deberán elegir contraseñas de 10 caracteres que incluyan símbolos o números. Al hacerlo, se crean 171.3 quintillones (1.71 × 1020) de posibilidades. Utilizando un procesador de GPU que prueba 10 300 millones de hashes por segundo, descifrar la contraseña llevaría alrededor de 526 años. Sin embargo, a una supercomputadora le llevaría apenas algunas semanas. Siguiendo esta lógica, incluir más caracteres hace que tu contraseña sea más difícil de descifrar.

Contraseñas de frases elaboradas

No todos los sitios aceptan contraseñas extensas, lo que significa que debes elegir contraseñas complejas en lugar de palabras sueltas. Los ataques de diccionario se crean específicamente para frases de una sola palabra y hacen que la vulneración no requiera prácticamente esfuerzo alguno. Las contraseñas compuestas por frases de varias palabras o segmentos deberían incluir caracteres adicionales y caracteres especiales.

Crear reglas para la construcción de contraseñas

Las mejores contraseñas son aquellas que puedes recordar, pero que no tienen sentido para nadie más que pueda leerlas. Al utilizar frases, considera usar palabras truncadas (por ejemplo, reemplazar "madera" por "mdra") para crear una cadena que solo tenga sentido para ti. Otro ejemplo podría incluir solo usar las consonantes o las primeras dos letras de cada palabra.

Nunca utilices contraseñas de uso frecuente

Es importante evitar las contraseñas más comunes y cambiarlas con frecuencia.

Usa contraseñas únicas para cada sitio que utilizas

Para no ser víctima de ataques de relleno de credenciales, nunca debes reutilizar una contraseña. Si quieres aumentar aún más la seguridad, utiliza un nombre de usuario diferente para cada sitio. De esta manera, puedes proteger las otras cuentas si una ya está en riesgo.

Utiliza un administrador de contraseñas

Instalar un administrador de contraseñas automatiza la creación y el control de la información de inicio de sesión en Internet. Esto te permite acceder a todas tus cuentas una vez que inicias sesión en el administrador de contraseñas. De esta manera, puedes crear contraseñas extremadamente extensas y complejas para todos los sitios que visitas, almacenarlas en un lugar seguro y solo tener que recordar la contraseña principal.

Si te preguntas "¿cuánto tardarán en descifrar mi contraseña?", puedes comprobar la solidez de tu frase de contraseña en nuestra herramienta Password Check.

Artículos relacionados:

• Cómo elegir el administrador de contraseñas adecuado
• Cómo proteger tus datos en línea usando un administrador de contraseñas
• ¿Qué es la pulverización de contraseñas?
• ¿Qué es el adware?
• ¿Qué es un troyano?
• Datos y preguntas frecuentes sobre virus informáticos y malware
• Qué es el spam y las estafas de phishing

Productos relacionados:

• Kaspersky Antivirus para Mac
• Kaspersky Antivirus para Android
• Kaspersky Premium
• Kaspersky Password Manager