Skip to main

Un ataque de fuerza bruta es un intento de averiguar una contraseña o un nombre de usuario, o de encontrar una página web oculta o la clave utilizada para cifrar un mensaje, mediante un enfoque de prueba y error, con la esperanza de acertar. Este es un antiguo método de ataque, pero sigue siendo efectivo y popular entre hackers.

Según la longitud y la complejidad de la contraseña, penetrarla puede tardar desde unos pocos segundos hasta muchos años. De hecho, según IBM, algunos hackers atacan los mismos sistemas cada día durante meses e incluso años.

Los ataques de fuerza bruta se valen de herramientas

Tratar de adivinar la contraseña de un usuario o sitio en particular puede tardar mucho tiempo, por lo que los hackers han desarrollado herramientas para agilizar el trabajo.

Los diccionarios son la más básica de las herramientas. Algunos hackers usan diccionarios exhaustivos y abultan palabras con caracteres especiales y números, o bien, utilizan diccionarios especiales de palabras, aunque este tipo de ataque secuencial resulta complicado.

En un ataque estándar, un hacker elige un objetivo y usa contraseñas posibles contra un nombre de usuario. Estas se conocen como ataques por diccionario.

Tal como el nombre lo indica, en un ataque de fuerza bruta inversa se invierte la estrategia de ataque y se comienza con una contraseña conocida, como contraseñas filtradas disponibles en Internet, y con la búsqueda de millones de nombres de usuario hasta encontrar una coincidencia.

También se dispone de herramientas automatizadas que sirven de ayuda en ataques de fuerza bruta, con nombres como Brutus, Medusa, THC Hydra, Ncrack, John The Ripper, Aircrack-ng y Rainbow. Muchos pueden encontrar una contraseña de diccionario en menos de un segundo.

Herramientas como estas debilitan muchos protocolos informáticos (como FTP, MySQL, SMPT y Telnet) y permiten que los hackers descifren módems inalámbricos, identifiquen contraseñas poco seguras, descifren contraseñas de almacenamientos cifrados, traduzcan palabras a escritura leetspeak, en la que palabras como “don'thackme” se convierten en “d0n7H4cKm3”, por ejemplo, y que ejecuten todas las combinaciones posibles de caracteres y efectúen ataques por diccionario.

Algunas herramientas analizan tablas arcoíris previamente calculadas en busca de entradas y salidas de funciones hash conocidas: el método de cifrado basado en algoritmo que se usa para traducir contraseñas a series de letras y números extensas y de longitud fija.

Las GPU agilizan los ataques de fuerza bruta

La combinación de una CPU y una unidad de procesamiento gráfico (GPU) acelera la potencia de cálculo mediante la adición al procesamiento de los miles de núcleos informáticos de la GPU, lo que le permite al sistema gestionar muchas tareas simultáneamente. El procesamiento de la GPU se utiliza para el análisis, la ingeniería y otras aplicaciones de computación intensiva, y permite descifrar contraseñas casi 250 veces más rápido que con solo una CPU.

Para tener una idea, una contraseña de seis caracteres que incluye números tiene aproximadamente 2 mil millones de combinaciones posibles. Tratar de descifrarla con una CPU potente que prueba 30 contraseñas por segundo tarda más de dos años. Sumar solo una tarjeta GPU potente le permite al mismo equipo probar 7100 contraseñas por segundo y descifrarla en 3,5 días.

Pasos para proteger contraseñas para especialistas de TI

Para que sea más difícil que los ataques de fuerza bruta tengan éxito, los administradores de sistema deben asegurarse de que las contraseñas de sus sistemas estén cifradas con el mayor índice de cifrado posible, como un cifrado de 256 bits. Cuantos más bits se destinen al esquema de cifrado, más difícil será descifrar la contraseña.

Los administradores también deben saltar el hash; es decir, aleatorizar los hashes de contraseñas mediante la adición de una cadena aleatoria de letras y números (denominada “salt”) a la propia contraseña. Esta cadena se debe almacenar en una base de datos independiente, y recuperar y agregar a la contraseña antes de que presente una función hash. De esta forma, los usuarios con la misma contraseña tienen diferentes funciones hash. Además, los administradores pueden requerir autenticación de dos pasos e instalar un sistema de detección de intrusiones para detectar ataques de fuerza bruta.

Limitar la cantidad de intentos también reduce la posibilidad de sufrir ataques de fuerza bruta. Permitir, por ejemplo, tres intentos para introducir la contraseña correcta antes de bloquear al usuario durante varios minutos puede provocar retrasos importantes y hacer que los hackers opten por objetivos más fáciles.

Cómo pueden fortalecer las contraseñas los usuarios

Cuando sea posible, los usuarios deberán elegir contraseñas de 10 caracteres que incluyan símbolos o números. Al hacerlo, se crean 171,3 quintillones (1,71 x 1020) de posibilidades. A un procesador GPU capaz de probar 10 300 millones de hash por segundo, descifrar la contraseña le tomaría aproximadamente 526 años, mientras que a una supercomputadora podría tomarle solo unas semanas.

Sin embargo, no todos los sitios aceptan contraseñas extensas, lo que significa que los usuarios deben elegir contraseñas complejas en lugar de palabras sueltas. Es importante evitar las contraseñas más comunes y cambiarlas con frecuencia.

Instalar un administrador de contraseñas automatiza la gestión, lo que les permite a los usuarios acceder a todas sus cuentas a través de la cuenta del administrador de contraseñas. De esta manera, se pueden crear contraseñas extremadamente extensas y complejas para todos los sitios que se visitan, almacenarlas en un lugar seguro, y solo tener que recordar la del administrador de contraseñas para acceder a todas las cuentas.

Para probar la seguridad de una contraseña, los usuarios pueden visitar https://password.kaspersky.com.

Artículos relacionados:

Productos relacionados:

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un intento de averiguar una contraseña o un nombre de usuario con un enfoque de prueba y error. Este es un antiguo método de ataque, pero sigue siendo efectivo y popular entre hackers.
Kaspersky Logo