Análisis en profundidad

Ataques de Fuerza Bruta: qué son, cómo se hacen y cómo se evitan

  • Home
  • Ciber Seguridad Informatica

Los ataques de fuerza bruta consisten en encontrar una contraseña probando todas las combinaciones posibles de letras, caracteres especiales y números. Se trata de un último recurso porque puede requerir un gran número de intentos y un largo tiempo de ejecución.

Publicado el 17 Mar 2023

Ataques de fuerza bruta.

Podemos comparar los ataques por fuerza bruta con una especie de anagrama. Solo que su objetivo no es formar nuevas palabras, sino encontrar la contraseña que permite el acceso a un sistema informático determinado, probando todas las combinaciones posibles. Hasta encontrar la correcta.

Generalmente lo utilizan los hackers para sustraer información sensible o propagar malware. Este método se considera el último recurso, cuando ya no queda nada más que intentar, porque es por naturaleza ineficaz: puede requerir un número muy elevado de intentos y un largo tiempo de ejecución.

Qué es el método de ataque por fuerza bruta

En criptoanálisis, los ataques de fuerza bruta se utilizan para encontrar la clave de un sistema que utiliza un algoritmo, es decir, un procedimiento que sigue pasos muy precisos, para realizar operaciones de cifrado y descifrado. 

Un ejemplo famoso es Enigma, la máquina utilizada por las fuerzas armadas alemanas durante el periodo nazi y la Segunda Guerra Mundial para cifrar y descifrar sus mensajes: sólo quienes poseían una máquina Enigma y un juego especial de códigos podían leerlos.

En 1939, el servicio secreto polaco había conseguido descifrar algunas versiones simplificadas de Enigma. Pero el trabajo se trasladó al Reino Unido tras el inicio de la guerra, cuando los códigos se volvieron demasiado complejos para los recursos que disponían los polacos. Entre los científicos que trabajaban en el proyecto se encontraba el conocido matemático Alan Turing, que ideó una máquina más eficaz para descifrar los códigos. Un sistema que contribuyó significativamente a ayudar a los soldados aliados. Todo ello mediante un ataque de fuerza bruta.

Sin embargo, cuando se trata de seguridad informática, el método se utiliza principalmente para encontrar la contraseña que permite el acceso a un sistema. Esta, a diferencia de la clave criptográfica que suele generarse aleatoriamente, suele ser ideada por un ser humano y, por tanto, es menos compleja.

Qué hace un ataque de fuerza bruta

Un ataque de fuerza bruta puede aprovecharse para recuperar cualquier tipo de contraseña. Desde la que utilizamos para Gmail hasta la que usamos para Facebook, pasando por la clave que nos permite acceder a nuestros servicios financieros, servidores FTP y SSH. Básicamente, consiste en probar todas las combinaciones posibles de letras, caracteres especiales y números hasta encontrar la mezcla adecuada. Una operación que, por supuesto, realiza un software.

El tiempo que tarda en tener éxito depende de la velocidad de cálculo de la computadora, así como de la complejidad y longitud de la contraseña (cuántos y qué caracteres se utilizan).

Ataque de diccionario, la variante de fuerza bruta (tipo)

Una variante del ataque por fuerza bruta es el ataque por “diccionario”, por el que se intenta descifrar un código o contraseña escudriñando un número finito de cadenas de caracteres, por lo general ya generadas, como palabras comunes. Un diccionario, de hecho, que se suministra al software. De este modo, se reducen los tiempos de búsqueda.

No es seguro que el sistema resulte eficaz, aunque suele tener muchas posibilidades de éxito porque la mayoría de la gente tiende a utilizar contraseñas fáciles de recordar (su propio nombre, el de sus seres queridos o fechas de nacimiento), eligiendo palabras tomadas de su lengua materna. Existen varias herramientas para crear diccionarios eficaces para ataques de fuerza bruta, como Crunch, disponible en varias distribuciones de Linux.

Los principales programas para realizar ataques de fuerza bruta

-Hydra es la herramienta por excelencia cuando se trata de ataques de fuerza bruta, especialmente si un servicio de autenticación remota está en el punto de mira. Es muy potente y soporta más de cincuenta protocolos, entre ellos telnet, ftp, http, https y smb.

Hashcat se describe a sí mismo como el “software de recuperación de contraseñas más rápido del mundo”. Tuvo un código propietario hasta 2015, pero ahora se publica como ‘software libre’. Hay versiones disponibles para Linux, OS X y Windows. Su peculiaridad reside en que, para los ataques, permite explotar la potencia de cálculo de los procesadores gráficos (GPU), además de la más clásica CPU.

JTR es un software de código abierto que permite realizar ataques de diccionario y de fuerza bruta. También detecta automáticamente, a partir del hash, el tipo de cifrado utilizado. Está disponible para todos los sistemas operativos, Windows, Linux y Mac Os, y puede descargarse gratuitamente desde el sitio de OpenWall. Aunque existe una versión pro de pago.

Ejemplos de los ataques de fuerza bruta más famosos

El mayor ataque de fuerza bruta de la historia reciente tuvo como objetivo GitHub, la plataforma “social” utilizada por los desarrolladores para compartir sus proyectos de software. Todo ocurrió en 2013, cuando los ciberdelincuentes utilizaron una lista de nombres de usuario y contraseñas -que habían recuperado mediante un ataque anterior- y pretendían robar las credenciales de GitHub de miles de usuarios. GitHub avisó a los propietarios de las cuentas comprometidas, aunque nunca reveló públicamente el número de personas implicadas.

21 millones de cuentas fueron comprometidas debido a un ataque de fuerza bruta que tuvo como objetivo a los usuarios de TaoBao, la plataforma de comercio electrónico del gigante chino Alibaba. Un episodio que se produjo entre octubre y noviembre de 2015. De nuevo, se utilizó una base de datos de nombres y contraseñas robados en otros lugares, y el ataque tuvo éxito en uno de cada cinco casos. Una demostración de que los usuarios tienden a utilizar una y otra vez las mismas y malas contraseñas.

El ataque fue detectado por Cloudfare, el popular proveedor que proporciona soporte contra ataques DDoS. El objetivo era la plataforma de autopublicación WordPress, que fue blanco de 60 millones de peticiones de fuerza bruta en solo una hora el 13 de abril de 2013. Afortunadamente, pocos sitios se vieron comprometidos en el proceso.

Cómo defenderse de los ataques de fuerza bruta

La mejor protección es una buena contraseña, que debemos aprender a considerar tan importante como las llaves de casa. La mayoría de la gente, sin embargo, subestima su importancia y elige combinaciones fáciles por comodidad. Baste decir que en 2016, la contraseña más utilizada fue “123456”, mientras que el segundo puesto fue para la palabra “contraseña”, y el tercero para el código “12345678”. Otro error que se comete muy a menudo es el de utilizar la misma palabra repetida al revés. Se trata de un descuido con el que la ciberdelincuencia está muy familiarizada: de hecho, existen decenas de programas gratuitos en la Red que explotan patrones comunes, lo que permite descifrar contraseñas menos complejas.

La diferencia entre atacar una clave criptográfica y una contraseña es que esta última es generada por humanos y normalmente es mucho más fácil, en términos de intentos, de descifrar. 

Una buena práctica para desarrollar una contraseña segura es idear contraseñas que utilicen una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Esto puede lograrse sin sacrificar necesariamente la capacidad de memorización. Un ejemplo son las siglas de una frase sencilla y representativa como:

Me llamo Alessio y tengo 1 hermana

que se convierte en

MllAyts1H

Otra solución es utilizar un generador de contraseñas. En Internet se pueden encontrar muchos gratuitos y fiables como PC Tools Secure Password Generator, Strong Password Generator y Password Savy.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

A
Ataques
C
Contraseñas
W
Web

Nota 1 de 2