La guía básica para ataques de fuerza bruta: definición, tipos y prevención

¿Qué es exactamente un ataque de fuerza bruta?

Un ataque de fuerza bruta es un tipo de ciberataque en el que un hacker utiliza tecnología para enviar muchas contraseñas o frases de contraseña diferentes con el fin de averiguar correctamente una contraseña o un código de descifrado y obtener acceso no autorizado a un sistema. Los atacantes logran esto probando sistemáticamente tantas combinaciones de contraseñas como sea posible hasta que llegan a la combinación correcta de caracteres.

Este artículo contiene :

Este artículo contiene :

Mostrar todo Security articles

Este artículo contiene :

¿Cuánto dura un ataque de fuerza bruta?

El tiempo que se tarda en forzar una contraseña depende de la seguridad de la contraseña y de la tecnología del hacker. Los hackers pueden descifrar las contraseñas poco seguras en cuestión de segundos, mientras que las contraseñas más largas y complejas tardarían años en descubrirse. Existe un número finito de combinaciones de caracteres para cada longitud de contraseña y los equipos modernos pueden realizar cientos de miles de millones de intentos de acceso por segundo.

Las contraseñas que contienen más caracteres y variedad (por ejemplo, letras, números y símbolos) son más difíciles de averiguar. Por ejemplo, si su contraseña contiene siete letras, los hackers podrían forzarla en cuestión de segundos. Sin embargo, ampliar esa contraseña a 18 caracteres llevaría casi 500 000 años con la tecnología actual.

Sin embargo, la «tecnología actual» no ofrece garantías. A medida que los hackers acceden a una tecnología más avanzada, sus métodos mejoran. Cada año, pueden utilizar ataques de fuerza bruta para desvelar contraseñas más complejas a mayor velocidad. Por eso es tan importante actualizar las contraseñas con regularidad y hacerlas más fuertes.

¿Son ilegales los ataques de fuerza bruta?

Los ataques de fuerza bruta no son ilegales en sí mismos. Son una herramienta muy valiosa para determinar la solidez de las contraseñas y las empresas los usan con frecuencia para mejorar su nivel de ciberseguridad.

Pero los ataques de fuerza bruta son ilegales cuando se usan como método de hackeo para acceder a datos sin permiso. Acceder a los datos sin permiso es ilegal, incluso si se consigue descifrar la contraseña para acceder a ellos.

Es un poco como abrir una caja fuerte, lo que no es ilegal en sí mismo. Puede comprarse una caja fuerte y abrirla tantas veces como quiera o puede abrir la caja fuerte de otra persona, con su permiso, por supuesto. Pero, en cuanto abre una caja fuerte y roba su contenido, está haciendo algo ilegal.

Tipos de ataques de fuerza bruta

Existen cinco tipos principales: ataques simples, ataques de diccionario, ataques híbridos, ataques inversos y relleno de credenciales.

Ataques simples de fuerza bruta

Los ataques simples de fuerza bruta recorren sistemáticamente combinaciones de palabras, letras y caracteres hasta descifrar una contraseña. Los ataques simples de fuerza bruta no requieren mucha capacidad informática ni ingenio. Son tan sencillos que pueden hacerse manualmente, aunque esto, obviamente, requiere más tiempo.

Esto significa que las contraseñas largas y complejas no están al alcance de los ataques simples, que generalmente se limitan a variaciones de las contraseñas más comunes o probables.

Un bot puede forzar fácilmente una contraseña predecible. Algunas de las peores contraseñas son las que tienen números secuenciales (123456), el nombre o el cumpleaños de una persona, o la tristemente célebre (y aún desconcertantemente popular) «contraseña».

Los ataques simples de fuerza bruta descifran fácilmente las contraseñas simples.

Los ataques simples de fuerza bruta siguen siendo eficaces porque muchas personas no se dan cuenta del peligro que supone usar contraseñas simples. Otros optan por arriesgar su seguridad usando contraseñas simples para no tener que recordar otras más largas y complejas. Sin embargo, si utiliza un buen administrador de contraseñas, no necesitará recordar contraseñas.

Ataques de diccionario

Los ataques de diccionario usan un diccionario digital o una lista de palabras para descifrar contraseñas más complicadas. Estos ataques intentan averiguar su contraseña usando cada palabra, combinaciones comunes de esa palabra con otras palabras, variaciones ortográficas y palabras en varios idiomas.

Elegir una palabra más complicada para su contraseña puede protegerle de ataques simples de fuerza bruta, pero no le mantendrá a salvo de los ataques de diccionario. Si usa una sola palabra para su contraseña, un ataque de diccionario de fuerza bruta tendrá éxito en cuestión de segundos.

Ataques híbridos de fuerza bruta

Los ataques híbridos de fuerza bruta combinan ataques simples de hackeo de fuerza bruta y ataques de diccionario. Las contraseñas comunes se mezclan con palabras del diccionario y caracteres aleatorios para crear una base de datos de combinaciones de contraseñas más grande. Una contraseña como «c0ntr@s3ñ@» puede burlar un ataque de diccionario, pero ofrece pocas defensas contra un ataque híbrido.

Los hackers que utilizan ataques híbridos personalizan su estrategia de ataque en lugar de limitarse a probar cada palabra una por una. El infiltrado conoce las combinaciones de palabras más probables según las listas de palabras (posiblemente compradas en la web oscura), los datos demográficos del objetivo y el conocimiento general del comportamiento humano. Luego, priorizan sus ataques usando estas combinaciones en primer lugar.

Ataques inversos de fuerza bruta

Los ataques inversos de fuerza bruta intentan hacerse con el nombre de usuario en lugar de la contraseña. Cuando las contraseñas más habituales acaban en internet tras verse afectadas por filtraciones de datos, suele ser más fácil introducir la contraseña y descifrar los nombres de usuario. Muchos usuarios eligen la misma contraseña, por lo que un ataque inverso puede ofrecer a los hackers acceso a muchas cuentas.

Muchos usuarios no se plantean nunca la importancia de la seguridad en su ID de inicio de sesión, lo que hace que el hackeo de nombres de usuario por fuerza bruta sea más fácil y lucrativo de lo que parece.

Relleno de credenciales

El relleno de credenciales se produce cuando un hacker obtiene su nombre de usuario y contraseña para un sitio y, luego, intenta iniciar sesión en otros sitios con las mismas credenciales o similares. En lugar de atacar por fuerza bruta una contraseña o nombre de usuario, atacan por fuerza bruta el lugar donde se usa la contraseña o el nombre de usuario. Por ese motivo debe tener cuidado al guardar contraseñas en su navegador.

Si usa la misma contraseña o el mismo nombre de usuario en varios sitios y una de sus cuentas está en peligro, las demás también lo estarán. Además de usar contraseñas únicas en todas sus cuentas, plantéese reforzar su seguridad con un software antivirus.

Avast Free Antivirus le ayuda a protegerse contra los problemas de seguridad, desde contraseñas filtradas a complementos sospechosos, pasando por malware y otras amenazas. Si Avast detecta que sus contraseñas de correo electrónico han quedado expuestas, recibirá un aviso para ayudarle a proteger su cuenta inmediatamente. Consiga hoy mismo una potente herramienta de protección contra los hackers.

Herramientas usadas para ataques de fuerza bruta

Los intentos manuales de fuerza bruta contra todas las contraseñas, salvo las menos seguras, requieren mucho tiempo. Sin embargo, los hackers han desarrollado una serie de herramientas automatizadas que les ayudan a descifrar contraseñas más fácilmente. Cualquier persona con un poco de conocimiento puede usar una herramienta de descifrado de fuerza bruta, que es un tipo especializado de software que realiza ataques de fuerza bruta.

Estos son algunos de los principales programas especializados en ataques de fuerza bruta que usan los hackers:

Tipos de software de ataque de fuerza bruta

• Herramientas de localización de contraseñas débiles
  Al utilizar herramientas que identifican y prueban primero las contraseñas más fáciles y obvias, los hackers no suelen tener que recurrir a métodos más pesados.

• Descifradores de wifi
  Las herramientas de descifrado de wifi analizan la seguridad de las redes wifi y recopilan datos que les permiten atacar las redes objetivo con mayor eficacia.

• Funciones hash
  Los métodos de cifrado basados en algoritmos conocidos como funciones hash producen contraseñas largas y aleatorias que pueden utilizar las herramientas de descifrado para averiguar sus resultados.

• Bots de diccionario
  Mediante ataques de diccionario, las herramientas de fuerza bruta pueden sortear contraseñas de una sola palabra en un abrir y cerrar de ojos.

Herramientas habituales en los ataques de fuerza bruta

• John the Ripper
  Se trata de una herramienta gratuita de código abierto para descifrar contraseñas que puede realizar diferentes tipos de ataques, como ataques de diccionario.

• Hashcat
  Esta es una herramienta avanzada de descifrado de contraseñas que puede realizar diferentes tipos de ataques, como ataques de diccionario e híbridos.

• Rainbow Crack
  Esta herramienta reduce el tiempo necesario para descifrar contraseñas utilizando tablas arcoíris precalculadas de hashes inversos de contraseñas.

• Aircrack-ng
  Aircrack-ng es un conjunto de herramientas diseñadas para evaluar la seguridad de las redes wifi. Su principal objetivo es ayudar a los profesionales de la seguridad y a los hackers éticos a poner a prueba una red. Incluye una herramienta cuyo objetivo es descifrar las contraseñas wifi mediante el uso de contraseñas habituales con la intención de hackear la red.

Es posible que el típico lobo solitario encerrado en su dormitorio no pueda permitirse una herramienta de descifrado de contraseñas de gama alta ni el potente equipo necesario para ejecutarla. Sin embargo, la definición de hacker ha cambiado con el tiempo. Hoy en día, muchos ciberdelincuentes pertenecen a grupos bien financiados y perfectamente organizados con acceso a las técnicas más eficaces para descifrar contraseñas.

¿Por qué utilizan los ciberdelincuentes los ataques de fuerza bruta?

Hay muchos motivos detrás de los ataques de fuerza bruta. Muchos hackers o ciberdelincuentes utilizan ataques de fuerza bruta contra sitios web para insertar más anuncios o robar su información personal confidencial mediante ataques de phishing. Un atacante con deseos de venganza puede servirse de un ataque de fuerza bruta para destruir la reputación de un sitio web.

Un descifrador de contraseñas de fuerza bruta que prueba repetidamente contraseñas hasta encontrar la correcta, es algo que se puede encontrarse gratis en la Web. Eso significa que cualquiera que tenga deseos de venganza o bastante tiempo libre puede intentarlo. Así, el motivo y la intensidad de los ataques variarán. Los ataques severos de fuerza bruta pueden tomar el control de todo un sistema.

Después de analizar los ejemplos de ataques de fuerza bruta más comunes, examinemos algunas de las razones por las que los hackers utilizan estas técnicas.

La oportunidad de navegar por páginas web ocultas

Los ataques de fuerza bruta de los hackers pueden revelar mucho más que contraseñas y nombres de usuario. Mediante los ataques de fuerza bruta a direcciones web, los atacantes pueden obtener acceso a páginas web o directorios que de otro modo permanecerían ocultos a la vista del público.

Estas páginas web suelen generarse por razones técnicas o personales, o fueron creadas y luego olvidadas. En ambos casos, su seguridad puede ser más débil que los sitios destinados al público en general. Es probable que sean más vulnerables a ataques informáticos maliciosos, malware peligroso, como troyanos, inyecciones SQL y otras amenazas perversas.

Si un hacker puede vulnerar por fuerza bruta una página web oculta, podría asegurarse una puerta trasera fiable al sitio web principal.

Lucrarse con anuncios

Al obtener acceso ilegal a sitios web, los hackers pueden hacer que envíen spam con anuncios a los visitantes; cada clic o vista genera ganancias para el hacker. Los hackers también pueden redirigir el tráfico a sitios ilegítimos repletos de anuncios, o a sitios web de pharming que simulan ser los reales.

Los hackers pueden sacar provecho del spam valiéndose de los modelos comerciales de publicidad y obligando a las personas a ver y a enfrentarse a una avalancha de anuncios.

Propagar malware

Con frecuencia, los ataques de fuerza bruta se utilizan para propagar virus y otro malware por todo un sistema. Dependiendo del tipo de malware que use el hacker, es posible que logre acceder a datos confidenciales, como su lista de contactos y su ubicación.

Mediante la instalación de adware en su dispositivo, un hacker puede enviarle spam y ganar dinero cuando lo vea. Los hackers también pueden atacar por fuerza bruta un sitio web e instalar malware que infecte a cualquiera que lo visite.

Avast Free Antivirus le ayuda a protegerse contra amenazas inesperadas. Nuestro Escudo Web bloquea la descarga de malware conocido en su PC al navegar por la Web, mientras que nuestro Escudo de archivos analiza los archivos desconocidos antes de que lleguen hasta usted y, si son maliciosos, los pone en cuarentena inmediatamente.

Esto significa que Avast Free Antivirus detiene los ataques maliciosos en su equipo, incluso si provienen de dominios fiables que, sin saberlo, se han visto comprometidos en un ataque de fuerza bruta. Además, nuestra función de Análisis inteligente incorporada repara las grietas de su seguridad digital supervisando todas sus configuraciones y complementos para localizar posibles vulnerabilidades.

¿Necesita aún más protección contra la fuerza bruta? Pruebe Avast Premium Security, que bloquea automáticamente los intentos de ataques de fuerza bruta en su dispositivo mediante el Escudo de acceso remoto integrado.

Robo de datos

Al obtener acceso a sitios web, los hackers pueden rastrear los datos de navegación del usuario y venderlos a terceros. Su información es valiosa para los anunciantes que desean venderle productos, para las empresas de análisis que ayudan a los sitios web a optimizar sus modelos comerciales y para los corredores de datos que venden datos personales o agregados a compradores interesados.

Descargar y usar un descifrador de contraseñas de fuerza bruta resulta tan sencillo que presenta pocas desventajas para los hackers. Hoy en día, el big data reporta grandes beneficios.

Por supuesto, cualquier persona que robe sus datos también puede usarlos en su propio beneficio. Por ejemplo, mediante el uso de un ataque de fuerza bruta, un hacker puede insertar spyware para recopilar datos personales, que pueden utilizar para hacer doxxing o cometer un robo de identidad.

Secuestro de sistemas

Después de un ataque de fuerza bruta que haya tenido éxito, los hackers pueden infectar su dispositivo con ransomware, que toma como rehenes sus archivos o incluso bloquea completamente su dispositivo. Después de tomar el control, los hackers pueden extorsionarle para que les envíe dinero amenazando con destruir sus archivos o divulgar información confidencial.

El ransomware, como Petya y Wannacry, puede cifrar sus archivos hasta que pague, e incluso así, no existe ninguna garantía de que recupere sus datos.

Cómo evitar los ataques de fuerza bruta

Implementar una buena higiene digital es la mejor manera de mantenerse a salvo de los ataques de fuerza bruta. Practicar mejores hábitos de contraseñas, utilizar la autenticación en dos pasos y emplear software de seguridad en internet puede contribuir en gran medida a protegerle contra los intentos de ataques de fuerza bruta.

A continuación le explicamos cómo hacer frente a los ataques de fuerza bruta:

Contraseñas complejas

Su primera línea de defensa contra un ataque de fuerza bruta es elegir una contraseña segura. Establezca contraseñas únicas para todas sus cuentas y guárdelas de forma segura con un administrador de contraseñas potente. Cuanto más larga y compleja sea la contraseña, mejor.

Seguramente ha observado que los sitios web le preguntan si desea que generen una contraseña segura por usted. Se trata de una forma sencilla de generar cadenas aleatorias de letras, números y símbolos, que pueden aumentar significativamente la seguridad de las contraseñas.

Si crea su propia contraseña, evite el uso de identificadores comunes, como el nombre de su equipo favorito o de su ciudad, o cualquier otra información que pueda deducirse fácilmente a partir de sus datos personales básicos.

Por último, cree siempre una contraseña diferente para cada una de sus cuentas. Muchas personas utilizan la misma contraseña en varios sitios, ya que tener que recuperarla resulta molesto. Puede evitar este problema y crear contraseñas difíciles de descifrar con un administrador de contraseñas seguro, que generará y almacenará las contraseñas automáticamente.

Autenticación en varios pasos

La autenticación en varios pasos (MFA) y la autenticación en dos pasos (2FA) le obligan a iniciar sesión con al menos dos tipos diferentes de credenciales.

Los ejemplos incluyen elementos de un solo uso que debe tener al iniciar sesión, como un código único enviado por mensaje de texto o una clave de una aplicación de autenticación específica. Otro factor de autenticación puede ser un identificador biométrico, como escanear las huellas digitales o usar un software de reconocimiento facial.

La autenticación en varios pasos agrega capas de seguridad a su contraseña.

VPN

Configurar una VPN puede brindarle una línea de defensa adicional contra los programas de fuerza bruta. Es especialmente importante utilizar una VPN cuando se conecte a redes wifi públicas. Estas redes suelen carecer de seguridad y pueden estar plagadas de hackers que intentan hacerse con sus datos mientras usted se conecta.

Software antivirus

Un buen software antivirus puede hacer algo más que localizar y prevenir el malware. Los programas de ciberseguridad como Avast Free Antivirus le notifican las filtraciones de contraseñas conocidas, ayudan a bloquear sitios web maliciosos y eliminan archivos peligrosos de su dispositivo.

CAPTCHA

CAPTCHA es un sistema de verificación que intenta determinar si un usuario es humano. Probablemente se haya encontrado alguna vez con CAPTCHA si le han pedido que seleccione todas las imágenes con un barco o que introduzca el texto que le presentan antes de acceder a un sitio.

Las herramientas de ataque de fuerza bruta no son humanas y CAPTCHA bloquea muchas de ellas para que no puedan introducir muchas contraseñas hasta dar con la correcta. Aunque CAPTCHA lo usan sobre todo las empresas, también lo pueden usar los particulares que poseen un sitio web. Añadir CAPTCHA a su sitio le ayuda a impedir que los hackers lo utilicen para recopilar sus datos y los de otros.

Limitar los intentos de inicio de sesión

Si tiene un sitio web en el que los usuarios o clientes inician sesión, debería limitar el número de intentos de inicio de sesión permitidos. Puede hacerlo utilizando un complemento para prohibir o bloquear temporalmente una dirección IP después de un número de intentos fallidos.

Algunos sitios y cuentas todavía permiten intentos ilimitados de inicio de sesión, por lo que confiar solo en los intentos limitados de inicio de sesión como usuario no es una solución definitiva. Hágase cargo de su propia seguridad en internet con un antivirus potente.

Defiéndase contra los ataques de fuerza bruta con Avast Antivirus

Los ataques de fuerza bruta pueden parecer intimidatorios, pero no es difícil establecer una defensa eficaz contra ellos. Todo lo que necesita son contraseñas seguras y únicas, y herramientas potentes de ciberseguridad como Avast Free Antivirus para estar más a salvo en internet.

Avast Free Antivirus supervisa sus contraseñas conectadas a su dirección de correo electrónico y le avisa si alguna está en peligro. También le ayuda a proteger su dispositivo contra una serie de amenazas como descargas maliciosas, vínculos infectados, archivos adjuntos poco seguros, etc. Descárguelo hoy mismo para adelantarse a los hackers.