¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un método de piratería informática que utiliza pruebas y errores para descifrar contraseñas, credenciales de inicio de sesión y claves de cifrado. Es una táctica simple pero confiable para obtener acceso no autorizado a cuentas individuales y sistemas y redes de organizaciones. El pirata informático intenta varios nombres de usuario y contraseñas, a menudo utilizando una computadora para probar una amplia gama de combinaciones, hasta que encuentra la información de inicio de sesión correcta.

El nombre "fuerza bruta" proviene de atacantes que utilizan intentos excesivamente forzados para obtener acceso a las cuentas de usuario. A pesar de ser un antiguo método de ciberataque, los ataques de fuerza bruta se prueban y examinan y siguen siendo una táctica popular entre los piratas informáticos.

Existen varios tipos de métodos de  ataque de fuerza bruta que permiten a los atacantes obtener acceso no autorizado y robar datos de usuarios.

Un simple ataque de fuerza bruta ocurre cuando un pirata informático intenta adivinar las credenciales de inicio de sesión de un usuario manualmente sin usar ningún software. Esto generalmente se realiza a través de combinaciones de contraseñas estándar o códigos de número de identificación personal (PIN). 

Estos ataques son simples porque muchas personas siguen usando contraseñas débiles, como "contraseña123" o "1234,", o practican un mal protocolo de contraseñas, como usar la misma contraseña para varios sitios web. Las contraseñas también pueden ser adivinadas por piratas informáticos que realizan un trabajo de reconocimiento mínimo para descifrar la contraseña potencial de una persona, como el nombre de su equipo deportivo favorito.

Un ataque de diccionario es una forma básica de piratería informática de fuerza bruta en la que el atacante selecciona un objetivo y luego prueba las posibles contraseñas contra el nombre de usuario de esa persona. El método de ataque en sí no se considera técnicamente un ataque de fuerza bruta, pero puede desempeñar un papel importante en el proceso de descifrado de contraseñas de una persona malintencionada. 

El nombre "ataque adicional" proviene de piratas informáticos que pasan por diccionarios y modifican palabras con caracteres y números especiales. Este tipo de ataque suele llevar mucho tiempo y tiene una baja probabilidad de éxito en comparación con los métodos de ataque más nuevos y efectivos.

Un ataque híbrido de fuerza bruta es cuando un pirata informático combina un método de ataque de diccionario con un simple ataque de fuerza bruta. Comienza con que el pirata informático conozca un nombre de usuario, luego lleve a cabo un ataque al diccionario y métodos simples de fuerza bruta para descubrir una combinación de inicio de sesión de cuenta. 

El atacante comienza con una lista de posibles palabras, luego experimenta con combinaciones de caracteres, letras y números para encontrar la contraseña correcta. Este enfoque permite a los piratas informáticos descubrir contraseñas que combinan palabras comunes o populares con números, años o caracteres aleatorios, como "SanDiego123" o "Rover2020."

Un ataque de fuerza bruta inversa ve a un atacante comenzar el proceso con una contraseña conocida, que generalmente se descubre a través de una violación de la red. Utilizan esa contraseña para buscar una credencial de inicio de sesión coincidente utilizando listas de millones de nombres de usuario. Los atacantes también pueden usar una contraseña débil de uso común, como "Contraseña123,", para buscar una coincidencia en una base de datos de nombres de usuario.

Relleno de credenciales de las presas en el protocolo de contraseñas débiles de los usuarios. Los atacantes recopilan combinaciones de nombre de usuario y contraseña que han robado, que luego prueban en otros sitios web para ver si pueden obtener acceso a cuentas de usuario adicionales. Este enfoque es exitoso si las personas usan la misma combinación de nombre de usuario y contraseña o reutilizan contraseñas para varias cuentas y perfiles de redes sociales.

Adivinar la contraseña del sitio web de redes sociales o correo electrónico de un usuario puede ser un proceso que lleva mucho tiempo, especialmente si las cuentas tienen contraseñas seguras. Para simplificar el proceso, los piratas informáticos han desarrollado software y herramientas para ayudarlos a descifrar contraseñas.

Las herramientas de ataque de fuerza bruta incluyen aplicaciones de descifrado de contraseñas, que descifran combinaciones de nombre de usuario y contraseña que serían extremadamente difíciles de descifrar por sí solas. Las herramientas de ataque de fuerza bruta comúnmente utilizadas incluyen:

1. Aircrack-ng: conjunto de herramientas que evalúan la seguridad de la red Wi-Fi para monitorear y exportar datos y atacar a una organización a través de métodos como puntos de acceso falsos e inyección de paquetes.
2. John the Ripper: Una herramienta de recuperación de contraseñas de código abierto que admite cientos de tipos de cifrado y hash, incluidas contraseñas de usuario para macOS, Unix y Windows, servidores de bases de datos, aplicaciones web, tráfico de red, claves privadas cifradas y archivos de documentos.

Estos tipos de software pueden adivinar rápidamente combinaciones que identifican contraseñas débiles y descifran múltiples protocolos informáticos, módems inalámbricos y dispositivos de almacenamiento cifrados.

Un ataque de fuerza bruta también puede exigir grandes cantidades de poder informático. Para combatir eso, los piratas informáticos han desarrollado soluciones de hardware que simplifican el proceso, como combinar la unidad de procesamiento central (CPU) y la unidad de procesamiento de gráficos (GPU) de un dispositivo. Agregar el núcleo de computación de la GPU permite que un sistema procese varias tareas simultáneamente y que los piratas informáticos descifren contraseñas considerablemente más rápido.

Las personas y organizaciones pueden emplear varias tácticas para protegerse contra vulnerabilidades conocidas como el Protocolo de escritorio remoto (RDP). El criptoanálisis, el estudio de los cifrados y la criptografía, también puede ayudar a las organizaciones a fortalecer sus defensas de seguridad y proteger su información confidencial de ataques de fuerza bruta para la seguridad de contraseñas.

La mejor manera de defenderse contra los ataques de fuerza bruta que tienen como objetivo las contraseñas es hacer que estas sean lo más difíciles de descifrar posible. Los usuarios finales tienen un papel clave que desempeñar en la protección de sus datos y los de su organización mediante el uso de contraseñas más seguras y el cumplimiento de prácticas recomendadas estrictas de contraseñas. Esto hará que sea más difícil y lento para los atacantes descubrir sus contraseñas, lo que podría hacer que se den por vencidos. 

Las mejores prácticas para contraseñas más seguras incluyen:

1. Crear contraseñas seguras y multicaracteres: una regla general básica es que las contraseñas deben tener más de 10 caracteres e incluir letras mayúsculas y minúsculas, símbolos y números. Esto aumenta enormemente la dificultad y el tiempo que lleva descifrar una contraseña de unas pocas horas a varios años, a menos que un pirata informático tenga una supercomputadora a la mano.
2. Usar frases de contraseña elaboradas: si bien usar más caracteres es una buena práctica para la contraseña, algunos sitios web pueden tener restricciones sobre la longitud de una contraseña. Como tal, utilice frases de contraseña complejas para evitar que los atacantes tengan éxito con ataques simples al diccionario. Las frases de contraseña son múltiples palabras o segmentos con caracteres especiales que las hacen más difíciles de descubrir.
3. Crear reglas de creación de contraseñas: otra buena táctica de contraseñas es truncar las palabras para que parezcan sin sentido para otras personas que las leen lo que aumenta la seguridad de las contraseñas. Esto se puede hacer quitando vocales o solo usando las primeras dos letras de palabras y luego creando una frase que tenga sentido a partir de una cadena de palabras acortadas. Por ejemplo, acortar la palabra "esperanza" a "hp" o "azul" a "bl." 
4. Evite las contraseñas comunes: las contraseñas utilizadas con frecuencia, como un nombre, un equipo deportivo o simplemente una "contraseña", son extremadamente riesgosas. Los piratas informáticos conocen palabras o frases comunes que las personas usan en sus contraseñas e implementan tácticas basadas en estas palabras comunes para piratear las cuentas de las personas.
5. Utilice contraseñas únicas para cada cuenta: el relleno de credenciales ve a los piratas informáticos probar contraseñas que se han utilizado en sitios web para verificar si se están utilizando en otro lugar. Infortunadamente, esto resulta muy exitoso, ya que las personas con frecuencia reutilizan sus contraseñas para cuentas de correo electrónico, perfiles de redes sociales y sitios web de noticias. Es importante que nunca use la misma contraseña para dos sitios web o cuentas.
6. Usar administradores de contraseñas: un administrador de contraseñas hace que sea más fácil para las personas crear contraseñas seguras y únicas para todos los sitios web en los que inician sesión. Crea y rastrea automáticamente los inicios de sesión de los usuarios en múltiples sitios web, lo que permite al usuario acceder a todas sus cuentas simplemente iniciando sesión en el administrador de contraseñas. Con un administrador de contraseñas, los usuarios pueden crear contraseñas largas y complejas, almacenarlas de manera segura y no correr el riesgo de olvidar, perder o que les roben contraseñas.

Hay poco punto en que los usuarios sigan las mejores prácticas de contraseñas seguras si su organización no es capaz de proteger sus datos de ataques de fuerza bruta. La responsabilidad también recae en la organización para proteger a sus usuarios y reforzar la seguridad de red a través de tácticas como: 

1. Utilice altas tasas de cifrado: cifrar las contraseñas del sistema con las tasas de cifrado más altas disponibles, como 256 bits, limita las posibilidades de que un ataque de fuerza bruta tenga éxito y hace que las contraseñas sean más difíciles de descifrar.
2. Salt the hash: Saltear el hash es una táctica de criptografía que permite a los administradores del sistema fortalecer sus hashes de contraseña. Agregan una sal, letras y números aleatorios almacenados en una base de datos separada, a una contraseña para fortalecerla y protegerla.
3. Use la autenticación multifactor (MFA): cuando agrega autenticación a un usuario, elimina la dependencia de las contraseñas. Con la MFA, después de que un usuario inicie sesión con su contraseña, se le pedirá que proporcione pruebas adicionales de que es quien dice ser, como un código enviado por SMS o en su dispositivo o un escaneo de huella digital. Esto puede evitar que un pirata informático obtenga acceso a la cuenta de un usuario o al sistema comercial, incluso si tiene las credenciales de inicio de sesión del usuario.
4. Limitar los intentos de inicio de sesión: limitar la cantidad de veces que un usuario puede volver a ingresar sus credenciales de contraseña reduce la tasa de éxito de los ataques de fuerza bruta. Evitar otro intento de inicio de sesión después de dos o tres inicios de sesión fallidos puede disuadir a un atacante potencial, mientras que bloquear una cuenta completamente después de numerosos intentos de inicio de sesión fallidos evita que el pirata informático pruebe repetidamente combinaciones de nombre de usuario y contraseña en un ataque de fuerza bruta.
5. Utilice CAPTCHA para admitir inicios de sesión: Agregar un cuadro CAPTCHA al proceso de inicio de sesión puede impedir que un atacante utilice computadoras para un ataque de fuerza bruta y acceder a una cuenta de usuario o red comercial. Las opciones CAPTCHA incluyen escribir imágenes de texto que aparecen en la pantalla, marcar varias casillas de imágenes e identificar objetos que aparecen. 
6. Usar una lista negra de protocolo de Internet (IP): implementar una lista negra de IP utilizadas en ataques ayuda a proteger una red comercial y a sus usuarios de atacantes conocidos. Es importante mantener esta lista negra actualizada para evitar nuevos ataques.
7. Eliminar cuentas no utilizadas: las cuentas no utilizadas o no mantenidas ofrecen una puerta abierta para que los ciberdelincuentes inicien un ataque contra una organización. Las empresas deben asegurarse de eliminar regularmente las cuentas no utilizadas o, idealmente, eliminar las cuentas tan pronto como los empleados abandonen la organización para evitar que se utilicen en un ataque de fuerza bruta. Esto es especialmente importante para los empleados con estado de permiso de alto nivel o derechos de acceso a información corporativa confidencial.

Además de la concientización del usuario y la seguridad sólida de TI, las empresas deben asegurarse de que los sistemas y el software siempre se mantengan actualizados y proporcionen soporte continuo a los empleados. 

1.  Proporcionar educación sobre contraseñas: es importante que los usuarios comprendan cómo son las buenas prácticas de seguridad y uso de contraseñas y que reconozcan los signos reveladores de los ciberataque. También necesitan educación y actualizaciones regulares para mantenerse al tanto de las últimas amenazas y reforzar las buenas prácticas. Las herramientas o bóvedas del administrador de contraseñas corporativas también permiten a los usuarios guardar contraseñas complejas y eliminar el riesgo de perder sus contraseñas, lo que podría poner en riesgo los datos corporativos.
2. Monitoree las redes en tiempo real: los ataques de  fuerza bruta pueden detectarse a través de actividades reveladoras, como múltiples intentos de inicio de sesión e inicios de sesión desde nuevos dispositivos o ubicaciones inusuales. Las empresas deben monitorear constantemente sus sistemas y redes para detectar comportamientos sospechosos o inusuales y bloquear inmediatamente la actividad potencialmente maliciosa.

El cifrado es una táctica de ciberseguridad que codifica los datos para que aparezcan como una cadena de caracteres aleatorios. La clave de cifrado correcta descifrará los datos. 

Una clave de cifrado de 128 bits  requeriría dos a la potencia de 128 combinaciones para descifrar, lo que es imposible para la mayoría de las computadoras potentes. La mayoría de los sitios web y navegadores web lo utilizan. El cifrado de 256 bits hace que la protección de datos sea aún más fuerte, hasta el punto de que incluso una computadora poderosa que pueda verificar miles de millones de combinaciones cada segundo nunca lo descifraría. Esto hace que el cifrado de 256 bits sea completamente inmune a los ataques de fuerza bruta.