Introducción al ataque por fuerza bruta
Aunque pueda sonar tosco y poco sofisticado, el pirateo por fuerza bruta se encuentra entre los tipos más comunes de violaciones de la ciberseguridad, y los ciberdelincuentes emplean este sencillo ataque de forma habitual. En esencia, un ataque de fuerza bruta consiste en "adivinar" el nombre de usuario y la contraseña de un usuario para acceder a cuentas y redes sensibles. Sin embargo, su elevada tasa de éxito se atribuye menos a las conjeturas humanas y más a los robots automatizados que pueden realizar muchos procesos para encontrar la combinación adecuada con éxito.
Pero, ¿cómo funcionan los ataques de fuerza bruta y cómo pueden usted y su organización reconocerlos y prevenirlos? Aquí exploramos esas preguntas y otras más.
Definición de ataque por fuerza bruta
Como uno de los primeros métodos de pirateo informático, los ciberataques de fuerza bruta siempre se han dirigido a personas con combinaciones débiles de usuario y contraseña. En los primeros ejemplos, esto se conseguía con simples conjeturas y deducciones humanas, a menudo aprovechando información personal ya conocida para obtener acceso a cuentas y redes.
Por ejemplo, los ciberdelincuentes se aprovechan a menudo de contraseñas débiles (1234, contraseña, etc.) y de nombres de usuario comunes que pueden asociarse fácilmente con información pública disponible sobre el usuario (nombre de la mascota, nombre de la madre, cumpleaños, etc.). Una vez que acceden, los ciberdelincuentes también se centran en los perezosos hábitos de seguridad consistentes en utilizar las mismas contraseñas en varios sitios o cuentas.
Hoy en día, sin embargo, los ciberdelincuentes disponen de bots cada vez más sofisticados y de listas fácilmente disponibles de credenciales de uso común, o incluso de credenciales de usuarios reales recopiladas en violaciones anteriores, mediante técnicas de fuerza bruta. Estas herramientas y recursos de ataque por fuerza bruta permiten a los ciberdelincuentes probar varias combinaciones hasta encontrar la información de inicio de sesión correcta o posibilitan el acceso instantáneo a cuentas cuyas contraseñas y nombres de usuario no se han cambiado tras una brecha de seguridad.
En todos los casos anteriores, los ciberdelincuentes intentarán robar más información, infectar sitios y redes con malware y/o interrumpir el negocio. En algunos casos, esto puede significar que un ataque de fuerza bruta sea casi instantáneo, mientras que en otros, los ataques pueden prolongarse durante muchos días mientras un bot intenta descifrar el código. De cualquier forma, un ataque exitoso significa lo mismo, acceso no autorizado a datos y redes sensibles.
Diferentes tipos de ataques de fuerza bruta
Los profesionales de la ciberseguridad conocen bien una amplia gama de ataques de fuerza bruta existentes. Dado que este ataque es relativamente menos laborioso que otros tipos, los nuevos métodos evolucionan constantemente. Algunos de los ejemplos más comunes de ataques de fuerza bruta incluyen:
Ataque simple de fuerza bruta
El tipo más sencillo de ataque de fuerza bruta es aquel en el que los ciberdelincuentes intentan adivinar manualmente las credenciales de inicio de sesión de un usuario. Aunque esto pueda parecer casi imposible, el hecho de que muchos usuarios sigan confiando en contraseñas débiles y nombres de usuario comunes significa que los ciberdelincuentes aún pueden tener éxito, con una investigación mínima necesaria para obtener acceso a cuentas personales y redes de organizaciones.
Ataque al diccionario
Otro enfoque sencillo de los métodos de fuerza bruta es el ataque por diccionario. Los ciberdelincuentes consultan diccionarios y modifican palabras para encontrar la contraseña correcta vinculada a un nombre de usuario objetivo. Estas técnicas no son estrictamente exclusivas de los ataques de fuerza bruta, sino que forman parte del conjunto de herramientas que utilizan los ciberdelincuentes para descifrar contraseñas débiles.
Relleno de credenciales
Siguiendo con el tema de las combinaciones débiles de nombre de usuario y contraseña, el relleno de credenciales pretende aprovecharse de los usuarios que utilizan repetidamente las mismas credenciales en varios sitios o aplicaciones. Habiendo robado ya credenciales de otras zonas, los ciberdelincuentes probarán las mismas combinaciones en varias cuentas. Tiene éxito cuando los usuarios utilizan contraseñas idénticas o similares para muchos o todos sus inicios de sesión.
Ataque híbrido de fuerza bruta
Combinando los ataques de fuerza bruta simples con el ataque de diccionario, los hackeos de fuerza bruta híbridos suelen comenzar cuando los ciberdelincuentes ya conocen un nombre de usuario específico. A continuación, utilizan tanto conjeturas como técnicas de diccionario para descubrir una contraseña que puede ser una combinación de palabras conocidas más caracteres, letras y números.
Ataque de fuerza bruta inverso
Partiendo esta vez de una contraseña conocida o común, los ataques de fuerza bruta inversa ven cómo los ciberdelincuentes intentan vincular esas credenciales a nombres de usuario concretos buscando en grandes bases de datos. Por ejemplo, una contraseña débil puede vincularse fácilmente a muchos nombres de usuario conocidos, lo que da al atacante muchas opciones con las que trabajar.
Diferentes tipos de herramientas de ataque por fuerza bruta
Entre las herramientas conocidas de ataque por fuerza bruta se incluyen:
- THC-Hyrda - Como herramienta de código abierto, THC-Hyrda recorre numerosas combinaciones de contraseñas utilizando técnicas simples de fuerza bruta o de diccionario. En constante desarrollo, puede atacar múltiples sistemas operativos y más de 50 protocolos.
- Aircrack-ng - Este conjunto de herramientas intenta evaluar la seguridad de las redes Wi-Fi y exportar datos que pueden utilizarse para crear puntos de acceso falsos en los que recopilar credenciales.
- John the Ripper - Otra herramienta de fuerza bruta de código abierto, John the Ripper es una herramienta de recuperación de contraseñas que soporta cientos de cracks de contraseñas de usuario. Este ataque suele aplicarse a las contraseñas de usuario de macOS, Unix y Windows, así como al soporte genérico de claves privadas cifradas y archivos de documentos, servidores de bases de datos, aplicaciones web y tráfico de red.
Ejemplos de ataques de fuerza bruta
Muchos ejemplos de fuerza bruta de alto perfil han aparecido en las noticias, y muchos más que las grandes organizaciones probablemente han encubierto. Algunos de los ataques más conocidos son:
- 2009 - Los ciberdelincuentes utilizaron scripts automatizados para descifrar contraseñas en cuentas de Yahoo.
- 2015 - Los atacantes de fuerza bruta vulneraron casi 20.000 cuentas de Dunkin Donuts.
- 2017 - Los ciberdelincuentes utilizaron la fuerza bruta para acceder a las redes internas de los Parlamentos británico y escocés.
- 2018 - Un fallo de Firefox expuso las contraseñas maestras a ataques de fuerza bruta.
- 2021 - Los ciberdelincuentes accedieron a las redes de prueba de T-Mobile y utilizaron técnicas de fuerza bruta para acceder a otros servidores informáticos.
Cómo evitar los ataques de fuerza bruta
La prevención de los ataques de fuerza bruta dentro de una organización se reduce generalmente a la responsabilidad de los usuarios individuales. Sin embargo, también existen buenas prácticas definidas por los equipos de ciberseguridad que pueden ayudar. Desde ambas perspectivas, estos consejos pueden ayudar a prevenir o ralentizar los ataques de fuerza bruta para que los equipos de ciberseguridad puedan identificar y remediar cualquier problema.
Para los usuarios:
- Nunca obtenga contraseñas o nombres de usuario a partir de información que esté disponible públicamente en Internet.
- Utilice tantos caracteres diferentes como sea posible al establecer las contraseñas.
- Utilice una combinación de letras (mayúsculas y minúsculas), números y símbolos para las contraseñas.
- Utilice credenciales diferentes para el inicio de sesión de cada cuenta.
- No utilice patrones comunes ni combinaciones populares.
Para los administradores:
- Asegúrese de que los usuarios de la red siguen los consejos anteriores para crear contraseñas seguras.
- Implemente políticas de bloqueo que bloqueen las cuentas tras varios intentos fallidos de inicio de sesión.
- Implemente retrasos progresivos en los inicios de sesión que bloqueen las cuentas durante breves periodos tras cada inicio de sesión fallido. Esto ayudará a ralentizar los ataques masivos de fuerza bruta.
- Utilice herramientas Captcha para evitar que los robots realicen ataques masivos de fuerza bruta.
- Implemente la autenticación de dos factores en las cuentas especialmente vulnerables a los ciberdelincuentes.
Además, es posible que los equipos de ciberseguridad deseen aplicar medidas de cifrado en los datos más sensibles, lo que dificultará considerablemente el acceso de los ciberdelincuentes, incluso si consiguen penetrar en la red.
Conclusión: ataque por fuerza bruta
La prevención es siempre la mejor defensa, así que tome medidas ahora para asegurar sus sistemas contra las técnicas de ataque de fuerza bruta.
Obtenga más información sobre las soluciones de Mimecast para la detección y prevención de ataques de fuerza bruta.
