Un ataque de fuerza bruta es básicamente un método de prueba y error para intentar adivinar el nombre de usuario, la contraseña o el PIN de otra persona. Implica probar diferentes combinaciones hasta obtener la correcta y de esta forma poder acceder a la cuenta o al sistema de la víctima.
Este es un método de ataque antiguo y poco sofisticado, pero sigue siendo relativamente eficaz y popular entre los piratas informáticos.
Si tiene éxito, el delincuente puede ingresar al sistema haciéndose pasar por un usuario legítimo y permanecer dentro hasta que sea detectado.
Puede usar este tiempo para moverse lateralmente dentro de una red, escalando privilegios, instalar puertas traseras para usarlas en futuros ataques y, por supuesto, robar datos.
Un ataque simple funcionará en sitios que no tienen límites para la cantidad de intentos que se pueden realizar, y con contraseñas fáciles de adivinar.
Pero será inútil si por ejemplo, el sistema de autentificación se bloquea tras tres intentos fallidos o los usuarios utilizan contraseñas complejas.
Implementar un bloqueo de cuenta después de varios intentos fallidos de inicio de sesión puede parar un ataque de fuerza bruta, pero también hacer que un servidor sea presa fácil de ataques de denegación de servicio
Y dado que hoy en día las contraseñas tienen al menos 8 caracteres y generalmente contienen mayúsculas y minúsculas, junto con números y símbolos puede parecer poco práctico.
Si hacemos cuentas, veremos que hace falta probar millones de combinaciones hasta dar con la correcta.
Por ejemplo, para adivinar una contraseña como 78CRxr7RO..T un delincuente tardaría unos 63 años empleando un ordenador común.
Si queréis probar las vuestras, security.org ofrece una herramienta que os indicará si puede ser averiguada mediante un ataque de fuerza bruta o se encuentra en una base de datos de contraseñas filtradas.
Entonces, ¿hacen falta varias generaciones de villanos para intentarlo?
Bueno, en realidad esta gente no lo hace manualmente, los piratas informáticos acostumbran a tirar de algún software.
Por ejemplo, Hashcat, que afirma ser la herramienta de descifrado de contraseñas basada en CPU más rápida.
Es gratis y viene para plataformas Linux, Windows y Mac OS.
Admite varios ataques:
- Ataques de fuerza bruta.
- Ataques combinados.
- Ataques de diccionario.
- Ataques híbridos.
- Ataques de máscara de red.
- Ataques de permutación.
- Ataques basados en reglas.
- Ataques de búsqueda de tablas.
- Ataques de alternancia.
John the Ripper es otra herramienta utilizada por los villanos.
Ha sido una de las opciones favoritas para realizar ataques de fuerza bruta durante mucho tiempo.
La efectividad de estas herramientas de fuerza bruta dependerá en gran medida de la potencia de procesamiento de la máquina utilizada por el perpetrador.
Cuanta más potencia tenga el hardware, más combinaciones por segundo se podrán probar.
Por este motivo, acostumbran a emplear botnets, que pueden alquilarse o comprarse en la web oscura.
Pero a veces, no se complican tanto la vida
Un atacante puede hacerse con listados de correos electrónicos y contraseñas filtrados en alguna brecha de datos, para usarlos en distintos servicios en línea, e intentar que suene la flauta por casualidad.
Sobre todo teniendo en cuenta que muchos usuarios suelen reutilizar los mismos correos electrónicos y contraseñas en más de una cuenta.
Una práctica nada recomendable.
Cómo protegerse contra los ataques de fuerza bruta
Implementar un bloqueo de cuenta después de varios intentos fallidos de inicio de sesión no es efectivo, ya que hace que un servidor sea presa fácil de ataques de denegación de servicio.
Sin embargo, si se realiza con retrasos progresivos, este método se vuelve mucho más efectivo.
Una demora de incluso unos pocos segundos puede debilitar en gran medida la efectividad de un ataque de fuerza bruta.
Los encargados de administrar sistemas de autentificación en servicios en línea, también pueden tomar medidas como bloquear las direcciones IP que han generado demasiados inicios de sesión fallidos.
Los usuarios domésticos podemos disminuir la vulnerabilidad a los ataques de fuerza bruta al elegir contraseñas más largas y complejas.
También se recomienda habilitar la autenticación de dos factores y usar contraseñas únicas para cada servicio.
Si un atacante puede acceder mediante fuerza bruta a la contraseña que un usuario ha establecido para un servicio, ese mismo atacante, puede intentar reciclar este inicio de sesión, para intentar acceder a otros servicios a los que esté suscrito el mismo usuario.
Esto se conoce como relleno de credenciales.
Cuando se utilizan contraseñas complejas, cifrados potentes y autentificación en múltiples factores, los atacantes desisten de este tipo de ataque y suelen optar por otros métodos como la ingeniería social.
