:format(avif))
:format(avif))
Un ataque con fuerza bruta prueba millones de nombres de usuarios y contraseñas por segundo contra una cuenta hasta que da con la combinación ganadora. Ese es su punto fuerte. Sin embargo, aunque parecen simples, suelen funcionar muy bien.
Índice:
Hoy vamos a explicar qué es un ataque de fuerza bruta, cómo funciona y si los sistemas de seguridad actuales pueden prevenirlos.
¿Cómo funciona un ataque de fuerza bruta?
Los ataques de fuerza bruta son simples técnicamente y ofrecen muy buenos resultados. En resumen, los ciberdelincuentes recurren a ellos para irrumpir en cuentas ajenas.
Es el ataque favoritos de los hackers debido a su sencillez. Son sus ordenadores quienes realizan todo el trabajo y solo deben esperar hasta que acierten con el nombre de usuario y contraseña de la cuenta objetivo. Durante un ataque de fuerza bruta, el ordenador trabaja a toda velocidad, probando infinitas combinaciones.
¿Cómo de rápido es un ataque de fuerza bruta?
Su velocidad depende de:
La complejidad de tu contraseña.
La potencia del equipo del ciberdelincuente.
Aquí tienes una rápida guía para ambos conceptos
La velocidad depende la complejidad de la contraseña:
Los programas empleados en los ataques de fuerza bruta pueden probar entre 10000 y mil millones de contraseñas por segundo.
En un teclado estándar hay 94 números, letras y símbolos. En total, pueden generar unos doscientos mil millones de contraseñas de 8 caracteres.
Cuanto más aleatoria y larga sea una contraseña, mejor. Una contraseña de 9 caracteres que incluye un caracter único se descubre en 2 horas; una sin este caracter, ¡2 minutos!
En comparación, una contraseña de 12 caracteres mixtos conllevaría un siglo.
En conclusión
Una contraseña compuesta de minúsculas produce menos combinaciones que una contraseña que combina caracteres aleatorios: unos 300 millones para ser exactos. Además, un ordenador no necesita mucho tiempo para adivinar una contraseña: 8,5 horas en un Petium 100 y un segundo en un superordenador.
(Un Pentium 100 prueba unas 10 000 contraseñas por segundo. Un superordenador, 1 000 000 000 por segundo). Es mejor pensar bien tus contraseñas.
Aumenta tu seguridad en Internet
Almacena y gestiona tus objetos de valor digitales de forma segura
Empieza la prueba gratisTipos de ataques de fuerza bruta
Los ataques de fuerza bruta son muy variados. A continuación, una lista con los tipos más utilizados por los hackers a la hora de acceder a cuentas online.
Ataque de fuerza bruta simple
El ataque de fuerza bruta simple, como su nombre indica, es el más básico de todos los tipos. Durante un ataque de este tipo, el hacker intenta adivinar la contraseña del usuario de forma manual, sin emplear herramientas de software. El hacker emplea contraseñas sencillas, como 123456, contraseña o contraseña123. Por desgracia, suelen dar resultado, pues hay mucha gente que protege sus cuentas con contraseñas supersimples.
Ataque de diccionario
Mientras que un ataque de diccionario no se ajusta estrictamente a los criterios para ser calificado como un ataque de fuerza bruta, los dos están estrechamente relacionados. Un ataque de diccionario es un método que intenta descubrir una contraseña mediante una enorme cantidad de palabras y variaciones de las mismas. Para conseguirlo, el hacker emplea un programa que realiza miles de intentos por segundo. Con el paso del tiempo, los ataques de diccionario han visto disminuida su popularidad debido a la aparición de nuevos ataques.
Ataque de fuerza bruta híbrido
Como sugiere su nombre, un ataque de fuerza bruta híbrido combina el ataque de diccionario con un ataque de fuerza bruta para mejorar sus resultados. Suelen recurrir a él cuando ya conocen el nombre de usuario.
La esencia del ataque híbrido es que está diseñado para probar contraseñas poco comunes, como MonkeyBig123. En la mayoría de casos, los atacantes comienza con una lista de palabras antes de alternar caracteres y añadir símbolos especiales o números para aumentar las variaciones.
Ataque de fuerza bruta inverso
Es lo contrario a ataque de fuerza bruta híbrido. Un ataque de fuerza bruta inverso requiere que el atacante conozca la contraseña con antelación para descubrir el nombre de usuario.
El ataque obtiene la contraseña de alguna base de datos filtrada, y la emplea para dar con el nombre de usuario asociado a la misma.
Relleno de credenciales
Relleno de credenciales es el tipo de ataque que los hackers llevan a cabo cuando ya disponen de un conjunto de nombres de usuario y contraseñas. Los hackers pueden obtener bases de datos completas de credenciales de inicio de sesión y las utilizan en las cuentas a las que intentan acceder. Este tipo de ataque puede resultar devastador si el atacante emplea las contraseñas en varias cuentas.
Ataque de tabla arcoíris
Un ataque de tabla arcoíris es un método que emplea tablas arcoíris para dar con las contraseñas de una base de datos. Los sitios web y las aplicaciones no almacenan las contraseñas en texto plano, sino que las cifran con hashes. Una vez que la contraseña se utiliza para iniciar sesión, se convierte inmediatamente en un hash. La próxima vez que el usuario inicie sesión utilizando sus contraseñas, el servidor comprobará si la contraseña coincide con el hash creado anteriormente. Si los dos hashes coinciden, se autentica al usuario. Las tablas utilizadas para almacenar los hash de las contraseñas se conocen como tablas arcoíris.
El hacker debe tener en sus manos dicha tabla arcoíris para lanzar el ataque de tabla arcoíris. No hace falta mencionar que estas se pueden obtener en la dark web. Durante el ataque, los ciberdelincuentes usan la tabla para descifrar el hash de las contraseñas y obtener acceso a la contraseña sin encriptar.
¿Qué hay detrás de los ataques de fuerza bruta?
Los ataques de fuerza bruta son solo el comienzo. En la mayoría de los casos, los ataques de fuerza bruta sirven para que los atacantes consigan un punto de entrada no autorizado a una red. Una vez que consiguen el acceso deseado, los hackers despliegan más ataques de fuerza bruta para aumentar los privilegios dentro de la red y poder hacer más daño o acceder a servidores y bases de datos.
¿Es ilegal un ataque de fuerza bruta?
El ataque de fuerza bruta solo es legal en el caso de estar evaluando un sistema de seguridad con el consentimiento del propietario.
Un ataque de fuerza bruta se utiliza para robar credenciales, otorgando acceso no autorizado a cuentas bancarias, suscripciones, archivos sensibles y demás. Así que sí, es ilegal.
Cómo prevenir un ataque de fuerza bruta
Empresas y particulares pueden protegerse de un ataque de fuerza bruta de varias formas. El quid del ataque de fuerza bruta es el tiempo. Algunos ataques pueden tardar semanas o incluso meses en tener éxito. La mejor defensa es conseguir que este tiempo aumente para conseguir que desistan en su intento.
Usa contraseñas únicas y complejas
Las contraseñas complejas suelen ser largas y con símbolos especiales, números, mayúsculas y minúsculas. Una contraseña fuerte y única utilizada para proteger un punto de entrada puede tardar cientos de años en descifrarse. Por lo tanto, siempre se recomienda utilizar una contraseña de al menos 12 caracteres, con una buena mezcla de números y símbolos especiales.
Igual de importante es nunca repetir una misma contraseña en varias cuentas. Esto solo consigue que se incremente la probabilidad de hackeo. Es como tener una misma llave para abrir todas las puertas. Si un ciberdelincuente consigue dicha contraseña, todas tus cuentas caerán en sus manos.
Una de las mejores formas de crear contraseñas seguras y únicas es utilizar un generador de contraseñas, que está diseñado para crear contraseñas complejas y difíciles de descifrar bajo demanda.
Establece la MFA en cuanto puedas
La autenticación multifactor es una capa de seguridad extra para mantener a salvo tu identidad. Hoy día, la mayoría de servicios online ofrecen esta posibilidad. En la mayoría de los casos, la AMF funciona a través de aplicaciones de autenticación o mensajes de texto. Con la MFA activada en tus cuentas, los atacantes no tendrán forma de acceder a nada, incluso si consiguen adivinar tu nombre de usuario y contraseña, pues necesitan tu dispositivo para autenticarse.
Evita servicios que no recurran al cifrado
El cifrado es obligatorio cuando se habla de protección de datos. Cualquier proveedor de servicios online que se precie protege todos tus datos con cifrado, incluyendo nombre de usuario y contraseña.
Sin embargo, estamos acostumbrados escuchar hablar de plataformas online que van a lo fácil, y almacenan contraseñas y datos en texto plano. Un auténtico desastre.
Antes de registrarte en cualquier servicio online, asegúrate de que el proveedor emplea cifrado y otras medidas de ciberseguridad para proteger la información de sus clientes.
Cifrado XChaCha20
En resumen, el cifrado oculta tus datos para que solo las partes autorizadas puedan acceder a ellos. Los algortimos de cifrado convierten datos legibles, como contraseñas y nombres de usuario, en un galimatías. Incluso si te roban las credenciales, necesitarán la clave criptográfica, la cual es muy difícil de obtener.
NordPass utiliza la avanzada tecnología de cifrado XChaCha20, lo que lo convierte en uno de los gestores de contraseñas más seguros. XChaCha20 también admite la clave de 256 bits, que es el cifrado más potente disponible actualmente. Con el aval de Google y Cloudfare, este nivel de cifrado es tan avanzado que un superordenador tardaría siglos en hackearlo.
Sistema de seguridad total
El cifrado es solo una parte de una estrategia de seguridad, por lo que es crucial inspeccionar qué papel juegan los demás aspectos. Cuando cuentas con un algortimo tan potente como XChaXCha20 entre tu sistema de protección, sabes que los atacantes no tienen ninguna oportunidad frente a NordPass.
En realidad, esto es exactamente lo que diferencia a NordPass de los productos que ofrecen funciones conocidas y superficiales. Es un sistema de defensa profundamente complejo construido desde dentro hacia fuera.