Un ataque con fuerza bruta prueba millones de nombres de usuarios y contraseñas por segundo contra una cuenta hasta que da con la combinación ganadora. Ese es su punto fuerte. Sin embargo, aunque parecen simples, suelen funcionar muy bien.
Hoy vamos a explicar qué es un ataque con fuerza bruta, cómo funciona y si los sistema de seguridad actuales pueden prevenirlos.
¿Cómo funciona un ataque con fuerza bruta?
Los ataques con fuerza bruta son simples técnicamente y ofrecen muy buenos resultados. En resumen, los cibercriminales recurren a ellos para irrumpir en cuentas ajenas.
Es el ataque favoritos de los hackers debido a su sencillez. Son sus ordenadores quienes realizan todo el trabajo y solo deben esperara hasta que acierten con el nombre de usuario y contraseña de la cuenta objetivo. Durante un ataque con fuerza bruta, el ordenador trabaja a toda velocidad, probando infinitas combinaciones.
¿Cómo de rápido es un ataque con fuerza bruta?
Su velocidad depende de:
La complejidad de tu contraseña.
La potencia del equipo del cibercriminal.
Aquí tienes una rápida guía para ambos conceptos
La velocidad depende la complejidad de la contraseña:
Los programas empleados en los ataques con fuerza bruta pueden probar entre 10000 y mil millones de contraseñas por segundo.
Hay 94 números, letras y símbolos en un teclado estándar, y son capaces de generar alrededor de doscientas mil millones de contraseñas de 8 caracteres.
Cuanto más aleatoria y larga sea una contraseña, mejor. Una contraseña de 9 caracteres que incluye un caracter único se descubre en 2 horas; una sin este caracter, ¡2 minutos!
En comparación, una contraseña de 12 caracteres mixtos conllevaría un siglo.
Lo importante
Una contraseña compuesta de minúsculas produce menos combinacioes que una contraseña que combina caracteres aleatorios: unos 300 millones para ser exactos. Además, un ordenador no necesita mucho tiempo para adivinar una contrasea: 8.5 horas en un Petium 100 y un segundo en un superordenador.
(Un Pentium 100 prueba unas 10.000 contraseñas por segundo. Un superordenador, 1.000.000.000 por segundo). Es mejor pensar bien tus contraseñas.
Tipos de ataques con fuerza bruta
Los ataques con fuerza bruta son muy variados. A continuación, una lista con los tipos más utilizados por los hackers a la hora de acceder a cuentas online.
Ataque con fuerza bruta simple
Es el más báscio de todos y consiste en adivinar la contraseña sin recurrir a programas especializados. El hacker emplea contraseñas sencillas, como 123456, password o password123. Por desgracia, suelen dar resultado, pues hay mucha gente que protege sus cuentas con contraseñas supersimples.
Ataque de diccionario
Aunque ataque de diccionario no entra dentro de ataque con fuerza bruta, guardia relación. Un ataque con diccionario es un método que intenta descubrir una contraseña mediante una enorme cantidad de palabras y variaciones de las mismas. Para conseguirlo, el hacker emplea un programa que realiza miles de intentos por segundo. Con el paso del tiempo, los ataques con diccionario han visto disminuida su popularidad debido a la aparición de nuevos ataques.
Ataque con fuerza bruta híbrido
Como sugiere su nombre, un ataque con fuerza bruta híbrido combina el ataque con diccionario con un ataque con fuerza bruta para mejorar sus resultados. Suelen recurrir a él cuando ya conocen el nombre de usuario.
La esencia del ataque híbrido es que está diseñado para probar contraseñas poco comunes, como MonkeyBig123. En la mayoría de casos, los atacantes comienza con una lista de palabras antes de alternar caracteres y añadir símbolos especiales o números para aumentar las variaciones.
Ataque con fuerza bruta inverso
Es lo contrario a ataque con fuerza bruta híbrido. Un ataque con fuerza bruta inverso requiere que el atacante conozca la contraseña con antelación para descubrir el nombre de usuario.
El ataque obtiene la contraseña de alguna base de datos filtrada, y la emplea para dar con el nombre de usuario asociado a la misma.
Relleno de credenciales
Relleno de credenciales es el tipo de ataque que emplean cuando ya conocen los nombres de usuarios y contraseñas de antemano. Los hackers pueden obtener bases de datos completas de credenciales de inicio de sesión y las utilizan en las cuentas a las que intentan acceder. Este tipo de ataque puede resultar devastador si el atacante emplea las contraseñas en varias cuentas.
Ataque tabla arcoíris
Un ataque tabla arcoíris es un método que emplea tablas arcoíris para dar con las contraseñas de una base de datos. Las páginas web y apps no almacenan contraseñas en formato de texto; la encriptan. Una vez la contraseña se emplea para iniciar sesión, se transforma en hash. Cuando vuelve a iniciar sesión, el servidor comprueba si la contraseña se corresponde con el hash para autenticar al usuario. Las tablas usadas para almacenas las contraseñas hash se conocen como tabla arcoíris.
El hacker debe tener en sus manos dicha tabla arcoíris para lanzar el ataque con tabla arcoíris. Huelga decir que estas pueden comprar en la dark web. Durante el ataque, los cibercriminales usan la tabla para desencriptar el hash de las contraseñas y ganar acceso a la contraseña sin encriptar.
¿Qué hay detrás de los ataques con fuerza bruta?
Los ataques con fuerza bruta son solo el comienzo. En la mayoría de casos, sirven para conseguir acceso no autorizado a una red antes de continuar con otro ataque con fuerza bruta para aumentar susu privilegios dentro de dicha red, haciendo más daño o consiguiendo acceso a los servidores y bases de datos.
¿Es ilegal un ataque con fuerza bruta?
El ataque con fuerza bruta solo es legal en el caso de estar evaluando un sistema de seguridad con el consentimiento del propietario.
Un ataque con fuerza bruta se utiliza para robar credenciales, otorgando acceso no autorizado a cuentas bancarias, suscripciones, archivos sensibles y demás. Así que sí, son ilegales.
Cómo prevenir un ataque con fuerza bruta
Empresas y particulares pueden protegerse de un ataque con fuerza bruta de varias formas. Este tipo de ataques requiere tiempo, pues algunos tardan semanas o meses en salir adelante. La mejor defensa es conseguir que este tiempo aumente para conseguir que desistan en su intento.
USa contraseñas únicas y complejas
Las contraseñas complejas suelen ser largas y con símboloes especiales, números, mayúsculas y minúsculas. Una contraseña única tardará años en ser craqueada. Además, recurrir a contraseñas con al menos 12 caracteres aleatorios es lo ideal.
Igual de importante es nunca repetir una misma contraseña en varias cuentas. Esto solo consigue que se incremente la probabilidad de hackeo. Es como tener una misma llave para abrir todas las puertas. Si un cibercriminal consigue dicha contraseña, todas tus cuentas caerán en sus manos.
Una forma de dar con una contraseña fuerte y compleja es recurriendo a un generador de contraseñas, el cual ha sido diseñado para crear contraseñas complejas difíciles de craquear.
Establece un MFA en cuanto puedas
La autenticación multifactor es una capa de seguridad extra para mantener a salvo tu identidad. Hoy día, la mayoría de servicios en línea ofrecen esta posibilidad. MFA funcia a través de apps de autenticación o mensajes de texto. Con un MFa activado en tu cuenta, los atacantes no tendrán forma de acceder a nada incluso si consiguen adivinar tu nombre de usuario y contraseña, pues necesitan tu dispositivo para autenticarse.
Evita servicios que no recurran a la encriptación
La encriptación es obligatoria cuando se habla de protección de datos. Cualquier proveedor de servicios online que se precie protege todos tus datos con encriptación, incluyendo nombre de usuario y contraseña.
Sin embargo, estamos acostumbrados escuchar hablar de plataformas online que van a lo fácil, y almacenan contraseñas y datos en formato de texto. Un auténtico desastre.
Antes de registrarte en cualquier servicio online, asegúrate de que el proveedor emplea encriptación y otras medidas de ciberseguridad para proteger la información de sus clientes.
Cifrado XChaCha20
En resumen, la encriptación oculta tus datos para que solo las partes autorizadas puedan acceder a ellos. Los algortimos de encriptación convierten datos legibles, como contraseñas y nombres de usuario, en un galimatías. Incluso si te roban las credenciales, necesitarán la clave criptográfica, la cual es muy difícil de obtener.
NordPass emplea XChaCha20 para destacar como uno de los gestores de contraseñas más seguros del mercado. XChaXCha20 soporta la clave 256-bit, la cual es la encriptación más potente disponible. Con el aval de Google y Cloudfare, este nivel de encriptación es tan avanzado que un superordenador tardaría siglos en hackearlo.
Sistema de seguridad total
La encriptación es una parte de la estrategia de seguridad. También es crucial inspeccionar todos los demás aspectos. Cuando cuentas con un algortimo tan potente como XChaXCha20 entre tu sistema de protección, sabes que los atacantes no tienen ninguna oportunidad frente a NordPass.
A decir verdad, lo anterior es lo que hace destacar a NordPass de otros productos similares; se trata de un complejo y profundo sistema de defensa que no deja nada al azar.