Los ataques de fuerza bruta son sencillos y casi fiables. Los atacantes dejan que un ordenador haga el trabajo -probando diferentes combinaciones de nombres de usuario y contraseñas, por ejemplo- hasta que encuentran una que funciona. La mejor manera de contrarrestar un ataque de fuerza bruta en curso es atraparlo y neutralizarlo: una vez que los atacantes tienen acceso a la red, son mucho más difíciles de atrapar.
Definición de Ataque de Fuerza Bruta
En un “ataque de fuerza bruta”, un hacker utiliza un método rápido para adivinar la contraseña correcta, el PIN o las claves de cifrado. No requiere mucha inteligencia ni el uso de complejos algoritmos: es sólo un juego de adivinanzas. Sin embargo, el ataque requiere ciertos recursos: tiempo y potencia de cálculo. Cuanto más compleja sea la contraseña, más difícil será descifrarla.
Un ataque de fuerza bruta (también conocido como cracking de fuerza bruta) sería el equivalente al ciberataque de probar todas las llaves de tu llavero, y finalmente encontrar la correcta. El 5% de los incidentes de violación de datos confirmados en el último año se derivaron de ataques de fuerza bruta.
Tipos de Ataques de Fuerza Bruta
El ataque de fuerza bruta más básico es un ataque de diccionario, donde el atacante trabaja a través de un diccionario de posibles contraseñas y las intenta todas. Los ataques de diccionario comienzan con algunas suposiciones sobre contraseñas comunes para tratar de adivinarlas de la lista del diccionario. Estos ataques tienden a ser algo anticuados, dado que existen técnicas más nuevas y efectivas.
Los ordenadores recientes fabricados en los últimos 10 años pueden descifrar por fuerza bruta una contraseña alfanumérica de 8 caracteres -letras mayúsculas y minúsculas, números y caracteres especiales- en unas dos horas. Los ordenadores son tan rápidos que pueden descifrar por fuerza bruta un hash de cifrado débil en apenas unos meses. Este tipo de ataques de fuerza bruta se conoce como búsqueda exhaustiva de claves, en la que el ordenador prueba todas las combinaciones posibles de todos los caracteres posibles para encontrar la combinación correcta.
El reciclaje de credenciales es otro tipo de ataque de fuerza bruta que reutiliza nombres de usuario y contraseñas de otras violaciones de datos para intentar entrar en otros sistemas.
El ataque de fuerza bruta inversa utiliza una contraseña común como “contraseña”, y posteriormente intenta forzar un nombre de usuario que vaya con esa contraseña. Dado que “password” sigue siendo una de las contraseñas más comunes del último año, esta técnica tiene más éxito de lo que se cree.
Para resumirlo, podemos identificar los siguientes tipos de ataques de fuerza bruta:
- Ataque simple de fuerza bruta: usa automatización y scripts para adivinar contraseñas
- Ataque de diccionario: intenta combinaciones de palabras y frases comunes
- Relleno de credenciales: utiliza combinaciones de inicio de sesión robadas en una multitud de sitios.
- Ataque de fuerza bruta inversa: el atacante conoce la contraseña y necesita encontrar el nombre de usuario o el número de cuenta.
- Ataque híbrido de fuerza bruta: combina un ataque de diccionario y un ataque de fuerza bruta)
- Password spraying: intentan adivinar la contraseña de una sola cuenta (intenta aplicar una contraseña común a muchas cuentas)
Motivos de los Ataques de Fuerza Bruta
Los ataques de fuerza bruta se producen en las primeras fases de la cadena de ciberataque, normalmente durante las etapas de reconocimiento e infiltración. Los atacantes necesitan acceso o puntos de entrada a sus objetivos, y las técnicas de fuerza bruta son un método de “configurarlo y olvidarlo” para obtener ese acceso. Una vez que han entrado en la red, los atacantes pueden utilizar las técnicas de fuerza bruta para escalar sus privilegios o para ejecutar ataques de descifrado.
Los atacantes también utilizan los ataques de fuerza bruta para buscar páginas web ocultas. Las páginas web ocultas son sitios web que viven en Internet, pero que no están vinculados a otras páginas. Un ataque de fuerza bruta prueba diferentes direcciones para ver si devuelven una página web válida, y buscará una página que puedan explotar. Cosas como una vulnerabilidad de software en el código que podrían utilizar para infiltrarse – como la vulnerabilidad utilizada para infiltrarse en Equifax (¿se acuerdan el caso?), o una página web que contenga una lista de nombres de usuario y contraseñas expuestas al mundo.
Hay poca delicadeza en un ataque de fuerza bruta, por lo que los atacantes pueden automatizar varios ataques para ejecutarlos en paralelo y así ampliar sus opciones de encontrar un resultado positivo -para ellos-.
Herramientas Utilizadas para los Ataques de Fuerza Bruta
Hay herramientas, muchas de ellas integradas en distribuciones de pentesting como Kali Linux, disponibles que funcionan contra una gran variedad de plataformas y protocolos. He aquí algunas de ellas:
- Aircrack-ng: Aircrack-ng es una herramienta de fuerza bruta para contraseñas wifi que está disponible de forma gratuita. Viene con un crackeador de WEP/WPA/WPA2-PSK y herramientas de análisis para realizar ataques a Wi-Fi 802.11 y puede ser utilizado para cualquier NIC que soporte el modo de monitoreo.
- DaveGrohl: DaveGrohl es una herramienta de fuerza bruta para Mac OS X que soporta ataques de diccionario. Tiene un modo distribuido que permite a un atacante ejecutar ataques desde varios ordenadores sobre el mismo hash de la contraseña.
- Hashcat: Hashcat es una herramienta de descifrado de contraseñas basada en la CPU y disponible de forma gratuita. Funciona en sistemas Windows, Mac OS y Linux, y funciona en muchos tipos de ataques, incluyendo fuerza bruta simple, diccionario e híbrido.
- THC Hydra: THC Hydra descifra contraseñas de autenticaciones de red. Realiza ataques de diccionario contra más de 30 protocolos, incluyendo HTTPS, FTP y Telnet.
- John the Ripper: Esta es una herramienta gratuita para descifrar contraseñas que fue desarrollada para sistemas Unix. Ahora está disponible para otras 15 plataformas, incluyendo Windows, OpenVMS y DOS. John the Ripper detecta automáticamente el tipo de hash utilizado en una contraseña, por lo que puede ejecutarse contra el almacenamiento de contraseñas cifradas.
- L0phtCrack: L0phtCrack se utiliza en ataques simples de fuerza bruta, diccionario, híbridos y de tabla arco iris (rainbow table) para descifrar contraseñas de Windows.
- NL Brute: Una herramienta de fuerza bruta RDP que ha estado disponible en la web oscura desde al menos 2016.
- Ophcrack: Ophcrack es una herramienta de crackeo de contraseñas para Windows gratuita y de código abierto. Utiliza hashes LM a través de tablas rainbow.
- Rainbow Crack: Rainbow Crack genera tablas rainbow para usar mientras se ejecuta un ataque. Las tablas rainbow son precalculadas y así se reduce el tiempo necesario para realizar un ataque.
Cómo Defenderse de los Ataques de Fuerza Bruta
Los ataques de fuerza bruta necesitan tiempo para ejecutarse. Algunos ataques pueden tardar semanas o incluso meses en proporcionar algo utilizable. La mayoría de las defensas contra los ataques de fuerza bruta implican aumentar el tiempo requerido para el éxito más allá de lo que es técnicamente posible, pero esa no es la única defensa.
- Aumenta la longitud de la contraseña: Más caracteres equivalen a más tiempo para crackear por fuerza bruta.
- Aumentar la complejidad de la contraseña: Más opciones para cada carácter también aumentan el tiempo para crackear por fuerza bruta.
- Limita los intentos de inicio de sesión: Los ataques de fuerza bruta incrementan un contador de intentos de inicio de sesión fallidos en la mayoría de los servicios de directorio – una buena defensa contra los ataques de fuerza bruta es bloquear a los usuarios después de algunos intentos fallidos, anulando así un ataque de fuerza bruta en curso.
- Implementar Captcha: Captcha es un sistema común para verificar que un humano es un humano en los sitios web y puede detener los ataques de fuerza bruta en curso.
- Utilizar la autenticación multifactor: La autenticación multifactor añade una segunda capa de seguridad a cada intento de inicio de sesión que requiere la intervención humana, lo que puede impedir que un ataque de fuerza bruta tenga éxito.
- Descarga el parche heredado de Microsoft: En mayo de 2019, Microsoft publicó el parche CVE-2019-0708 para evitar la ejecución remota de código a través de RDP. Puedes descargar el parche desde la página de soporte de Microsoft.
- Bloquear manualmente el puerto TCP 3389.
Como puedes ver, hay muchas opciones para ayudar a prevenir un ataque exitoso. Debido a que la naturaleza de un ataque de fuerza bruta variará en cada caso, no hay realmente un método general de prevención. Por lo tanto, sería mejor considerar el uso de una combinación de varias estrategias para crear una línea de defensa sólida.
Preguntas Frecuentes
Los ataques de fuerza bruta son un tipo de ataque que intenta adivinar una contraseña probando todas las posibles combinaciones de contraseñas hasta encontrar un inicio de sesión exitoso.
Un ataque masivo de fuerza bruta en 2016 contra Alibaba, el popular sitio de comercio electrónico, afectó a millones de cuentas. En marzo de 2018, Magento tuvo que advertir a los usuarios que hasta 1.000 paneles de administración habían sido comprometidos como resultado de ataques de fuerza bruta.
Esto básicamente consiste en los intentos de varias combinaciones una y otra vez, hasta encontrar la correcta. El objetivo consiste en averiguar cuál es el nombre de usuario y / o contraseña para acceder a un determinado sitio web.
La mejor protección contra un ataque de fuerza bruta es cerciorarse de que tus contraseñas son lo más seguras posible, lo que ralentiza el tiempo que tarda un hacker en entrar y aumenta la probabilidad de que se rinda y siga adelante.
