Si te interesa el hacking ético o la seguridad informática, probablemente ya hayas oído hablar de RockYou. Pero, ¿qué es exactamente? Esta lista de palabras, famosa por su gran cantidad de contraseñas reales, es una herramienta indispensable para realizar pruebas de penetración y descifrar contraseñas.
En este artículo, como equipo de Junior Geeks, vamos a mostrarte en detalle qué es el diccionario RockYou, por qué es tan importante y cómo puedes utilizar el archivo rockyou txt de forma responsable.
¿Qué es la lista de palabras Rockyou?
La wordlist RockYou es un diccionario de contraseñas usado para realizar diferentes tipos de ataques de craqueo de contraseñas. Es una colección de las contraseñas más usadas y potenciales, originada a partir de una brecha de seguridad masiva.
Muchas herramientas de craqueo de contraseñas usan el método de ataque de diccionario para recuperar la contraseña. Si usas el mismo método para craquear la contraseña, necesitarás una lista de palabras de contraseñas como el rockyou txt.
Offensive Security (la creadora de Kali Linux) ya ha añadido muchos diccionarios en Kali Linux por defecto, y RockYou es uno de los más grandes y efectivos. A lo largo de nuestros años en pentesting, hemos visto cómo esta lista resuelve hashes que otras no pueden.
Nota importante: Usa esta lista solo en entornos autorizados o para pruebas éticas de seguridad. El uso no autorizado es ilegal. rockyou.txt tiene un tamaño aproximado de ~140 MB.
Por qué usar RockYou en Kali Linux
La wordlist rockyou se añadió primero en BackTrack y más tarde en Kali Linux 1, la primera versión de Kali Linux lanzada en 2013. Puedes consultar más sobre las wordlists oficiales en la documentación de Kali Linux.
Puedes crear tu propio diccionario durante un ataque de craqueo de contraseñas usando herramientas como crunch y cwel. Pero si eres principiante y solo quieres probar o practicar con alguna herramienta, RockYou es una buena opción.
Para profundizar en la creación de diccionarios, consulta nuestra guía sobre cómo crear un diccionario para ataques de fuerza bruta.
Cómo encontrar el rockyou path en Kali
Es fácil olvidar la ruta exacta de este archivo. Incluso nosotros, habiéndola usado varias veces, a veces necesitamos buscarla. Por eso, lo importante es saber cómo encontrarla siempre.
La lista de palabras Rockyou está comprimida como rockyou.txt.gz y suele ubicarse en /usr/share/wordlists/. Esta es la respuesta directa al rockyou path kali.
La idea es darte una forma de encontrarla tú mismo cuando la olvides.
Este es el comando locate, usado para encontrar un archivo en Linux en todos los directorios o en una ubicación específica.
Usa el siguiente comando para saber la ubicación de la lista de palabras Rockyou:
locate rockyouEsto mostrará una lista, y la última línea suele ser: /usr/share/wordlists/rockyou.txt.gz
Puedes confirmar la ubicación usando el comando ls:
root@kali:~# ls /usr/share/wordlists/Cómo descomprimir un archivo rockyou.txt.gz
El archivo Rockyou tiene la extensión .gz, lo que significa que es un archivo comprimido. No puedes ver su contenido ni usarlo directamente. Necesitas extraerlo/descomprimirlo.
- Navega al directorio correcto:
cd /usr/share/wordlists/- Verifica que el archivo está ahí (opcional):
ls- Descomprímelo con
gzip:
gzip -d rockyou.txt.gzUna vez ejecutado, tendrás el archivo rockyou.txt listo para ser utilizado. Recuerda usar este archivo responsablemente con fines éticos y legales.
Ejemplos prácticos con el diccionario RockYou
Una vez que tengas rockyou.txt descomprimido en /usr/share/wordlists/, puedes usarlo con herramientas de seguridad para pruebas éticas. A continuación, se presentan ejemplos prácticos con herramientas populares disponibles en Kali Linux. Asegúrate de tener permiso para realizar estas pruebas.
Con Hashcat (Craqueo de hashes)
Para intentar recuperar una contraseña a partir de un hash MD5 almacenado en un archivo hash.txt:
hashcat -m 0 -a 0 hash.txt /usr/share/wordlists/rockyou.txt-m 0: Indica que el hash es MD5.-a 0: Modo de ataque de diccionario.hash.txt: Archivo con el hash a craquear.
Usa hashcat --help para ajustar parámetros según el tipo de hash. Para más detalles, puedes consultar la documentación oficial de Hashcat o nuestra guía de uso de Hashcat con ejemplos.
Con Hydra (Ataque a servicios remotos)
Para probar contraseñas en un servicio SSH en una máquina autorizada (sustituye 192.168.1.100 por la IP objetivo):
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100-l admin: Nombre de usuario a probar (puedes usar una lista con-L).-P: Especifica la lista de contraseñas (rockyou.txt).
Puedes aprender más sobre esta herramienta en el repositorio oficial de Hydra o en nuestro tutorial completo de Hydra.
Con Aircrack-ng (Craqueo de redes Wi-Fi)
Para intentar recuperar la clave de una red WPA/WPA2 usando un archivo de captura (wpa_capture.cap):
aircrack-ng -w /usr/share/wordlists/rockyou.txt -b 00:11:22:33:44:55 wpa_capture.cap-w: Especifica la lista de palabras.-b: Dirección MAC del punto de acceso (BSSID).
Nota: Ajusta los comandos según tus necesidades y verifica la sintaxis de cada herramienta con --help.
Esperamos que te haya gustado este artículo. Si tienes preguntas, déjalas en los comentarios. Te responderemos cuando podamos.
Para conocer más términos del mundo del hacking, te recomendamos nuestro completo diccionario de hacking.
