https://esgeeks.com/?p=5710

El compromiso de las contraseñas es siempre una seria amenaza para la confidencialidad y la integridad de los datos. En general, las contraseñas de menos de 7 caracteres son especialmente susceptibles a ataques de fuerza bruta. Sin embargo, una secuencia de comandos mal escritos o conexiones incorrectas (con intentos de recuperarlos o reutilizarlos) puede ser un signo de intentos de intrusión por fuerza bruta.

1. Ataque de fuerza bruta

El ataque de fuerza bruta es un proceso de adivinar una contraseña a través de varias técnicas. Comúnmente, los ataques de fuerza bruta se dividen en tres categorías:

  • a) Fuerza bruta tradicional

En un ataque de fuerza bruta tradicional, probarás todas las combinaciones posibles para adivinar la contraseña correcta. Este proceso suele requerir mucho tiempo; Si la contraseña es larga, tomará años para la fuerza bruta. Pero si la contraseña es corta, puede dar resultados rápidos.

  • b) Ataques de diccionario

En un ataque de fuerza bruta basado en un diccionario, usamos una lista de palabras personalizada, que contiene una lista de todas las combinaciones posibles de nombre de usuario y contraseña. Es mucho más rápido que los ataques tradicionales de fuerza bruta y es el enfoque recomendado para las pruebas de penetración.

TE VA A INTERESAR: 5 Formas de Crear Diccionario para Fuerza Bruta

  • c) Ataques híbridos

Los ataques de fuerza bruta híbrida son una combinación de ataque de fuerza bruta tradicional y ataque basado en diccionario. La idea detrás de un ataque híbrido es que aplicarás un ataque de fuerza bruta en la lista de diccionarios.

Usando ataques de fuerza bruta, un atacante podría obtener acceso completo a la máquina afectada. Cuando se realizan ataques de fuerza bruta o ataques de contraseña, una velocidad de procesamiento más rápida es beneficiosa. En los casos en que se realizan ataques remotos de fuerza bruta, se deben abordar las restricciones de ancho de banda.

2. Herramientas para ataque de fuerza bruta (Bruteforce)


2.1. THC Hydra

THC Hydra es una de las herramientas de descifrado de contraseñas más antiguas desarrolladas por “The Hackers Community“. Por el momento, Hydra tiene la mayor cobertura de protocolo que cualquier otra herramienta de descifrado de contraseñas, según nuestro conocimiento, y está disponible para casi todos los sistemas operativos modernos. THC Hydra puede realizar ataques rápidos de diccionario contra muchos protocolos como Telnet, FTP, HTTP, SMB, etc.

THC Hydra para fuerza bruta

THC Hydra para fuerza bruta

Aquí está la sintaxis básica de hydra (versión de Linux) para realizar fuerza bruta a un servicio.

Sintaxis:

Hydra -L administrador -P password.txt <víctima IP> <servicio>
  • Sitio web oficial: https://sectools.org/tool/hydra/
  • Enlace de Github: https://github.com/vanhauser-thc/thc-hydra
  • Última versión: (según fecha de marzo de 2019): v8.9
  • Disponible para: Windows / Linux / MacOSX

2.2. Aircrack-Ng

Aircrack-ng es otra herramienta de hacking inalámbrica de fuerza bruta más popular que se utiliza para evaluar la seguridad de la red WiFi. En general, se enfoca en 4 áreas diferentes de seguridad WiFi, es decir, monitoreo, ataque, testing y cracking.

Aircrack-ng es un conjunto de herramientas ampliamente utilizadas para romper/recuperar WEP/WPA/WPA2-PSK. Es compatible con varios ataques, como el PTW, que se puede usar para descifrar la clave WEP con un número menor de vectores de inicialización, y ataques de fuerza bruta/diccionario, que se pueden usar contra WPA/WPA2-PSK. Incluye una amplia variedad de herramientas, como el detector de paquetes y el inyector de paquetes. Los más comunes son airodump-ng, aireply-ng y airmon-ng.

Aircrack-Ng para fuerza bruta

Aircrack-Ng para fuerza bruta

  • Sitio web oficial: http://www.aircrack-ng.org/
  • Enlace de Github: https://github.com/aircrack-ng/aircrack-ng
  • Última versión (según fecha de marzo de 2019): v1.5.2
  • Disponible para: Linux / BSD / OS X / Windows

2.3. Ncrack

Ncrack es una de nuestras herramientas favoritas para descifrar contraseñas. Se basa en las bibliotecas de nmap. Viene preinstalado con Kali Linux OS. Se puede combinar con nmap para obtener excelentes resultados. La única desventaja es que admite muy pocos servicios, a saber, FTP, SSH, Telnet, FTP, POP3, SMB, RDP y VNC.

Ncrack para fuerza bruta

Ncrack para fuerza bruta

  • Sitio web oficial: https://nmap.org/ncrack/
  • Enlace Github: https://github.com/nmap/ncrack
  • Última versión: (según fecha de marzo de 2019) – v0.6
  • Disponible para: Windows / Linux / BSD / Mac OS X

2.4. SAMInside

SAMInside es una herramienta de seguridad compatible solo con los sistemas operativos Windows y permite que las contraseñas perdidas y los sistemas bloqueados se desbloqueen y se acceda a ellos con un sistema complejo, pero fácil de usar, de recuperación de contraseña.


  • Sitio web oficial: https://www.insidepro.team/ (servidor actualmente no disponible, toca esperar)
  • Enlace Github: NA
  • Última versión: (según fecha de marzo de 2019) – v2.7.0.1
  • Disponible para: Windows

2.5. Hashcat

Hashcat es la utilidad de recuperación de contraseñas más rápida y avanzada del mundo, que admite 5 modos de ataque únicos para más de 200 algoritmos de hashing altamente optimizados. Esta herramienta actualmente admite CPU, GPU y otros aceleradores de hardware en Linux, Windows y macOS, y tiene facilidades para ayudarte a permitir el crackeo distribuido de contraseñas.

Hashcat para ataque fuerza bruta

Hashcat para ataque fuerza bruta

2.6. Ophcrack

Ophcrack es una herramienta basada en Windows que tiene la capacidad no solo de volcar los hashes, sino también de romperlos utilizando tablas de arco iris. El programa ophcrack viene con tablas de arco iris que funcionan para contraseñas de una longitud muy corta. Entonces, si la contraseña es larga o, digamos, alfanumérica, no podrá descifrarla.

Ophcrack para ataque fuerza bruta

Ophcrack para ataque fuerza bruta

2.7. Cain y Abel

Cain y Abel (a menudo abreviado como Cain) es una herramienta de recuperación de contraseña solo para Microsoft Windows. Puede recuperar muchos tipos de contraseñas utilizando métodos como el rastreo de paquetes de red, el craqueo de varios hashes de contraseñas mediante el uso de métodos como ataques de diccionario, fuerza bruta y ataques de criptoanálisis.

Cain y Abel para fuera bruta

Cain y Abel para fuera bruta

8. Rainbow crack

Rainbow crack no solo se puede usar para descifrar hashes de contraseña mediante el uso de tablas rainbow, sino que también puede ayudarte a crear tus propias tablas de rainbow en caso de que no desees descargarlas; pero recuerda que si estás generando una tabla rainbow grande, debes asegurarte de tener suficiente espacio en el disco duro.

Rainbow para descifrar hashes de contraseña

Descifrar hashes de contraseña con Rainbow

9. John the Ripper

John the Ripper (JTR) es un cracker de contraseña de código abierto; Es uno de los crackers de contraseñas más rápidos y está preinstalado en el sistema operativo Kali Linux. Se puede utilizar para realizar ataques de fuerza bruta y ataques basados ​​en diccionario. También viene con listas de palabras preinstaladas.

John the Ripper para fuerza bruta

John the Ripper para fuerza bruta

TE VA A INTERESAR: Cómo usar Johnny: la GUI para John the Ripper

10. L0phtcrack

L0phtCrack es una aplicación de auditoría y recuperación de contraseñas producida originalmente por Mudge desde L0pht Heavy Industries. Se usa para probar la seguridad de la contraseña y, a veces, para recuperar contraseñas perdidas de Microsoft Windows, mediante el uso de diccionario, fuerza bruta, ataques híbridos y tablas rainbow. Fue una de las herramientas elegidas por los crackers, aunque la mayoría utiliza versiones antiguas debido a su bajo precio y alta disponibilidad.

  • Sitio web oficial: http://www.l0phtcrack.com/
  • Enlace Github: https://github.com/L0phtCrack
  • Última versión: (según fecha del 11 de marzo de 2019) – v7.1.1
  • Disponible para: Windows

Y entonces, ¿cuál es tu herramienta favorita para los ataques de fuerza bruta? ¿hay alguna que no aparece en la lista? Déjame tu comentario y no olvides compartir este artículo :’)


¡Mantente actualizado!

Suscríbete a nuestro boletín semanal...

Suscríbete a nuestro boletín electrónico para recibir artículos útiles y ofertas especiales. No te perderás absolutamente de nada!

Enviaremos solamente boletines al email y no compartiremos tu email.