5 veces los ataques de fuerza bruta conducen a enormes violaciones de seguridad
Darse cuenta de que su cuenta ha sido pirateada no es nada agradable. Los ciberataques que obtienen acceso no autorizado a su red exponen su información personal, y una vez que esto sucede, pueden hacer lo que quieran con ella.
¿No está seguro de cómo piratearon su cuenta, especialmente cuando tuvo cuidado con sus credenciales de inicio de sesión? Probablemente lo descubrieron con fuerza bruta. Pero no está solo: algunas organizaciones de alto perfil también han sufrido el mismo destino antes.
En este artículo, destacaremos cinco ataques de fuerza bruta que provocaron enormes violaciones de seguridad.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es el proceso de probar todas las teclas del teclado de una computadora para encontrar la contraseña o las credenciales de inicio de sesión correctas. Es más o menos un juego de adivinanzas.
El concepto de ataque de fuerza bruta crea una imagen de un ciberatacante sentado en su computadora, adivinando la contraseña de un sistema o una cuenta. Sin embargo, eso es a un nivel básico.
Los ciberatacantes se han vuelto más sofisticados en sus habilidades a lo largo de los años. En lugar de hacer las conjeturas por sí mismos, a veces utilizan tecnología avanzada que permite que la computadora adivine la contraseña combinando todas las palabras posibles.
¿Es ilegal un ataque de fuerza bruta?
Lo que determina si el ataque es ilegal o no es el acceso autorizado o no autorizado. Si usa la fuerza bruta para obtener acceso a la red de alguien sin su permiso, es ilegal.
Hay algunos casos en los que un ataque de fuerza bruta puede ser legal, y eso es principalmente durante una prueba de penetración. Por ejemplo, una organización podría contratar a un experto en seguridad ofensiva para probar la solidez de la seguridad de su red pirateándola . En este caso, hay instrucciones claras sobre lo que debe hacer el pirata informático.
Los proveedores de seguridad de red también utilizan una prueba de penetración para determinar la seguridad de la red de sus clientes. Dichos clientes son plenamente conscientes de la prueba de penetración y la consienten.
Los objetivos de un ataque de fuerza bruta
Los atacantes utilizan varios métodos de fuerza bruta para sus actividades maliciosas. El método implementado para un ataque depende de la experiencia del atacante, su objetivo y el nivel de seguridad de la red.
Los tipos de ataques de fuerza bruta incluyen ataques de fuerza bruta simples, ataques de diccionario, ataques de fuerza híbrida, ataques de fuerza bruta inversa y relleno de credenciales.
Al llevar a cabo un ataque de fuerza bruta, los piratas informáticos tienen como objetivo causar una interrupción. A continuación se presentan cinco de las principales razones por las que los delincuentes utilizan esta táctica.
1. Robo de información personal
Los perpetradores de ataques de fuerza bruta podrían piratear su red para robar su información personal , como detalles de tarjetas de crédito, contraseñas de cuentas, números de identificación personal (PIN) y otras credenciales que utiliza para actividades en línea.
2. Daño a la reputación
Los ataques de fuerza bruta se pueden usar con fines de venganza. Una persona agraviada podría contratar los servicios de ciberataques para piratear su red con fuerza bruta y utilizar sus datos confidenciales para manchar su reputación.
3. Venta de credenciales a terceros
Una vez que haya obtenido acceso a sus credenciales, un pirata informático podría venderlas a terceros que estén dispuestos a pagar mucho dinero por ellas. El valor de mercado de sus credenciales está determinado por su valor.
4. Rescate
Los ciberatacantes podrían utilizar ataques de fuerza bruta para secuestrar su sistema y exigirle que pague un rescate antes de que le permitan volver a su red.
Ejemplos de la vida real de ataques de fuerza bruta
A lo largo de los años, ha habido varios ataques de fuerza bruta contra organizaciones. Los usuarios de estas plataformas perdieron información personal y, en algunos casos, fondos. En algunos casos, las organizaciones también sufrieron una demanda por no haber evitado los ataques.
Echemos un vistazo a cinco ataques de fuerza bruta de la vida real y cuáles fueron sus consecuencias.
1. Dunkin 'Donuts (2015)
La franquicia de café Dunkin 'Donuts sufrió un ataque de fuerza bruta que llevó a sus usuarios a perder enormes sumas de dinero a través de la aplicación móvil y el sitio web de la empresa. Los ciberatacantes utilizaron la fuerza bruta para obtener acceso no autorizado a las cuentas de 19.715 usuarios en cinco días, robando su dinero.
Más tarde, la compañía fue criticada con una demanda por no informar a sus usuarios sobre el compromiso para que pudieran tomar las medidas necesarias para proteger sus cuentas.
Aunque Dunkin 'Donuts inicialmente negó haber participado en el ataque, más tarde acordó pagar la suma de $ 650,000 para resolver la demanda.
2. Alibaba (2016)
La popular plataforma de comercio electrónico Alibaba fue víctima de un ataque de fuerza bruta que comprometió las cuentas de alrededor de 21 millones de usuarios en 2016. Durante el ataque, que tuvo lugar entre octubre y noviembre de ese año, los atacantes obtuvieron acceso no autorizado a los nombres de usuario y contraseñas de 99 millones de usuarios.
Aprovechando la base de datos a su disposición, comprometieron 20,6 millones de cuentas de usuario.
Los expertos revelaron que la causa principal del ataque fue la superposición de contraseñas de los usuarios. Se descubrió que la mayoría de los usuarios usaban la misma contraseña para la plataforma para sus otras cuentas. Otra causa del ataque fueron las contraseñas débiles. Algunos de los usuarios tenían contraseñas débiles que eran fáciles de descifrar.
3. Magento (2018)
Magento es otra plataforma de comercio electrónico popular y, como Alibaba, sufrió un ataque de fuerza bruta que comprometió sus paneles de administración en 2018.
Según los investigadores que descubrieron el ataque, se encontraron no menos de 1,000 credenciales de cuenta en la web oscura. El objetivo de los atacantes era raspar los números de tarjetas de crédito de los titulares de cuentas e infectar sus dispositivos con malware para la minería de criptomonedas.
Los expertos creen que las cuentas afectadas fueron más de 1,000 reportadas. Encontrado en el código abierto de Magento, la compañía reveló que los atacantes aprovecharon las contraseñas débiles de sus usuarios para iniciar el ataque de fuerza bruta y aconsejó a sus usuarios que crearan contraseñas más fuertes para evitar una recurrencia.
4. Parlamento de Irlanda del Norte (2018)
El Parlamento de Irlanda del Norte fue blanco de un ataque de fuerza bruta que comprometió las cuentas de algunos de sus miembros en 2018.
Las investigaciones sobre el ataque revelaron que fue iniciado por fuentes externas. Los atacantes accedieron a los buzones de correo de los miembros de la asamblea probando varias contraseñas.
Se eliminaron las cuentas afectadas y se recomendó a los miembros del parlamento que cambiaran sus contraseñas por otras más seguras. En lugar de utilizar palabras sueltas, se les recomendó utilizar frases de contraseña.
5. Agencia Canadiense de Ingresos (2020)
La Agencia Canadiense de Ingresos (CRA) fue víctima de un ataque de fuerza bruta que comprometió alrededor de 11,000 cuentas pertenecientes a la CRA y otros servicios relacionados con el gobierno en agosto de 2020.
Los perpetradores del ataque tenían como objetivo la Agencia de Ingresos de Canadá (CRA) y el Servicio Clave del Gobierno de Canadá (GCKey), agencias que permiten a los canadienses acceder a varios programas y servicios gubernamentales en el país.
Los expertos revelaron que los atacantes utilizaron credenciales de inicio de sesión previamente robadas, como nombres de usuario y contraseñas, para piratear a los afectados. El ataque reiteró que no es recomendable utilizar la misma contraseña en varios sitios web o cuentas. Puede prevenir ataques de fuerza bruta creando contraseñas seguras para usted.
Practicando una cultura de ciberseguridad saludable
Los ciberataques son contundentes por naturaleza, ya que no están autorizados. Los ataques de fuerza bruta solo amplifican el proceso con el uso de varias técnicas. Una excelente manera de excluir a los piratas informáticos en cualquier forma de ataque es implementar prácticas inteligentes de ciberseguridad. Tomar una precaución más en sus cuentas y sistemas agrega una capa más de seguridad que los piratas informáticos deben eludir, lo que podría ser la diferencia entre que su información personal se vea comprometida o no.