¿Qué son los ataques de fuerza bruta? Cómo protegerse contra ellos

Si ha leído artículos de seguridad o ha oído hablar de infracciones importantes, probablemente haya oído el término "ataque de fuerza bruta". Pero es posible que no sepa exactamente lo que esto significa.

Veamos qué es un ataque de fuerza bruta, cómo funcionan normalmente y cómo puede mantenerse protegido de ellos.

Los fundamentos de los ataques de fuerza bruta

En un nivel fundamental, un ataque de fuerza bruta es realmente simple. Forzar una contraseña se refiere a adivinar todas las combinaciones posibles hasta que finalmente se dé cuenta. Y aunque puede hacer esto manualmente, obviamente se vuelve tedioso en poco tiempo.

Por lo tanto, en la mayoría de los ataques básicos de fuerza bruta, un programa de computadora intenta adivinar una contraseña o una clave de cifrado iterando a través de todas las combinaciones posibles para un cierto número de caracteres.

Por ejemplo, digamos que escribió una utilidad que intentó forzar una contraseña de iPhone de cuatro números. Comenzaría adivinando 0000 , luego 0001 , luego 0002 , 0003 , y así sucesivamente hasta llegar a 9999 .

El mismo principio funciona con contraseñas más complicadas. Un algoritmo de fuerza bruta que intenta descifrar una contraseña que tiene seis caracteres alfanuméricos puede comenzar con aaaaaa , aaaaab , aaaaac , etc. Luego procedería a incluir números (y posiblemente mayúsculas), como aabaa1 , aabaa2 , aabaa3 y más. Esto pasaría por todas las combinaciones posibles de seis caracteres de números y letras, hasta zzzzzz , zzzzz1 y más.

También existe una técnica relacionada conocida como ataque de fuerza bruta inversa, en la que se prueba una contraseña común con muchos nombres de usuario diferentes. Esto es menos común y más difícil de usar con éxito, pero evita algunas contramedidas comunes (que discutiremos en un momento).

Relacionado: ¿Qué es el rociado de contraseñas y cómo se puede usar en su contra?

Claramente, esta no es una forma elegante de adivinar una contraseña. En teoría, si tuvieras suficiente tiempo y poder de cómputo, podrías adivinar cualquier contraseña usando la fuerza bruta. Pero si está tratando de romper cualquier otra cosa que no sea una contraseña corta y simple, los ataques de fuerza bruta son ineficientes. Se necesitarían años y toneladas de potencia informática para aplicar la fuerza bruta a una contraseña segura.

Como era de esperar, los esquemas de descifrado de contraseñas se han vuelto más sofisticados que esto.

Ataques avanzados de fuerza bruta

Debido a que los ataques de fuerza bruta son limitados cuando se usan contra cualquier cosa que no sean contraseñas simples, los piratas informáticos tienen formas de mejorarlas.

Un ataque de diccionario, por ejemplo, no se limita a recorrer todas las combinaciones posibles de caracteres. En su lugar, utiliza palabras, números o cadenas de caracteres de una lista precompilada, que generalmente se toma de algo como una lista de contraseñas comúnmente filtradas. Debido a que estas contraseñas son tan comunes, es probable que proporcionen acceso a otras cuentas.

Leer más: Errores comunes de contraseña que probablemente te piratearán

Por ejemplo, un ataque de diccionario puede probar varias contraseñas comunes , como "contraseña", "123456", "letmein", etc., antes de iniciar un ataque de fuerza bruta estándar. O podría agregar el año actual al final de todas las contraseñas que intenta antes de pasar a la siguiente contraseña.

Los ataques de diccionario reducen en gran medida las combinaciones raras de contraseñas. Esto tiene sentido: para una contraseña básica de ocho caracteres, es más probable que alguien utilice "dogs1234" que "zp1vg8el". Al centrarse primero en las combinaciones más probables, puede reducir el tiempo dedicado a la fuerza bruta.

Existen varios métodos para usar ataques de fuerza bruta, pero todos se basan en probar una gran cantidad de contraseñas lo más rápido posible hasta encontrar la correcta. Algunos requieren más potencia informática, pero ahorran tiempo. Otros son más rápidos, pero requieren una mayor cantidad de recursos durante el ataque.

Donde los ataques de fuerza bruta son peligrosos

En teoría, los ataques de fuerza bruta se pueden utilizar en cualquier cuenta u otra plataforma que tenga una contraseña o una clave de cifrado. Pero muchos lugares donde podrían trabajar suelen tener contramedidas efectivas contra ellos, como se examina a continuación.

Usted corre el mayor peligro de sufrir un ataque de fuerza bruta si pierde sus datos y un actor malintencionado se apodera de ellos. Una vez que algo está en la computadora de otra persona, se pueden eludir algunas de las medidas de seguridad en su máquina o en línea.

¿Cómo podría un malhechor introducir sus datos en su computadora? Podría perder una unidad flash cuando se le caiga del bolsillo. Tal vez dejas tu teléfono en un viaje en Uber. Un servicio en la nube pirateado podría exponer algunos de sus archivos a otras personas, o el malware podría copiar sus datos en la computadora de otra persona sin su conocimiento.

El punto es que, si bien los ataques de fuerza bruta no son efectivos en algunos lugares, todavía hay formas en que los piratas informáticos pueden implementarlos contra sus datos. Para evitar situaciones en las que un ataque de fuerza bruta podría romper las protecciones de sus datos, debe realizar un seguimiento de cerca de dónde están sus dispositivos y archivos.

Protección contra ataques de fuerza bruta

Hay una serie de defensas que los sitios web y otras herramientas utilizan contra los ataques de fuerza bruta, así como formas de protegerse contra ellos.

Cómo protegen los servicios contra ataques de fuerza bruta

Una de las protecciones más simples y más utilizadas es el bloqueo. Con esto, si ingresa una contraseña incorrecta una cierta cantidad de veces, la cuenta se niega a aceptar más intentos de inicio de sesión. Para volver a intentarlo, debe ponerse en contacto con el servicio de atención al cliente o esperar un tiempo determinado.

Esto detiene un ataque de fuerza bruta en seco: en lugar de intentar miles de combinaciones en minutos, tener que esperar 10 minutos o una hora para seguir intentándolo disuadirá a un posible pirata informático.

Los sitios web también pueden disuadir los ataques de fuerza bruta con un desafío CAPTCHA o similar. Tener que completar un CAPTCHA cada vez que quiera probar una contraseña ralentiza enormemente el proceso, anulando el punto.

Sin embargo, ninguno de estos métodos funcionará contra un ataque de fuerza bruta inverso. Esos ataques solo fallan una vez en una prueba de contraseña para cada cuenta, lo que probablemente no sea suficiente para activar la protección.

Vale la pena señalar que, si bien estas tácticas son excelentes para evitar ataques de fuerza bruta, también brindan otras formas de atacar un sitio. Por ejemplo, si se lanza un ataque de fuerza bruta contra un sitio que bloquea cuentas después de cinco intentos incorrectos, su equipo de servicio al cliente podría verse inundado de llamadas de usuarios legítimos, lo que ralentizaría sus operaciones.

Abrumar un sitio con intentos de fuerza bruta también podría emplearse como parte de un ataque distribuido de denegación de servicio .

Cómo protegerse contra ataques de fuerza bruta

La autenticación de dos factores es una forma poderosa de protegerse contra ataques de fuerza bruta, tanto estándar como inversos. Con la autenticación de dos factores (2FA), incluso si un pirata informático adivina la contraseña correcta, tener que ingresar otro código evitará que un atacante acceda a su cuenta.

Sin embargo, la forma más fácil de protegerse contra un ataque de fuerza bruta es utilizar una contraseña larga. A medida que aumenta la longitud de una contraseña, la capacidad de cálculo necesaria para adivinar todas las posibles combinaciones de caracteres crece exponencialmente.

Considere el ejemplo de código de acceso de iPhone de antes. Las versiones anteriores de iOS usaban un PIN de cuatro dígitos, que tiene 10,000 combinaciones posibles. Sin embargo, las versiones modernas de iOS usan un código de acceso de seis dígitos de forma predeterminada. Esto aumenta el número de combinaciones posibles a un millón.

En cualquier caso, es poco probable que alguien pueda realmente forzar la contraseña de tu iPhone, en parte gracias al bloqueo que ocurre después de algunas conjeturas incorrectas. Pero puede ver que al agregar solo dos dígitos más, el factor de protección aumenta 100 veces.

Además de la longitud, las contraseñas complejas también son mucho más difíciles de forzar. Si alguien quisiera romper una contraseña y supiera que solo tenía letras minúsculas, podría omitir muchas combinaciones posibles. Pero esa misma longitud de contraseña con números, letras mayúsculas y símbolos, aumentaría el tiempo para forzar la contraseña en varios órdenes de magnitud.

Utilice contraseñas seguras, idealmente con un administrador de contraseñas para no tener que recordarlas todas, y será prácticamente inmune a los ataques de fuerza bruta. Una contraseña de 12 caracteres que use letras mayúsculas y minúsculas, números y un grupo de 18 símbolos tendría más de 68 sextillones de posibilidades. Esto tomaría siglos en fuerza bruta.

Los ataques de fuerza bruta pueden ser efectivos en algunos casos

Este tipo de ataques son simples y poco elegantes; después de todo, el nombre es "fuerza bruta" por una razón. Ahora ya sabe cómo funcionan los ataques de fuerza bruta y cómo protegerse contra ellos, por lo que no debería tener mucho de qué preocuparse.

Use contraseñas seguras y no permita que sus datos terminen en un lugar donde no estén protegidos por contramedidas de fuerza bruta. Sin embargo, no olvide que hay otras formas de comprometer las contraseñas.