Ataque de fuerza bruta
Un ataque de fuerza bruta es un método de prueba y error que utilizan los programas de aplicación para decodificar datos cifrados, como contraseñas o claves del estándar de cifrado de datos (DES), mediante un esfuerzo exhaustivo (utilizando la fuerza bruta) en lugar de emplear estrategias intelectuales. Así como un delincuente puede irrumpir en o «romper» una caja fuerte probando muchas combinaciones posibles, una aplicación de ataque de fuerza bruta procede a través de todas las combinaciones posibles de caracteres legales en secuencia.
Un hacker puede usar un ataque de fuerza bruta para obtener acceso a un sitio web y una cuenta, luego robar datos, cerrar el sitio o ejecutar otro tipo de ataque. La fuerza bruta se considera un enfoque infalible, aunque requiere mucho tiempo.
A veces, los crackers se utilizan en una organización para probar la seguridad de la red, aunque su uso más común es para ataques malintencionados. Algunas variaciones, como L0phtcrack de L0pht Heavy Industries, comienzan haciendo suposiciones, basadas en el conocimiento de prácticas comunes o centradas en la organización, y luego aplican la fuerza bruta para descifrar el resto de los datos. L0phtcrack utiliza la fuerza bruta para atacar las contraseñas de Windows NT desde una estación de trabajo. PC Magazine informó que un administrador del sistema que usó el programa desde un terminal con Windows 95 sin privilegios administrativos pudo descubrir el 85% de las contraseñas de oficina en veinte minutos.
Cómo funcionan los ataques de fuerza bruta
Los ataques de fuerza bruta suelen utilizar herramientas automatizadas para adivinar varias combinaciones de nombres de usuario y contraseñas hasta que encuentran la entrada correcta. Cuanto más larga sea la contraseña, más tiempo tardará normalmente en encontrar la entrada correcta.
Existen diferentes tipos de ataques de fuerza bruta. Por ejemplo, el reciclaje de credenciales es una forma de ataques de fuerza bruta en los que se utilizan nombres de usuario y contraseñas de ataques anteriores. Los ataques de fuerza bruta inversa comienzan con el ataque con la contraseña como un valor conocido, pero no el nombre de usuario. El hacker seguirá el mismo patrón que un ataque de fuerza bruta normal para encontrar el nombre de usuario correcto.
Un ataque de diccionario es otro tipo de ataque de fuerza bruta en el que se prueban todas las palabras de un diccionario para encontrar una contraseña. Los ataques de diccionario también pueden aumentar las palabras con números, caracteres y más. Las formas adicionales de ataques de fuerza bruta pueden intentar utilizar las contraseñas más utilizadas, como «contraseña», «12345678» (o cualquier secuencia numérica como esta) y «qwerty».
Cómo prevenir ataques de fuerza bruta
Las formas comunes de prevenir el agrietamiento por fuerza bruta incluyen:
- Aumentar la complejidad de la contraseña: Esto hará que cualquier proceso de adivinar una contraseña lleve mucho más tiempo. Algunos sitios web, por ejemplo, requerirán contraseñas de 8 a 16 caracteres, con al menos una letra y un número con caracteres especiales (como "."), Además de no permitir que un usuario tenga su nombre, nombre de usuario o ID en su clave.
- Intentos de inicio de sesión: Agregar intentos de inicio de sesión bloqueará a un usuario durante un período de tiempo específico que exceda una cantidad específica de intentos para ingresar contraseñas/nombres de usuario.
- Captchas: Estos son los cuadros que mostrarán un cuadro con texto deformado y le preguntará al usuario cuál es el texto en el cuadro. Esto evita que los bots ejecuten los scripts automatizados que aparecen en los ataques de fuerza bruta, sin dejar de ser fácil de pasar para un humano.
- Autenticación de dos factores (un tipo de autenticación de múltiples factores): Esto agrega una capa de seguridad a la forma principal de autenticación. La seguridad de dos factores requiere dos formas de autenticación (por ejemplo, para iniciar sesión en un nuevo dispositivo Apple, los usuarios deben ingresar su ID de Apple junto con un código de seis dígitos que se muestra en otro de sus dispositivos previamente marcado como confiable).
Una buena forma de protegerse contra los ataques de fuerza bruta es utilizar todas o una combinación de las estrategias anteriores.