¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta (brute force attack) un método de ensayo y error utilizado para descifrar datos confidenciales como contraseñas, claves de cifrado y credenciales de inicio de sesión, probando sistemáticamente todas las combinaciones posibles hasta que se encuentra la correcta. Es una técnica exhaustiva que se basa en la potencia informática bruta en lugar de emplear cualquier estrategia intelectual o explotar vulnerabilidades específicas.

En un ataque de fuerza bruta, el atacante envía numerosas contraseñas, frases de contraseña o claves de cifrado para adivinar finalmente la correcta.Este tipo de ciberataque es similar a un ladrón que intenta forzar una cerradura de combinación probando todas las secuencias numéricas posibles hasta que la cerradura se abre. La principal ventaja de los ataques de fuerza bruta es su simplicidad y éxito garantizado, siempre que haya el tiempo y los recursos computacionales suficientes para dar con la combinación correcta.

Sin embargo, los ataques de fuerza bruta son prolongados e ineficientes: el tiempo necesario para una intrusión exitosa aumenta exponencialmente con cadenas de objetivos más largas (contraseñas o claves de cifrado). Un ataque de fuerza bruta no es factible para contraseñas o claves de cifrado suficientemente largas y complejas, y tarda meses o incluso años en completarse en hardware moderno.

Los ataques de fuerza bruta (brute force attack) pueden lanzarse contra una aplicación o contra un valor de contraseña cifrado o con hash. Los métodos y los impactos de estos ataques pueden variar ampliamente en función del objetivo y de los objetivos del atacante. A continuación, se muestran las diferentes formas en que se utilizan.

Ataques a aplicaciones

Cuando se dirigen a aplicaciones web, los atacantes suelen utilizar software de automatización para recorrer una lista de nombres de usuario y contraseñas hasta que encuentran una coincidencia. Este proceso suele automatizarse para aumentar la eficiencia y la velocidad. Sin embargo, muchas aplicaciones web implementan medidas de ciberseguridad, como la limitación de velocidad y el bloqueo de cuentas, para evitar los ataques de fuerza bruta. A pesar de estas defensas, los atacantes pueden tener éxito, especialmente con aplicaciones que tienen protocolos de seguridad débiles.

Pasos en los ataques a aplicaciones:

1. Software de automatización: Los atacantes implementan software que prueba sistemáticamente diferentes combinaciones de nombres de usuario y contraseñas.
2. Encontrar una coincidencia: Una vez que se encuentra una coincidencia, el atacante obtiene acceso a la cuenta del usuario.
3. Aprovechar el acceso: Si no se han implementado protecciones adicionales (como la autenticación de dos factores), el atacante puede abusar de la cuenta.

Descifrar contraseñas robadas

Más comúnmente, los atacantes se centran en forzar las contraseñas robadas. Este método implica el uso de potentes recursos informáticos para descifrar contraseñas cifradas. Una vez que las contraseñas son descifradas, los atacantes pueden utilizarlas para acceder a las cuentas de los usuarios en varias plataformas, especialmente si los usuarios reutilizan las contraseñas.

Pasos para descifrar contraseñas robadas:

1. Obtención de hashes: Los atacantes adquieren contraseñas con hash a partir de filtraciones de datos u otras fuentes.
2. Descifrado de hashes: Mediante técnicas de fuerza bruta, los atacantes descifran los hashes para revelar las contraseñas en texto plano.
3. Acceso a cuentas: Con las contraseñas descifradas, los atacantes pueden iniciar sesión en cuentas de usuario en diferentes plataformas.

Posibles acciones posteriores al ataque

El daño de un ataque de fuerza bruta exitoso puede variar según el nivel de autorización de la cuenta comprometida y el tipo de aplicación. Estas son las posibles acciones que podrían tomar los atacantes:

• Envío de mensajes de phishing: Los atacantes pueden enviar mensajes a empleados u otros usuarios para engañarlos y que hagan clic en enlaces de phishing o abran archivos adjuntos cargados de malware.
• Almacenamiento de malware: Los atacantes pueden almacenar malware en el sistema o en la infraestructura interna. Si el malware se ejecuta en el dispositivo de un administrador, podría provocar el robo de credenciales de alto nivel.
• Daño a la reputación: Los atacantes pueden enviar mensajes maliciosos a los clientes, dañando la reputación del propietario de la aplicación.
• Secuestro de procesos del servidor: Los atacantes pueden inyectar malware en los procesos del servidor, como aplicaciones de espionaje de tráfico.
• Inyección de adware: Los atacantes pueden inyectar adware en la aplicación para generar ingresos publicitarios.
• Redireccionamiento del tráfico: Los atacantes pueden redireccionar el tráfico de los usuarios a un servidor controlado por ellos, lo que conduce a todavía más explotación.

Al comprender los diversos métodos y motivaciones detrás de los ataques de fuerza bruta, las organizaciones pueden prepararse mejor e implementar medidas de seguridad efectivas para protegerse contra estas amenazas generalizadas.

Un humano puede escribir unas pocas contraseñas en una aplicación por minuto, pero un ordenador puede procesar cientos o miles de intentos de contraseña por minuto (dependiendo de la velocidad de conexión). Como resultado, los atacantes utilizan la automatización para desplegar ataques de fuerza bruta. A veces, utilizan sus propios scripts creados en su lenguaje favorito, como Python.

Ejemplos de herramientas de ciberatacantes utilizadas para forzar contraseñas:

• Aircrack-ng: Un completo conjunto de herramientas para auditar y proteger redes Wi-Fi descifrando claves de cifrado WEP y WPA/WPA2, creando puntos de acceso falsos y capturando y analizando el tráfico de red.
• John the Ripper: Una herramienta de descifrado de contraseñas de código abierto que admite una amplia gama de tipos de cifrado y hash, incluidas contraseñas de usuario de Unix, macOS y Windows, aplicaciones web y servidores de bases de datos.
• L0phtCrack: Una herramienta de auditoría y recuperación de contraseñas de Windows que utiliza ataques de diccionario, fuerza bruta e híbridos para recuperar contraseñas a partir de hashes de contraseñas.
• Hashcat: La herramienta de recuperación de contraseñas más rápida y avanzada del mundo, capaz de aprovechar la potencia de la GPU para descifrar una amplia gama de contraseñas cifradas mediante diversos modos de ataque, como diccionario, combinación, máscara e híbridos.
• DaveGrohl: Una herramienta diseñada para forzar aplicaciones web, especialmente útil para probar la seguridad de formularios web y páginas de inicio de sesión (no incluida en las fuentes proporcionadas).
• Ncrack: Una herramienta de descifrado de autenticación de red de alta velocidad diseñada para probar servicios de red como SSH, RDP y FTP mediante ataques de fuerza bruta (no cubiertos en las fuentes proporcionadas).
• OphCrack: Un descifrador de contraseñas de Windows basado en tablas rainbow (arcoíris), conocido por su velocidad y eficiencia en el descifrado de contraseñas de Windows.
• RainbowCrack: Una herramienta que utiliza tablas rainbow para descifrar hashes de contraseñas revirtiendo funciones hash criptográficas, lo que acelera significativamente el proceso de descifrado.
• Cain and Abel: Una herramienta de recuperación de contraseñas multiusos para Windows que puede realizar varias funciones, incluyendo análisis de paquetes, grabación de VoIP y escaneo de redes inalámbricas, así como ataques de diccionario y fuerza bruta en hashes de contraseñas.
• Medusa: Un programa de fuerza bruta de inicio de sesión paralelo y modular que admite muchos protocolos, incluyendo HTTP, FTP y SMB, diseñado para ser rápido y eficiente para pruebas de penetración.

Además de las herramientas para descifrar contraseñas, los atacantes ejecutan escáneres de vulnerabilidad del sistema para identificar software obsoleto y descubrir información sobre la aplicación objetivo. Los administradores deben mantener siempre actualizados y parcheados los servidores de cara al público y utilizar software de supervisión para identificar los escaneos en el sistema.

“Ataque de fuerza bruta” es un término general que abarca varios métodos de descifrado de contraseñas que se basan en el método de ensayo y error.

Estas son algunas técnicas de fuerza bruta:

• Ataque simple de fuerza bruta. Los operadores maliciosos utilizan scripts automatizados para probar posibles contraseñas hasta que la correcta funciona. Los ataques simples de fuerza bruta pueden llevar mucho tiempo porque prueban sistemáticamente todas las permutaciones posibles de caracteres en una secuencia. Cuanto más larga sea la contraseña, más tiempo llevará.
• Ataque de diccionario. Estos ataques tienen menos que ver con la cantidad y más con la calidad. En lugar de probar todas las combinaciones posibles de caracteres legales, los delincuentes parten de la suposición de que los usuarios tienden a seguir ciertos patrones al crear una contraseña. Por lo tanto, se centran en las palabras más probables en lugar de probarlo todo.
• Ataque híbrido. Estos ataques son una mezcla de ataques de diccionario y de fuerza bruta simple. En esta situación, un hacker obtiene la contraseña robada de un usuario para un sitio. Después de enterarse de la filtración, el usuario cambia esa contraseña comprometida. El usuario se entera de que ha sido comprometida y la cambia. El atacante ahora probará variaciones de la contraseña anterior utilizando un método de fuerza bruta que automatiza la adición de números, letras y más.
• Ataque de fuerza bruta inverso. Los métodos de contraseña de fuerza bruta inversos toman una lista de contraseñas conocidas y las envían automáticamente a una aplicación hasta que se encuentra un nombre de usuario. Los atacantes que utilizan este método suelen descargar una lista de contraseñas robadas de los mercados de la “darknet” y aplicarlas a las cuentas de usuario para encontrar una credencial que coincida.
• Relleno de credenciales. Con el relleno de credenciales, los usuarios suelen utilizar las mismas contraseñas en varios sitios. Un atacante que accede a las contraseñas de los usuarios en un sitio intentará las mismas en otros. Así es como funciona: Se añaden pares de nombres de usuario y contraseñas comprometidos a una botnet que automatiza simultáneamente el proceso de probar las credenciales robadas en múltiples sitios. Estos ataques tienen como objetivo identificar combinaciones de cuentas que funcionan y pueden reutilizarse en múltiples sitios.

Los administradores disponen de diversas estrategias para ayudarles a prevenir y detectar ataques de fuerza bruta. El primer paso es crear mejores reglas de contraseña para que los usuarios no puedan crear contraseñas débiles. Para sistemas no críticos, las contraseñas deben tener al menos diez caracteres e incluir letras mayúsculas, caracteres especiales y números. Para sistemas críticos, las contraseñas deben tener al menos doce caracteres. Con un cifrado de contraseña fuerte, un ordenador tardaría varias décadas en descifrar finalmente una contraseña por fuerza bruta.

Las siguientes estrategias también pueden utilizarse para detener los ataques por fuerza bruta:

• Limitar el número de intentos de contraseña: La aplicación puede limitar el número de intentos de contraseña antes de bloquear la cuenta y mostrar un CAPTCHA cuando se realizan demasiados intentos. Limitar los intentos evita los ataques automáticos por fuerza bruta y hace inviable el paso por cientos de posibles contraseñas.
• Bloquear las cuentas tras demasiados intentos de inicio de sesión: Esto interrumpirá los continuos ataques de fuerza bruta del atacante, bloqueando temporalmente la cuenta tras un número determinado de intentos fallidos de inicio de sesión. La implementación de retrasos progresivos también es eficaz al bloquear la cuenta durante períodos cada vez más largos tras cada intento fallido.
• Bloquear las direcciones IP sospechosas: Si una dirección IP envía demasiados intentos de inicio de sesión, el sistema podría bloquear la IP automáticamente durante un breve periodo de tiempo, o un administrador puede añadirla manualmente a una “lista negra”. Esto ayuda a evitar ataques repetidos desde la misma fuente.
• Utilizar la autenticación de dos factores: Este tipo de autenticación multifactor requiere que los usuarios introduzcan dos formas de identificación para iniciar sesión. El proceso utiliza factores de conocimiento, ubicación, posesión y tiempo para confirmar la identidad de un usuario, lo que dificulta mucho el acceso de los atacantes, incluso si tienen la contraseña.
• Utilizar políticas de contraseñas seguras: Implemente contraseñas seguras y únicas que sean difíciles de adivinar. Las contraseñas deben ser largas (al menos 10-12 caracteres) e incluir una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Actualice y cambie las contraseñas con regularidad para reducir el riesgo de compromiso.
• Utilizar CAPTCHA: Añadir un cuadro CAPTCHA al proceso de inicio de sesión puede evitar que los scripts automatizados intenten forzar las contraseñas. Las opciones de CAPTCHA incluyen escribir imágenes de texto en la pantalla, marcar más de un cuadro de imagen y nombrar objetos.
• Monitorizar los registros del servidor: Monitorice regularmente los registros del servidor en busca de intentos de inicio de sesión inusuales y patrones que puedan indicar un ataque de fuerza bruta. Configure alertas para notificar a los administradores de actividades sospechosas en tiempo real.
• Utilizar una “lista negra” de direcciones IP: Mantenga una lista negra de direcciones IP que se sabe que se utilizan en ataques. Actualice periódicamente esta lista para protegerse contra nuevas amenazas.
• Eliminar las cuentas antiguas: Elimine o desactive las cuentas antiguas y no utilizadas para reducir el número de posibles puntos de entrada para ataques de fuerza bruta.
• Salar los hashes de contraseñas: Utilice el salado en el hash criptográfico para reforzar las contraseñas. Añadir letras y números aleatorios (sal) a las contraseñas antes de hashearlas dificulta considerablemente que los atacantes utilicen tablas precalculadas (tablas arcoíris) para descifrar los hashes.
• Cifrar las contraseñas con altas tasas de cifrado: Utilice las tasas de cifrado más altas disponibles, como 256 bits, para proteger las contraseñas del sistema. Un cifrado robusto dificulta mucho el éxito de los ataques de fuerza bruta.

Al implementar estas estrategias de protección de contraseñas, las organizaciones pueden reducir significativamente el riesgo de ataques de fuerza bruta exitosos y proteger sus sistemas y datos contra accesos no autorizados. El software de monitoreo detecta ataques de fuerza bruta y alerta a los administradores de comportamientos sospechosos. Cuando se detectan ataques de fuerza bruta, la aplicación podría estar bajo un intento de apropiación de cuenta. Estos ataques podrían merecer revisiones adicionales de la red para determinar si se ha producido una fuga de datos.

Proofpoint ofrece un conjunto completo de soluciones de ciberseguridad diseñadas para proteger a las organizaciones de diversas amenazas, incluidos los ataques de fuerza bruta. Al aprovechar las tecnologías avanzadas y la experiencia de Proofpoint, las empresas pueden mejorar significativamente sus defensas contra estos implacables ataques.

Las soluciones de protección contra el fraude por correo electrónico empresarial (BEC) y el compromiso de cuentas (EAC) de Proofpoint están diseñadas específicamente para proteger a las organizaciones contra los ataques de fuerza bruta dirigidos a cuentas de correo electrónico. Estas soluciones emplean un enfoque multicapa para detectar y prevenir intentos de acceso no autorizados, garantizando la integridad y confidencialidad de las comunicaciones por correo electrónico.

• Detección avanzada de amenazas: Las soluciones de Proofpoint aprovechan algoritmos sofisticados y modelos de aprendizaje automático para identificar y bloquear ataques de fuerza bruta en tiempo real. Mediante el análisis de patrones de inicio de sesión, direcciones IP y otros indicadores de comportamiento, Proofpoint puede distinguir con precisión los intentos de acceso legítimos de los maliciosos.
• Controles de acceso adaptativos: Los controles de acceso adaptativos de Proofpoint ajustan dinámicamente las medidas de seguridad en función del nivel de riesgo asociado a cada intento de inicio de sesión. Esto incluye la implementación de limitación de velocidad, desafíos CAPTCHA y bloqueos de cuentas para interrumpir y prevenir ataques de fuerza bruta exitosos.
• Informes y alertas integrales: Las soluciones de Proofpoint proporcionan informes detallados y alertas en tiempo real, lo que permite a los equipos de seguridad supervisar y responder rápidamente a posibles intentos de ataques de fuerza bruta. Esta visibilidad permite a las organizaciones tomar medidas proactivas y mitigar los riesgos de manera efectiva.
• Respuesta automatizada a incidentes: En caso de un ataque de fuerza bruta exitoso, las soluciones de Proofpoint pueden iniciar automáticamente acciones de respuesta a incidentes, como bloqueos de cuentas, restablecimiento de contraseñas y notificaciones a los usuarios y administradores afectados. Esta respuesta optimizada minimiza el impacto potencial y garantiza una rápida corrección.

Con la protección de Proofpoint, las organizaciones pueden mejorar significativamente sus defensas contra los ataques de fuerza bruta, protegiendo sus cuentas de correo electrónico y datos confidenciales del acceso no autorizado. Las tecnologías avanzadas y la experiencia en ciberseguridad de Proofpoint proporcionan un enfoque integral y proactivo para mitigar los riesgos asociados a estas amenazas persistentes. Para obtener más información, póngase en contacto con Proofpoint.