¿Qué son los ataques de fuerza bruta y cómo puede protegerse?
Si lees nuestros artículos de seguridad con regularidad, como este sobre cómo probar la seguridad de tu contraseña Prueba la seguridad de tu contraseña con la misma herramienta que usan los hackers Prueba la fortaleza de tu contraseña con la misma herramienta que usan los hackers ¿Está segura tu contraseña? Las herramientas que evalúan la seguridad de su contraseña tienen poca precisión, lo que significa que la única forma de probar realmente sus contraseñas es intentar romperlas. Veamos cómo. Leer más - probablemente has escuchado la frase “ataque de fuerza bruta.” Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra ello? Esto es lo que necesitas saber.
Ataques de fuerza bruta: lo básico
Cuando se llega a esto, un ataque de fuerza bruta es realmente simple: un programa de computadora intenta adivinar una contraseña o una clave de cifrado mediante la iteración a través de todas las combinaciones posibles de un cierto número de caracteres. Por ejemplo, supongamos que escribió una aplicación que intentó forzar la contraseña de un iPhone de cuatro números. Puede adivinar 1111, luego 1112, luego 1113, 1114, 1115, y así sucesivamente hasta llegar a 9999.
El mismo principio se puede aplicar con contraseñas más complicadas. Un algoritmo de fuerza bruta puede comenzar con aaaaaa, aaaaab, aaaaaac, luego proceder a cosas como aabaa1, aabaa2, aabaa3, y así sucesivamente, a través de todas las combinaciones de seis caracteres de números y letras hasta zzzzzz, zzzzz1 y más allá.
También hay una técnica conocida como el ataque de fuerza bruta inversa, en la que se prueba una contraseña con muchos nombres de usuario diferentes. Esto es menos común y más difícil de usar con éxito, pero evita algunas contramedidas comunes.
Como puede ver, esta es una forma poco elegante de adivinar una contraseña. Sin embargo, teóricamente, si tuviera suficiente potencia de cálculo y suficiente energía, podría adivinar cualquier contraseña. Pero si está usando algo que no sea una contraseña corta y simple, no tiene nada de qué preocuparse, ya que la cantidad de potencia informática que se necesitaría para adivinar una contraseña más larga requeriría una gran cantidad de energía y podría llevar años. completar.
Ataques de fuerza bruta avanzados
Debido a que los ataques de fuerza bruta en cualquier cosa que no sean contraseñas muy simples son muy ineficientes y requieren mucho tiempo, los hackers han creado algunas herramientas que los hacen más efectivos.
Un ataque de diccionario, por ejemplo, no solo itera a través de todas las combinaciones posibles de caracteres; utiliza palabras, números o cadenas de caracteres de una lista precompilada que el pirata informático considera al menos un poco más probable que aparezca en una contraseña (este es el tipo de ataque que puede ejecutar con una penetración de red bastante simple) Cómo probar la seguridad de la red doméstica con herramientas de piratería gratuitas Cómo probar la seguridad de la red doméstica con herramientas de piratería gratuitas Ningún sistema puede ser completamente "a prueba de piratería", pero las pruebas de seguridad del navegador y las salvaguardas de la red pueden hacer que su configuración sea más robusta. estas herramientas gratuitas para identificar los "puntos débiles" en su red doméstica. Leer más).
Por ejemplo, un ataque de diccionario puede probar varias contraseñas comunes antes de entrar en un ataque de fuerza bruta estándar, como “contraseña,” “mi contraseña,” “Déjame entrar,” y así. O podría añadir “2016” al final de todas las contraseñas que intenta antes de pasar a la siguiente contraseña.
Existen varios métodos para utilizar los ataques de fuerza bruta, pero todos se basan en intentar una gran cantidad de contraseñas lo más rápido posible hasta que se encuentre la correcta. Algunos requieren más potencia de cálculo, pero ahorran a tiempo; algunos son más rápidos, pero requieren una mayor cantidad de almacenamiento para usarse durante el ataque.
Donde los ataques de fuerza bruta son peligrosos
Los ataques de fuerza bruta pueden usarse en cualquier cosa que tenga una contraseña o una clave de cifrado, pero muchos lugares donde podrían usarse han implementado contramedidas efectivas contra ellos (como verás en la siguiente sección).
Usted está en el mayor peligro de un ataque de fuerza bruta si pierde sus datos y un pirata informático lo controla. Una vez que está en su computadora, se pueden eludir algunas de las medidas de seguridad que se encuentran en su máquina o en línea..
¿Cómo podría un malhechor obtener sus datos en su computadora? Podría perder una unidad flash, tal vez dejándola en el bolsillo de su ropa que envió a una tintorería, como las 4,500 unidades flash encontradas en 2009 en el Reino Unido. O, como los otros 12,500 dispositivos encontrados, puedes dejar un teléfono o una computadora portátil en un taxi. Es una cosa fácil de hacer.
O tal vez alguien pudo descargar algo de un servicio en la nube porque compartiste un enlace acortado inseguro. ¿Los enlaces acortados comprometen tu seguridad? ¿Los enlaces acortados comprometen su seguridad? Un estudio reciente demostró que la conveniencia de los acortadores de URL como bit.ly y goo.gl podrían conllevar un riesgo significativo para su seguridad. ¿Es hora de salir de las herramientas de acortador de URL? Lee mas . O tal vez fue golpeado con un ransomware que no solo bloqueó su computadora, sino que también robó algunos de sus archivos..
El punto de todo esto es que los ataques de fuerza bruta no son efectivos en algunos lugares, pero hay muchas formas en las que podrían implementarse contra sus datos. La mejor manera de evitar que sus datos ingresen a la computadora de un pirata informático es hacer un seguimiento cercano de dónde están sus dispositivos (¡especialmente las unidades flash!).
Protección contra ataques de fuerza bruta
Hay una serie de defensas que los sitios web o las aplicaciones pueden usar contra los ataques de fuerza bruta. Uno de los más simples y más utilizados es el bloqueo: si ingresa una contraseña incorrecta un cierto número de veces, la cuenta se bloquea y necesita ponerse en contacto con el servicio de atención al cliente o con su departamento de TI. Esto detiene un ataque de fuerza bruta en sus pistas..
Se puede usar una táctica similar con un desafío CAPTCHA Todo lo que siempre quiso saber sobre CAPTCHA pero temía preguntar [Explicó la tecnología] Todo lo que siempre quiso saber sobre CAPTCHA pero temió preguntar [Explicó la tecnología] Ámalos o deténgalos Los CAPTCHA se han vuelto omnipresentes en Internet. ¿Qué diablos es un CAPTCHA de todos modos, y de dónde vino? Responsable de la fatiga visual en todo el mundo, el humilde CAPTCHA ... Leer más u otras tareas similares. Ninguno de estos métodos funcionará contra un ataque de fuerza bruta inversa, ya que solo fallará una prueba de contraseña una vez por cada cuenta.
Otro método que se puede usar para prevenir estos ataques (tanto estándar como inverso) es la autenticación de dos factores. ¿Qué es la autenticación de dos factores y por qué debería usarla? ¿Qué es la autenticación de dos factores y por qué debería usarla? La autenticación (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Leer más (2FA); incluso si un hacker adivina la contraseña correcta, el requisito de otro código o entrada detendrá un ataque incluso si adivina la contraseña correcta. Afortunadamente, cada vez más servicios incorporan 2FA Lock Down Estos servicios ahora con autenticación de dos factores Bloquean estos servicios ahora con Two Factor Authentication La autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lea más en sus sistemas. Puede ser una molestia ¿Puede ser menos irritante la verificación en dos pasos? Cuatro trucos secretos garantizados para mejorar la seguridad ¿Puede ser menos irritante la verificación en dos pasos? Cuatro trucos secretos garantizados para mejorar la seguridad ¿Desea una seguridad de cuenta a prueba de balas? Recomiendo encarecidamente habilitar lo que se llama autenticación de "dos factores". Lee más, pero te protegerá contra muchos ataques..
Vale la pena señalar que si bien estas tácticas son excelentes para evitar los ataques de fuerza bruta, también pueden usarse para atacar un sitio de otras maneras. Por ejemplo, si se lanza un ataque de fuerza bruta contra un sitio que bloquea cuentas después de cinco intentos incorrectos, su equipo de servicio al cliente podría verse inundado de llamadas, lo que ralentizaría el sitio. También podría emplearse como parte de un ataque distribuido de denegación de servicio. ¿Qué es un ataque DDoS? [MakeUseOf explica] ¿Qué es un ataque DDoS? [MakeUseOf Explica] El término DDoS pasa silbando cada vez que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS a menudo son controvertidos o altamente ... Leer más .
Con mucho, la forma más fácil de protegerse contra un ataque de fuerza bruta es usar una contraseña larga. A medida que aumenta la longitud de una contraseña, la potencia de cálculo necesaria para adivinar todas las combinaciones de caracteres posibles crece muy rápidamente. En un documento sobre los riesgos de seguridad de los acortadores de URL, los investigadores mostraron cómo era fácil adivinar los tokens de cinco, seis y siete caracteres, pero los tokens de 11 y 12 caracteres eran casi imposibles..
Puede aplicar la misma lógica a sus contraseñas. Use contraseñas seguras 6 Consejos para crear una contraseña irrompible que pueda recordar 6 Consejos para crear una contraseña irrompible que pueda recordar Si sus contraseñas no son únicas e irrompibles, puede abrir la puerta principal e invitar a los ladrones a almorzar. Lee más, y serás casi inmune a los ataques de fuerza bruta.
Un ataque sorprendentemente eficaz
Por lo simple y poco elegante que es, se llama “fuerza bruta” por una razón, después de todo, este tipo de ataque puede ser sorprendentemente efectivo para obtener acceso a áreas cifradas y protegidas por contraseña. Pero ahora que sabe cómo funciona el ataque y cómo puede protegerse contra él, no debería tener mucho de qué preocuparse.!
¿Utiliza la autenticación de dos factores? ¿Conoce otras buenas defensas contra los ataques de fuerza bruta? Comparte tus pensamientos y consejos a continuación!
Créditos de la imagen: TungCheung a través de Shutterstock, cunaplus a través de Shutterstock.
Explore más acerca de: Seguridad informática, Seguridad en línea, Contraseña.