¿Qué son los ataques de fuerza bruta y cómo puede protegerse?

Anuncio

Si lee nuestros artículos de seguridad de forma regular, como este sobre probando la seguridad de su contraseña Pruebe la seguridad de su contraseña con la misma herramienta que usan los hackers¿Es segura su contraseña? Las herramientas que evalúan la seguridad de su contraseña tienen poca precisión, lo que significa que la única forma de probar realmente sus contraseñas es intentar romperlas. Veamos cómo. Lee mas - probablemente has escuchado la frase "ataque de fuerza bruta". Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra eso? Esto es lo que necesitas saber.

Ataques de fuerza bruta: los fundamentos

Cuando se trata de eso, un ataque de fuerza bruta es realmente simple: un programa de computadora intenta adivinar un contraseña o una clave de cifrado iterando a través de todas las combinaciones posibles de un cierto número de caracteres. Por ejemplo, supongamos que escribió una aplicación que intentó forzar por fuerza bruta una contraseña de iPhone de cuatro números. Podría adivinar 1111, luego 1112, luego 1113, 1114, 1115, y así sucesivamente hasta llegar a 9999.

El mismo principio se puede aplicar con contraseñas más complicadas. Un algoritmo de fuerza bruta podría comenzar con aaaaaa, aaaaab, aaaaaac, luego pasar a cosas como aabaa1, aabaa2, aabaa3, y así sucesivamente, a través de todas las combinaciones de seis caracteres de números y letras hasta zzzzzz, zzzzz1 y más allá.

También hay una técnica conocida como el ataque de fuerza bruta inversa, en el que una contraseña se prueba contra muchos nombres de usuario diferentes. Esto es menos común y más difícil de usar con éxito, pero evita algunas contramedidas comunes.

Como puede ver, esta es una forma poco elegante de adivinar una contraseña. Sin embargo, teóricamente, si tuviera suficiente potencia informática y suficiente energía, podría adivinar cualquier contraseña. Pero si está utilizando otra cosa que no sea una contraseña corta y simple, no tiene nada de qué preocuparse, ya que la cantidad de la potencia informática que llevaría adivinar una contraseña más larga requeriría una gran cantidad de energía y podría llevar años completar.

Ataques avanzados de fuerza bruta

Debido a que los ataques de fuerza bruta sobre cualquier cosa que no sean contraseñas muy simples son lamentablemente ineficientes y requieren mucho tiempo, los piratas informáticos han creado algunas herramientas que los hacen más efectivos.

Un ataque de diccionario, por ejemplo, no solo recorre todas las combinaciones posibles de caracteres; utiliza palabras, números o cadenas de caracteres de una lista precompilada que el pirata informático considera al menos algo más probable que el promedio de aparecer en una contraseña (este es el tipo de ataque con el que puedes ejecutar bastante sencillo software de prueba de penetración de red Cómo probar la seguridad de su red doméstica con herramientas de piratería gratuitasNingún sistema puede ser completamente "a prueba de piratería", pero las pruebas de seguridad del navegador y las salvaguardas de la red pueden hacer que su configuración sea más robusta. Utilice estas herramientas gratuitas para identificar "puntos débiles" en su red doméstica. Lee mas ).

Por ejemplo, un ataque de diccionario puede probar varias contraseñas comunes antes de entrar en un ataque de fuerza bruta estándar, como "contraseña", "mypassword", "letmein", etc. O podría agregar "2016" al final de todas las contraseñas que intenta antes de pasar a la siguiente contraseña.

Existen varios métodos para usar ataques de fuerza bruta, pero todos se basan en probar una gran cantidad de contraseñas lo más rápido posible hasta encontrar la correcta. Algunos requieren más potencia informática, pero ahorran tiempo; algunos son más rápidos, pero requieren una mayor cantidad de almacenamiento para usarse durante el ataque.

Donde los ataques de fuerza bruta son peligrosos

Los ataques de fuerza bruta se pueden usar en cualquier cosa que tenga una contraseña o una clave de cifrado, pero en muchos lugares donde podrían usarse para implementar contramedidas efectivas contra ellos (como verá en la siguiente sección).

Usted corre el mayor peligro de un ataque de fuerza bruta si pierde sus datos y un hacker se apodera de ellos, una vez está en su computadora, algunas de las salvaguardas que están en su máquina o en línea pueden ser evitado

¿Cómo podría un malhechor ingresar sus datos en su computadora? Podría perder una unidad flash, tal vez dejándola en el bolsillo de su ropa que envió a una tintorería, como la 4.500 unidades flash encontradas en 2009 en el Reino Unido. O, como los otros 12,500 dispositivos encontrados, puede dejar un teléfono o una computadora portátil en una cabina. Es una cosa fácil de hacer.

O tal vez alguien pudo descargar algo de un servicio en la nube porque compartió un enlace acortado inseguro ¿Los enlaces acortados comprometen su seguridad?Un estudio reciente mostró que la conveniencia de los acortadores de URL como bit.ly y goo.gl podría presentar un riesgo significativo para su seguridad. ¿Es hora de salir de las herramientas de acortador de URL? Lee mas . O tal vez te golpearon con un ransomware que no solo bloqueó tu computadora, sino que también robó algunos de tus archivos.

El punto de todo esto es que los ataques de fuerza bruta no son efectivos en algunos lugares, pero hay muchas maneras en que podrían implementarse contra sus datos. La mejor manera de evitar que sus datos entren en la computadora de un pirata informático es realizar un seguimiento cercano de dónde están sus dispositivos (¡especialmente las unidades flash!).

Protección contra ataques de fuerza bruta

Hay una serie de defensas que los sitios web o las aplicaciones pueden usar contra los ataques de fuerza bruta. Uno de los más simples y más utilizados es el bloqueo: si ingresa una contraseña incorrecta, cierta varias veces, la cuenta se bloquea y necesita ponerse en contacto con el servicio al cliente o su TI Departamento. Esto detiene un ataque de fuerza bruta en su camino.

Se puede usar una táctica similar con un Desafío CAPTCHA Todo lo que siempre quiso saber sobre CAPTCHA, pero tenía miedo de preguntar [Explicación de la tecnología]Ámalos u odialos: los CAPTCHA se han vuelto omnipresentes en Internet. ¿Qué es un CAPTCHA de todos modos y de dónde vino? Responsable de la fatiga visual en todo el mundo, el humilde CAPTCHA ... Lee mas u otras tareas similares. Ninguno de estos métodos funcionará contra un ataque de fuerza bruta inversa, ya que solo fallará una prueba de contraseña una vez para cada cuenta.

Otro método que se puede usar para prevenir estos ataques (tanto estándar como inverso) es Autenticación de dos factores ¿Qué es la autenticación de dos factores y por qué debe usarla?La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... Lee mas (2FA); incluso si un hacker adivina la contraseña correcta, el requisito de otro código o entrada detendrá un ataque incluso si adivina la contraseña correcta. Afortunadamente, cada vez más servicios son incorporando 2FA Bloquee estos servicios ahora con autenticación de dos factoresLa autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. Lee mas en sus sistemas. Eso puede ser una molestia ¿Puede la verificación en dos pasos ser menos irritante? Cuatro trucos secretos garantizados para mejorar la seguridad¿Quieres seguridad de la cuenta a prueba de balas? Le recomiendo habilitar lo que se llama autenticación de "dos factores". Lee mas , pero te protegerá contra muchos ataques.

Vale la pena señalar que, si bien estas tácticas son excelentes para evitar ataques de fuerza bruta, también se pueden usar para atacar un sitio de otras maneras. Por ejemplo, si se lanza un ataque de fuerza bruta contra un sitio que bloquea cuentas después de cinco intentos incorrectos, su equipo de servicio al cliente podría verse inundado de llamadas, lo que ralentizaría el sitio. También podría emplearse como parte de un ataque distribuido de denegación de servicio ¿Qué es un ataque DDoS? [MakeUseOf explica]El término DDoS pasa desapercibido cada vez que el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS son a menudo controvertidos o altamente ... Lee mas .

Con mucho, la forma más fácil de protegerse contra un ataque de fuerza bruta es usar una contraseña larga. A medida que aumenta la longitud de una contraseña, la potencia de cálculo requerida para adivinar todas las combinaciones de caracteres posibles crece muy rápidamente. En un documento sobre los riesgos de seguridad de los acortadores de URL, los investigadores mostraron cómo los tokens de cinco, seis y siete caracteres eran fáciles de adivinar, pero los tokens de 11 y 12 caracteres eran casi imposibles.

Puede aplicar la misma lógica a sus contraseñas. Usa contraseñas seguras 6 consejos para crear una contraseña irrompible que puedas recordarSi sus contraseñas no son únicas e irrompibles, podría abrir la puerta principal e invitar a los ladrones a almorzar. Lee mas , y serás inmune a los ataques de fuerza bruta.

Un ataque sorprendentemente efectivo

Por simple y poco elegante que sea, se llama "fuerza bruta" por una razón, después de todo, este tipo de ataque puede ser sorprendentemente efectivo para obtener acceso a áreas encriptadas y protegidas con contraseña. Pero ahora que sabe cómo funciona el ataque y cómo puede protegerse contra él, ¡no debería tener mucho de qué preocuparse!

¿Utiliza autenticación de dos factores? ¿Conoces otras buenas defensas contra los ataques de fuerza bruta? ¡Comparte tus pensamientos y consejos a continuación!

Créditos de imagen: TungCheung a través de Shutterstock, cunaplus a través de Shutterstock.