¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un tipo de ataque en el que el autor pretende obtener acceso no autorizado a cuentas, sistemas y/o redes enviando repetidamente diferentes combinaciones de credenciales de acceso hasta adivinar la correcta.
Hay que tener en cuenta que los ataques DoS y DDoS blancos también utilizan muchas peticiones, pero difieren en sus objetivos generales en comparación con un ataque de fuerza bruta.
En el caso del DoS y el DDoS, el objetivo es hacer inaccesible el servidor, mientras que con un ataque de fuerza bruta el objetivo es obtener acceso al servidor.
Diferentes tipos de ataques de fuerza bruta
Hay diferentes formas de realizar ataques de fuerza bruta, todas ellas comparten el objetivo final de un acceso no autorizado.
Por desgracia, para simplificar el proceso, los agresores pueden utilizar herramientas y software que les ayuden a adivinar las credenciales más rápidamente.
Ataque simple de fuerza bruta
En el caso de un ataque simple de fuerza bruta, el autor no está utilizando ningún software en el proceso de «ensayo y error» de adivinar las combinaciones correctas de credenciales de inicio de sesión.
Lo hace manualmente, y suele tener éxito cuando la contraseña es débil u obvia, o se utiliza para muchas cuentas diferentes.
Ataque al diccionario
Un ataque de diccionario es cuando el autor elige un objetivo y sigue probando diferentes contraseñas para el nombre de usuario.
El nombre proviene del método de revisar diccionarios para probar palabras comunes, o utilizar esas palabras con modificaciones sencillas.
Como este método requiere mucho tiempo, no es tan habitual ni eficaz.
Ataque híbrido de fuerza bruta
Un ataque de fuerza bruta híbrido combina un ataque de fuerza bruta simple y un ataque de diccionario.
En este caso, el agresor conoce el nombre de usuario necesario, y sigue métodos de ataque de diccionario y de fuerza bruta simple para acceder a la cuenta.
Este tipo de ataque de fuerza bruta es más eficaz con contraseñas que combinan palabras comunes con números sencillos.
Ataque de fuerza bruta inverso
Un ataque de fuerza bruta inverso se produce cuando el autor comienza el proceso de pirateo conociendo la contraseña de una cuenta en lugar del nombre de usuario.
En este caso, la contraseña se utiliza para identificar su nombre de usuario coincidente buscando en listas o bases de datos de nombres de usuario.
Relleno de credenciales
El relleno de credenciales se produce cuando el agresor ya tiene una combinación de nombre de usuario y contraseña, y utiliza las mismas credenciales en otros sitios web.
Por supuesto, se utiliza para atacar a quienes repiten contraseñas en varias cuentas.
¿Cómo evitar los ataques de fuerza bruta?
A continuación se indican las formas más sencillas de evitar los ataques de fuerza bruta, en todas sus formas.
Etiqueta de las contraseñas seguras
Asegúrate de utilizar contraseñas complejas, desprovistas de información personal y fáciles de adivinar.
En su lugar, hazlas largas (al menos 15 caracteres), utiliza espacios y caracteres, incluidos números, símbolos y letras tanto en mayúsculas como en minúsculas.
Más allá de la complejidad de una contraseña, una buena etiqueta incluye no utilizar la misma contraseña para varias cuentas.
Cuanto más aleatoria parezca, mejor.
También es importante recordar realmente tus contraseñas, especialmente si sigues el paso 2 (limitar los intentos de inicio de sesión).
Puedes utilizar gestores de contraseñas para generar contraseñas aleatorias, fuertes y seguras, y almacenarlas.
En el caso de los propietarios de sitios web, asegúrate de hacer cumplir la práctica de utilizar contraseñas seguras no permitiendo que los usuarios del sitio utilicen contraseñas débiles.
Un plugin de seguridad para WordPress como iThemes Security es una buena forma de forzar el uso de contraseñas seguras.
Limitar los intentos de inicio de sesión
Algunas cuentas permiten intentos ilimitados de inicio de sesión, un sueño hecho realidad para los atacantes de fuerza bruta.
Puedes poner un límite a los intentos de inicio de sesión; por ejemplo, 5, tras los cuales se prohibirá temporalmente a la dirección IP de un usuario que intente iniciar sesión.
Mientras tengas una forma de recordar todas tus contraseñas (hay sitios web como 1Password o BitWarden que lo hacen), no debería ser un problema.
Implantar la autenticación de dos factores
Además de reforzar tus contraseñas, la autenticación de dos factores (2FA) añadirá otro nivel de protección a tu cuenta.
Para iniciar sesión, un usuario tendría que validar su identidad tras enviar sus credenciales de inicio de sesión.
En la mayoría de los casos, se enviará un código único a tu teléfono móvil o dirección de correo electrónico que deberás introducir.
También existe otro tipo de 2FA, en el que no se envía ningún código, por lo que no causa ninguna carga adicional al servidor.
Las contraseñas de un solo uso basadas en el tiempo (TOTP) u otras soluciones que utilizan generadores de tokens, como Google Authenticator, son buenas opciones en este sentido.
Suscribirse a la información sobre IA
- Las últimas noticias sobre IA
- Cómo la IA aumenta la eficiencia en 10Web
- Revisiones en profundidad de las herramientas de IA
- Sabiduría y conocimientos empresariales
- Valiosos consejos para el crecimiento empresarial
Share article
-
Copy
-
-
-
