¿Qué es un ataque de fuerza bruta? Un duro golpe a tu seguridad en internet

Cómo funciona un ataque de fuerza bruta

Acabamos de decir que es una técnica tediosa, entonces, ¿por qué se utiliza tanto? La respuesta es sencilla: porque los seres humanos somos predecibles y, por lo tanto, como muchas otras cosas, las contraseñas que creamos también lo son. ¿Alguna vez has creado contraseñas con tu nombre, tu fecha de nacimiento, el nombre de tu perro o fechas de cumpleaños?  ¡Ahí lo tienes!

Los ataques de fuerza bruta requieren equipos de computación avanzados, programas informáticos y algoritmos para ser eficaces. Adivinar contraseñas con este método puede tomar meses o quizá solo algunas horas, dependiendo de la tecnología que se tenga, la dificultad y la extensión de las claves. La estadística ha demostrado que es cero probable que el ciberdelincuente encuentre la respuesta con la última combinación posible y que, en general, la respuesta se descifra al probar la primera mitad de las opciones. Esto quiere decir que, si hay 10 opciones posibles, al llegar a la quinta es bastante probable que ya se haya obtenido la respuesta. 

La dark web: fuente de todos los recursos

Para llevar a cabo un ataque de fuerza bruta es necesario crear o comprar kits de herramientas especializadas que están disponibles en la dark web. También se pueden comprar bases de datos de credenciales filtradas y scripts, para usarlas como punto de partida en diversos tipos de ataques de fuerza bruta.

¿Por qué se usa este tipo de ataque?

Ya quedó claro que los ciberdelincuentes utilizan el ataque de fuerza bruta para adivinar y vulnerar credenciales de acceso, pero ¿para qué? ¡Veamos los usos más comunes a los que debes estar alerta!

Tipos de ataques de fuerza bruta

Como muchas otras amenazas cibernéticas, este ataque también puede mutar y adaptarse a múltiples condiciones para cumplir el objetivo principal: vulnerar credenciales. A continuación, repasamos los tipos de ataques de fuerza bruta que existen. 

1. Ataque de fuerza bruta simple: necesita de scripts y automatizaciones para adivinar, en tan solo unos minutos, las contraseñas más simples y predecibles que solemos usar, aquellas que no involucran combinaciones de números, letras o signos, ni siquiera mayúsculas. ¡Las que nunca debes usar pero usas! Por ejemplo: 1234, qwertyuiop.
2. Ataque de diccionario: se emplea un diccionario para probar todas las palabras en él y las posibles combinaciones de frases. También se utilizan listados de contraseñas filtradas en hackeos anteriores, que se pueden comprar en la dark web. Existen softwares capaces de sustituir las letras de una palabra por los signos más parecidos, por ejemplo, cambiar la “e” por el “3” y así el ataque de diccionario se vuelve más eficaz.
3. Ataque de fuerza bruta inversa: se da cuando el cibercriminal ya conoce la contraseña de acceso y lo que necesita averiguar es el nombre de usuario o número de cuenta de la víctima. 
4. Ataque híbrido de fuerza bruta: combina un ataque de diccionario y uno de fuerza bruta simple para descifrar la combinación de palabras y números de una contraseña. Funciona muy bien porque es común que agreguemos cuatro números luego de las palabras, que suelen ser un año especial en nuestra vida, así que siempre empezará con uno o dos. ¡Quedan solo tres números por adivinar! Otra vez, ¡predecibles y vulnerables!
5. Credential stuffing: el relleno de credenciales consiste en usar inmensas bases de usuarios y contraseñas robadas para completar datos de acceso en un sinnúmero de plataformas. Se estima que más de 8.500 millones de usuarios y claves han sido filtradas en la dark web. Este tipo de ataque es exitoso porque erróneamente tendemos a reutilizar credenciales de acceso. ¡Algo que nunca debes hacer!
6. Propagación de contraseña: con este tipo de ataque de fuerza bruta se prueba una contraseña en varias plataformas utilizadas por el usuario, a diferencia de otros ataques que escogen una plataforma para probar varias credenciales. Es útil porque esquiva el bloqueo de cuenta por número limitado de intentos fallidos.

Evita los ataques de fuerza bruta: la contraseña es la clave

Para no caer en este tipo de ataques, una contraseña segura lo es todo. Después de leer este post, te habrás dado cuenta que debes tratar de ser menos predecible para los ciberdelincuentes. Recapitulemos algunas lecciones para evitar este tipo de ataque. 

1. No uses contraseñas débiles: evita usar solo palabras, solo minúsculas o solo números para tus contraseñas. 123456 y qwerty son las claves más usadas a nivel mundial y por lo tanto más vulnerables.
2. Evita las contraseñas cortas: mientras más larga y “desordenada” sea tu contraseña, mayor el nivel de complejidad y menor la probabilidad de descifrarla.
3. Vuélvete impredecible: no uses fechas o palabras que serían fáciles de descubrir a través de una corta investigación en redes sociales.
4. Activa la autenticación en dos pasos (2FA): empieza a agregar un segundo nivel de seguridad a tus cuentas y verifica tu identidad cada vez que ingresas a ellas. ¡Evita la suplantación de identidad y hackeo de cuentas!
5. Utiliza un gestor de contraseñas: te ayudará a recordar tus nuevas y complejas claves. Además, te ayudan a crear credenciales bajo altos estándares de seguridad y te ahorran muchos dolores de cabeza.
6. Cambia tus claves periodicamente: la posibilidad de ser víctima de un ataque de fuerza bruta disminuye considerablemente si cambias constantemente las contraseñas de tus cuentas, redes sociales y otras plataformas. ¡Nunca recicles credenciales
7. Actualiza tu equipo: mantener actualizado el sistema operativo de tu computadora soluciona brechas de seguridad por las que, de otra manera, podría entrar un malware y quedar propensa a un ataque de fuerza bruta.

Jamás uses estos patrones del teclado para crear tus contraseñas.