Un ataque de fuerza bruta es una técnica que usan los ciberdelincuentes para intentar averiguar una contraseña o nombre de usuario probando distintas combinaciones posibles, a base de prueba y error, para acertar y cometer fraudes o delitos informáticos. Se trata de un tipo de ataque que, para los estafadores, puede llegar a ser bastante tedioso porque requiere de constancia y, que sin embargo, es bastante utilizado para vulnerar todo aquello que pueda ser desbloqueado con una contraseña. ¡Quédate para aprender más!
Cómo funciona un ataque de fuerza bruta
Acabamos de decir que es una técnica tediosa, entonces, ¿por qué se utiliza tanto? La respuesta es sencilla: porque los seres humanos somos predecibles y, por lo tanto, como muchas otras cosas, las contraseñas que creamos también lo son. ¿Alguna vez has creado contraseñas con tu nombre, tu fecha de nacimiento, el nombre de tu perro o fechas de cumpleaños? ¡Ahí lo tienes!
Los ataques de fuerza bruta requieren equipos de computación avanzados, programas informáticos y algoritmos para ser eficaces. Adivinar contraseñas con este método puede tomar meses o quizá solo algunas horas, dependiendo de la tecnología que se tenga, la dificultad y la extensión de las claves. La estadística ha demostrado que es cero probable que el ciberdelincuente encuentre la respuesta con la última combinación posible y que, en general, la respuesta se descifra al probar la primera mitad de las opciones. Esto quiere decir que, si hay 10 opciones posibles, al llegar a la quinta es bastante probable que ya se haya obtenido la respuesta.
Curiosidades
Los ataques de fuerza bruta se pueden ejecutar usando botnets o redes de bots que infectan computadoras. De esa manera se protege el anonimato del ataque y se disminuyen los costos técnicos.
Por otro lado, el CPU de una computadora común y corriente no es eficiente a la hora de empezar ataques de fuerza bruta. Para esto, se emplea un GPU o Unidad de Procesamiento de Gráficos porque incrementa la potencia informática. Normalmente, se usan para tareas de ingeniería pero también para detonar ataques de este tipo, porque descifran contraseñas 250 veces más rápido que un CPU.
La dark web: fuente de todos los recursos
Para llevar a cabo un ataque de fuerza bruta es necesario crear o comprar kits de herramientas especializadas que están disponibles en la dark web. También se pueden comprar bases de datos de credenciales filtradas y scripts, para usarlas como punto de partida en diversos tipos de ataques de fuerza bruta.
¿Por qué se usa este tipo de ataque?
Ya quedó claro que los ciberdelincuentes utilizan el ataque de fuerza bruta para adivinar y vulnerar credenciales de acceso, pero ¿para qué? ¡Veamos los usos más comunes a los que debes estar alerta!
 |
Robar información confidencial y sensible de la víctima. |
 |
Asaltar cuentas bancarias. |
 |
Hacer compras no autorizadas. |
 |
Secuestrar sistemas y equipos con el objetivo de estafar. |
 |
Difundir softwares maliciosos. |
 |
Redireccionar el tráfico web a sitios fraudulentos. |
 |
Recopilar datos de la víctima para luego venderlos en la deep y dark web. |
Tipos de ataques de fuerza bruta
Como muchas otras amenazas cibernéticas, este ataque también puede mutar y adaptarse a múltiples condiciones para cumplir el objetivo principal: vulnerar credenciales. A continuación, repasamos los tipos de ataques de fuerza bruta que existen.
- Ataque de fuerza bruta simple: necesita de scripts y automatizaciones para adivinar, en tan solo unos minutos, las contraseñas más simples y predecibles que solemos usar, aquellas que no involucran combinaciones de números, letras o signos, ni siquiera mayúsculas. ¡Las que nunca debes usar pero usas! Por ejemplo: 1234, qwertyuiop.
- Ataque de diccionario: se emplea un diccionario para probar todas las palabras en él y las posibles combinaciones de frases. También se utilizan listados de contraseñas filtradas en hackeos anteriores, que se pueden comprar en la dark web. Existen softwares capaces de sustituir las letras de una palabra por los signos más parecidos, por ejemplo, cambiar la “e” por el “3” y así el ataque de diccionario se vuelve más eficaz.
- Ataque de fuerza bruta inversa: se da cuando el cibercriminal ya conoce la contraseña de acceso y lo que necesita averiguar es el nombre de usuario o número de cuenta de la víctima.
- Ataque híbrido de fuerza bruta: combina un ataque de diccionario y uno de fuerza bruta simple para descifrar la combinación de palabras y números de una contraseña. Funciona muy bien porque es común que agreguemos cuatro números luego de las palabras, que suelen ser un año especial en nuestra vida, así que siempre empezará con uno o dos. ¡Quedan solo tres números por adivinar! Otra vez, ¡predecibles y vulnerables!
- Credential stuffing: el relleno de credenciales consiste en usar inmensas bases de usuarios y contraseñas robadas para completar datos de acceso en un sinnúmero de plataformas. Se estima que más de 8.500 millones de usuarios y claves han sido filtradas en la dark web. Este tipo de ataque es exitoso porque erróneamente tendemos a reutilizar credenciales de acceso. ¡Algo que nunca debes hacer!
- Propagación de contraseña: con este tipo de ataque de fuerza bruta se prueba una contraseña en varias plataformas utilizadas por el usuario, a diferencia de otros ataques que escogen una plataforma para probar varias credenciales. Es útil porque esquiva el bloqueo de cuenta por número limitado de intentos fallidos.
Evita los ataques de fuerza bruta: la contraseña es la clave
Para no caer en este tipo de ataques, una contraseña segura lo es todo. Después de leer este post, te habrás dado cuenta que debes tratar de ser menos predecible para los ciberdelincuentes. Recapitulemos algunas lecciones para evitar este tipo de ataque.
- No uses contraseñas débiles: evita usar solo palabras, solo minúsculas o solo números para tus contraseñas. 123456 y qwerty son las claves más usadas a nivel mundial y por lo tanto más vulnerables.
- Evita las contraseñas cortas: mientras más larga y “desordenada” sea tu contraseña, mayor el nivel de complejidad y menor la probabilidad de descifrarla.
- Vuélvete impredecible: no uses fechas o palabras que serían fáciles de descubrir a través de una corta investigación en redes sociales.
- Activa la autenticación en dos pasos (2FA): empieza a agregar un segundo nivel de seguridad a tus cuentas y verifica tu identidad cada vez que ingresas a ellas. ¡Evita la suplantación de identidad y hackeo de cuentas!
- Utiliza un gestor de contraseñas: te ayudará a recordar tus nuevas y complejas claves. Además, te ayudan a crear credenciales bajo altos estándares de seguridad y te ahorran muchos dolores de cabeza.
- Cambia tus claves periodicamente: la posibilidad de ser víctima de un ataque de fuerza bruta disminuye considerablemente si cambias constantemente las contraseñas de tus cuentas, redes sociales y otras plataformas. ¡Nunca recicles credenciales
- Actualiza tu equipo: mantener actualizado el sistema operativo de tu computadora soluciona brechas de seguridad por las que, de otra manera, podría entrar un malware y quedar propensa a un ataque de fuerza bruta.
Bonus
Aun cuando creas que estás siendo bastante impredecible, ¡duda! Sino, mira estos patrones del teclado más utilizados a nivel mundial y que parecen ser contraseñas complejas pero en realidad no lo son. ¡Evita usarlos por tu seguridad!
Patrones comunes del teclado que se usan como contraseñas (inseguras)
Jamás uses estos patrones del teclado para crear tus contraseñas.
Recuerda, un ataque de fuerza bruta es un golpe a tu seguridad en internet y a tus cuentas bancarias. Ahora que ya conoces la importancia de crear contraseñas robustas, es hora de actualizar tus credenciales y proteger lo más valioso que tienes en la web: tus datos.