¿Qué es un ataque de fuerza bruta en ciberseguridad?

Es bien sabido que el uso de contraseñas complejas y únicas es una medida sencilla que toda empresa debe tomar para proteger sus dispositivos. Esta práctica surge, en parte, como respuesta a los ataques de fuerza bruta, ciberataques que consisten en descifrar las credenciales de acceso por prueba y error.

A continuación, te explicamos en qué consisten estos ataques y por qué es importante que las empresas tomen medidas de ciberseguridad para evitarlos. ¡Comencemos!

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un intento repetitivo y sistemático de descifrar una contraseña, clave o credencial al probar todas las combinaciones posibles hasta encontrar la correcta. Se trata de ciberataques que no requieren de una estrategia compleja, sino la aplicación del método de prueba y error, aplicando diferentes combinaciones de caracteres.

Debido a que deben realizar un gran número de intentos antes de dar con la contraseña correcta, los ciberdelincuentes usualmente crean bots o botnets para probar con una cantidad enorme de posibles contraseñas a la vez, disminuyendo así el tiempo que tardarían en lograr acceder a los datos personales o confidenciales de la víctima.

Este método de ataque usualmente es utilizado para descifrar nombre de usuario, contraseñas, claves de cifrado, claves API (siglas de Application Programming Interfaces) e inicios de sesión de SSH (siglas de Secure SHell, un programa que permite acceso remoto a un servidor por un canal seguro).

Tipos de ataques de fuerza bruta

Existen diferentes tipos de ataque de fuerza bruta, teniendo en común que todas parten de probar diferentes combinaciones hasta llegar a la contraseña de un usuario. A continuación explicamos cada uno:

Credential stuffing 

El credential stuffing o relleno de credenciales consiste en aprovecharse de filtraciones de contraseñas (que pueden ser compradas en la Dark Web) para rellenar los campos de acceso en múltiples plataformas hasta conseguir uno que coincida. 

Este método es sumamente efectivo, incluso si el usuario utiliza una contraseña compleja, pues muchas personas utilizan la misma contraseña (que podría haber sido filtrada previamente) en múltiples cuentas a pesar de saber que esto implica una vulnerabilidad informática.

Ataques de fuerza bruta simples

Los ataques de fuerza bruta simples utilizan el método de prueba y error descrito anteriormente. Prueban combinaciones de caracteres al azar hasta descifrar las credenciales de la víctima. Suelen tener éxito si el usuario utiliza contraseñas cortas, con combinaciones de números y/o palabras fáciles de adivinar (como «12345678» o la fecha de cumpleaños de la víctima, por ejemplo).

Ataque de fuerza bruta inversa

En lugar de crear las credenciales al azar para conseguir la correcta, en este caso los ciberdelincuentes se aprovechan de bases de datos con recopilaciones de contraseñas ampliamente utilizadas que están disponibles en línea, y prueban estas contraseñas en múltiples sitios web hasta tener una coincidencia.

Ataques de fuerza bruta híbridos

Los ataques híbridos son llevados a cabo con un programa informático que utiliza lógica externa para determinar qué combinaciones de caracteres tienen más probabilidades de ser la contraseña correcta, y posteriormente prueban todas las variaciones de ese conjunto de caracteres.

Ataque de diccionario

Los ataques de diccionario utilizan palabras comunes, extraídas del diccionario, y modifican algunas letras por caracteres especiales o números para el descifrado de contraseñas. Por ello, no es recomendable utilizar palabras o frases sencillas que podrían estar en un diccionario como contraseñas.

Rociado de contraseñas

Los ataques de rociado de contraseñas consisten en elegir un pequeño grupo de contraseñas comunes y llevar a cabo varios intentos de inicio de sesión en distintas cuentas de usuarios.

¿Qué peligros implica un ataque de fuerza bruta?

Una vez que un ciberdelincuente logra la verificación de la contraseña o credenciales correctas, consigue acceso a cuentas o sistemas protegidos y puede comprometer la privacidad de los datos confidenciales. Esto puede incluir información personal, cuentas de redes sociales, datos financieros, información comercial sensible y contraseñas de usuarios.

Las razones por las cuales se llevan a cabo este tipo de ataques son muy variables, pero comprender algunos de los motivos más frecuentes permite identificar algunos de sus riesgos. La mayoría de los ataques de fuerza bruta buscan:

Adware

Si un ciberdelincuente logra obtener acceso privilegiado a un sitio web, puede colocar anuncios que aparezcan en forma de spam al usuario y obtener una ganancia económica por cada clic que se realice en los mismos.

Difundir malware

Al tener acceso a plataformas y sitios web muy visitados, los hackers pueden dejar enlaces que descarguen distintos tipos de malware a los dispositivos de la víctima.

Robo de información

Los ciberdelincuentes pueden vender datos de navegación a anunciantes, o aprovecharse de la información confidencial que obtienen para llevar a cabo ataques de phishing y robo de identidad.

Secuestro de sistemas o ransomware

Al infectar un dispositivo con ransomware, el cibercriminal puede impedir que la víctima acceda a sus propios archivos y pedir que pague una suma de dinero para devolverle el acceso.

Cómo evitar ser víctima de un ataque de fuerza bruta

Los ataques de fuerza bruta son ampliamente utilizados debido a que son relativamente fáciles de llevar a cabo. Sin embargo, hay muchas medidas de ciberseguridad que pueden tomarse para prevenirlos y disminuir su impacto:

Utiliza contraseñas seguras

Una de las medidas más sencillas y efectivas es el uso de contraseñas seguras. Para que una contraseña compleja sea lo suficientemente segura, debe tener más de 8 caracteres e incluir letras, números y caracteres especiales, entre otras especificaciones. Cumpliendo con esto, la contraseña será más difícil de descifrar para el atacante, pudiendo tomar incluso años para descifrarla.

Existen herramientas que permiten crear y gestionar contraseñas únicas, de manera que no sea necesario invertir tiempo y esfuerzo en crear y recordar contraseñas complejas.

Activa el doble factor de autenticación

Una contraseña, por más compleja y segura que sea, podría ser obtenida mediante un ciberataque. Por eso, siempre es recomendable activar el doble factor de autenticación o 2FA, de manera que si alguien intenta iniciar sesión desde un dispositivo desconocido, le solicitará un paso adicional de autenticación (como un mensaje de texto o el uso de la huella dactilar) para permitirle acceso de la cuenta.

Bloquea automáticamente cuentas después de múltiples intentos fallidos

Otra manera sencilla de prevenir los ataques de fuerza bruta, que se valen de múltiples intentos de inicio de sesión, es restringir el número de intentos para acceder a una cuenta. Por ejemplo, se pueden programar las cuentas y dispositivos para que se bloqueen después de tres intentos fallidos de acceso, pues esto le da espacio a alguien que genuinamente cometió un error al ingresar los datos, pero no el suficiente para que un ciberdelincuente adivine la contraseña.

Adicionalmente, se puede añadir una cuenta regresiva entre intentos para frenar el proceso de acceso. De esta forma, no solo se bloquea el sistema tras tres intentos, sino que el hacker tendrá que esperar más tiempo antes de introducir nuevas credenciales, dando además tiempo al equipo de seguridad de TI (tecnología de la información) para detectar actividad sospechosa. 

Monitorea los registros de acceso

Se puede implementar un sistema de monitoreo de registros de acceso que permita identificar y responder rápidamente a intentos de inicio de sesión sospechosos o inusuales.

Eliminar las cuentas inactivas

Usualmente, no es suficiente con desactivar la cuenta de un empleado que deja la empresa, pues incluso así puede ser una puerta de entrada para agentes maliciosos. Por ello, es recomendable eliminar todas las cuentas inactivas con sus respectivas credenciales de acceso lo más rápido posible.

Revisa que tu empresa no utilice RDP

El protocolo de escritorio remoto o RDP (Remote Desktop Protocol) permite que un usuario controle un dispositivo de forma remota, lo cual permite que un técnico otorgue asistencia técnica a distancia, corrigiendo errores en tiempo real, y que las empresas supervisen la actividad de sus empleados, por ejemplo.

Sin embargo, si un ciberdelincuente logra acceder a este protocolo, también podrá controlar los dispositivos de la empresa a distancia. Por ello, es importante que si una empresa no utiliza RDP, desactive el protocolo para evitar un ataque por esta vía.

Mantén copias de seguridad actualizadas

Siempre es importante hacer copias de seguridad periódicamente para tener información actualizada y segura en un dispositivo seguro o en una nube protegida. Tomando esta medida, aunque un ataque de fuerza bruta tenga éxito y logre modificar o eliminar información confidencial, la empresa no enfrentará una pérdida tan severa.

Asesórate con expertos

Contratar un CISOaaS (Chief Information Security Officer as a Service) puede ser la mejor manera de tener un equipo de expertos en ciberseguridad asesorando a tu empresa para evitar este y otros tipos de ataque. Así mismo, el uso de servicios como Apolo, que permiten automatizar la identificación de amenazas, puede simplificar en gran medida la seguridad de las redes y dispositivos de una empresa.

En Delta Protect ayudamos a simplificar y automatizar la ciberseguridad de pymes y startups para evitar que sean víctimas de ataques de fuerza bruta y de otros ciberataques que puedan poner en riesgo su operatividad y reputación. ¡Enterate más sobre nosotros!