¿Qué son los ataques de fuerza bruta y cómo puede protegerse?

  • Michael Cain
  • 0
  • 4694
  • 430
Anuncio

Si lee nuestros artículos de seguridad de forma regular, como este sobre probar la seguridad de su contraseña Pruebe la seguridad de su contraseña con la misma herramienta que usan los piratas informáticos Pruebe su fuerza de contraseña con la misma herramienta que usan los piratas informáticos ¿Está segura su contraseña? Las herramientas que evalúan la seguridad de su contraseña tienen poca precisión, lo que significa que la única forma de probar realmente sus contraseñas es intentar romperlas. Veamos cómo. - probablemente has escuchado la frase “ataque de fuerza bruta.” Pero, ¿qué significa eso exactamente? ¿Como funciona? ¿Y cómo puedes protegerte contra eso? Esto es lo que necesitas saber.

Ataques de fuerza bruta: los fundamentos

Cuando se trata de eso, un ataque de fuerza bruta es realmente simple: un programa de computadora intenta adivinar una contraseña o una clave de cifrado iterando a través de todas las combinaciones posibles de un cierto número de caracteres. Por ejemplo, supongamos que escribió una aplicación que intentó forzar por fuerza bruta una contraseña de iPhone de cuatro números. Podría adivinar 1111, luego 1112, luego 1113, 1114, 1115, y así sucesivamente hasta llegar a 9999.

El mismo principio se puede aplicar con contraseñas más complicadas. Un algoritmo de fuerza bruta podría comenzar con aaaaaa, aaaaab, aaaaaac, luego pasar a cosas como aabaa1, aabaa2, aabaa3, y así sucesivamente, a través de todas las combinaciones de seis caracteres de números y letras hasta zzzzzz, zzzzz1 y más allá.

También hay una técnica conocida como el ataque de fuerza bruta inversa, en el que una contraseña se prueba contra muchos nombres de usuario diferentes. Esto es menos común y más difícil de usar con éxito, pero evita algunas contramedidas comunes.

Como puede ver, esta es una forma poco elegante de adivinar una contraseña. Sin embargo, teóricamente, si tuviera suficiente potencia informática y suficiente energía, podría adivinar cualquier contraseña. Pero si está usando otra cosa que no sea una contraseña corta y simple, no tiene nada de qué preocuparse, ya que la cantidad de potencia informática que se necesitaría para adivinar una contraseña más larga requeriría una gran cantidad de energía y podría llevar años. completar.

Ataques avanzados de fuerza bruta

Debido a que los ataques de fuerza bruta sobre cualquier cosa que no sean contraseñas muy simples son lamentablemente ineficientes y requieren mucho tiempo, los hackers han creado algunas herramientas que los hacen más efectivos.

Un ataque de diccionario, por ejemplo, no solo recorre todas las combinaciones posibles de caracteres; utiliza palabras, números o cadenas de caracteres de una lista precompilada que el pirata informático considera que es al menos algo más probable que el promedio de aparecer en una contraseña (este es el tipo de ataque que puede ejecutar con una penetración de red bastante simple prueba de software Cómo probar la seguridad de su red doméstica con herramientas de piratería gratuitas Cómo probar la seguridad de su red doméstica con herramientas de piratería gratuitas Ningún sistema puede ser completamente "a prueba de piratería", pero las pruebas de seguridad del navegador y las salvaguardas de la red pueden hacer que su configuración sea más sólida. estas herramientas gratuitas para identificar "puntos débiles" en su red doméstica)..

Por ejemplo, un ataque de diccionario puede probar varias contraseñas comunes antes de entrar en un ataque de fuerza bruta estándar, como “contraseña,” “mi contraseña,” “Déjame entrar,” y así. O podría agregar “2016” al final de todas las contraseñas que intenta antes de pasar a la siguiente contraseña.

Existen varios métodos para usar los ataques de fuerza bruta, pero todos se basan en probar una gran cantidad de contraseñas lo más rápido posible hasta encontrar la correcta. Algunos requieren más potencia informática, pero ahorran tiempo; algunos son más rápidos, pero requieren una mayor cantidad de almacenamiento para usar durante el ataque.

Donde los ataques de fuerza bruta son peligrosos

Los ataques de fuerza bruta se pueden usar en cualquier cosa que tenga una contraseña o una clave de cifrado, pero muchos lugares donde podrían usarse han implementado contramedidas efectivas contra ellos (como verás en la siguiente sección).

Usted corre el mayor peligro de un ataque de fuerza bruta si pierde sus datos y un pirata informático se apodera de ellos: una vez que está en su computadora, se pueden eludir algunas de las salvaguardas que están en su máquina o en línea..

¿Cómo podría un malhechor ingresar sus datos en su computadora? Podría perder una unidad flash, tal vez dejándola en el bolsillo de su ropa que envió a una tintorería, como las 4.500 unidades flash encontradas en 2009 en el Reino Unido. O, al igual que los otros 12,500 dispositivos encontrados, puede dejar un teléfono o una computadora portátil en una cabina. Es algo fácil de hacer.

O tal vez alguien pudo descargar algo de un servicio en la nube porque compartió un enlace acortado inseguro ¿Los enlaces acortados comprometen su seguridad? ¿Los enlaces acortados comprometen su seguridad? Un estudio reciente mostró que la conveniencia de los acortadores de URL como bit.ly y goo.gl podría presentar un riesgo significativo para su seguridad. ¿Es hora de salir de las herramientas de acortador de URL? . O tal vez te golpearon con un ransomware que no solo bloqueó tu computadora, sino que también robó algunos de tus archivos.

El punto de todo esto es que los ataques de fuerza bruta no son efectivos en algunos lugares, pero hay muchas maneras en que podrían implementarse contra sus datos. La mejor manera de evitar que sus datos entren en la computadora de un pirata informático es hacer un seguimiento cercano de dónde están sus dispositivos (¡especialmente las unidades flash!).

Protección contra ataques de fuerza bruta

Hay una serie de defensas que los sitios web o las aplicaciones pueden usar contra los ataques de fuerza bruta. Uno de los más simples y más utilizados es el bloqueo: si ingresa una contraseña incorrecta varias veces, la cuenta se bloquea y debe ponerse en contacto con el servicio al cliente o su departamento de TI. Esto detiene un ataque de fuerza bruta en su camino.

Se puede usar una táctica similar con un desafío CAPTCHA Todo lo que siempre quiso saber sobre CAPTCHA pero tenía miedo de preguntar [Explicación de la tecnología] Todo lo que siempre quiso saber sobre CAPTCHA pero tenía miedo de preguntar [Explicación de la tecnología] Ámelos u odíelos - Los CAPTCHA se han vuelto omnipresentes en Internet. ¿Qué demonios es un CAPTCHA de todos modos, y de dónde vino? Responsable de la fatiga visual en todo el mundo, el humilde CAPTCHA ... u otras tareas similares. Ninguno de estos métodos funcionará contra un ataque de fuerza bruta inversa, ya que solo fallará una prueba de contraseña una vez para cada cuenta.

Otro método que se puede utilizar para prevenir estos ataques (tanto estándar como inverso) es la autenticación de dos factores. ¿Qué es la autenticación de dos factores y por qué debe usarla? ¿Qué es la autenticación de dos factores y por qué debe usarla? La autenticación (2FA) es un método de seguridad que requiere dos formas diferentes de demostrar su identidad. Se usa comúnmente en la vida cotidiana. Por ejemplo, pagar con tarjeta de crédito no solo requiere la tarjeta, ... (2FA); incluso si un hacker adivina la contraseña correcta, el requisito de otro código o entrada detendrá un ataque incluso si adivina la contraseña correcta. Afortunadamente, cada vez más servicios están incorporando 2FA Bloquee estos servicios ahora con autenticación de dos factores Bloquee estos servicios ahora con autenticación de dos factores La autenticación de dos factores es la forma inteligente de proteger sus cuentas en línea. Echemos un vistazo a algunos de los servicios que puede bloquear con mayor seguridad. en sus sistemas. Puede ser una molestia ¿Puede la verificación en dos pasos ser menos irritante? Cuatro trucos secretos garantizados para mejorar la seguridad ¿Puede la verificación en dos pasos ser menos irritante? Cuatro trucos secretos garantizados para mejorar la seguridad ¿Desea seguridad de la cuenta a prueba de balas? Le recomiendo habilitar lo que se llama autenticación de "dos factores". , pero te protegerá contra muchos ataques.

Vale la pena señalar que, si bien estas tácticas son excelentes para evitar ataques de fuerza bruta, también se pueden usar para atacar un sitio de otras maneras. Por ejemplo, si se lanza un ataque de fuerza bruta contra un sitio que bloquea cuentas después de cinco intentos incorrectos, su equipo de servicio al cliente podría verse inundado de llamadas, lo que ralentizaría el sitio. También podría emplearse como parte de un ataque distribuido de denegación de servicio ¿Qué es un ataque DDoS? [MakeUseOf explica] ¿Qué es un ataque DDoS? [Explica MakeUseOf] El término DDoS silba cuando el ciberactivismo levanta su cabeza en masa. Este tipo de ataques son titulares internacionales debido a múltiples razones. Los problemas que impulsan esos ataques DDoS son a menudo controvertidos o muy ... .

Con mucho, la forma más fácil de protegerse contra un ataque de fuerza bruta es usar una contraseña larga. A medida que aumenta la longitud de una contraseña, la potencia de cálculo necesaria para adivinar todas las combinaciones de caracteres posibles crece muy rápidamente. En un documento sobre los riesgos de seguridad de los acortadores de URL, los investigadores mostraron cómo los tokens de cinco, seis y siete caracteres eran fáciles de adivinar, pero los tokens de 11 y 12 caracteres eran casi imposibles.

Puede aplicar la misma lógica a sus contraseñas. Utilice contraseñas seguras 6 consejos para crear una contraseña irrompible que pueda recordar 6 consejos para crear una contraseña irrompible que pueda recordar Si sus contraseñas no son únicas e irrompibles, también puede abrir la puerta principal e invitar a los ladrones a almorzar. , y serás inmune a los ataques de fuerza bruta.

Un ataque sorprendentemente efectivo

Por lo simple y poco elegante que es, se llama “fuerza bruta” después de todo, por una razón: este tipo de ataque puede ser sorprendentemente efectivo para obtener acceso a áreas encriptadas y protegidas con contraseña. Pero ahora que sabe cómo funciona el ataque y cómo puede protegerse contra él, no debería tener mucho de qué preocuparse!

¿Utiliza autenticación de dos factores? ¿Conoces otras buenas defensas contra los ataques de fuerza bruta? Comparte tus pensamientos y consejos a continuación!

Créditos de imagen: TungCheung a través de Shutterstock, cunaplus a través de Shutterstock.




Nadie ha comentado sobre este artículo todavía.

Sobre tecnología moderna, simple y asequible.
Tu guía en el mundo de la tecnología moderna. Aprenda a usar las tecnologías y los dispositivos que nos rodean todos los días y aprenda a descubrir cosas interesantes en Internet.