¿Qué es un ataque por fuerza bruta y cómo prevenirlo?

Device hacking the computer through internet
Haz clic aquí para ver un breve resumen
¿Qué es un ataque por fuerza bruta? Un rápido resumen

Un ataque por fuerza bruta es un intento de adivinar un nombre de usuario o contraseña a través del ensayo y error. El programa de fuerza bruta intenta iniciar sesión en un servicio usando miles, si no millones, de combinaciones de caracteres. Algunos ataques por fuerza bruta son más complejos. Usan antiguas credenciales hackeadas como base para el intento de ataque por fuerza bruta.

Si quieres protegerte de este tipo de ataques, esto es lo que debes hacer:

  1. Usa contraseñas más largas y más complejas.
  2. Configura la autenticación multifactor.
  3. Suscríbete a un gestor de contraseñas. Te recomendamos 1Password. Es seguro y asequible.
Visita 1Password

Si quieres saber más sobre cómo funcionan los ataques por fuerza bruta, y cómo protegerte, lee a continuación todo nuestro artículo.

¿Te has preguntado alguna vez cómo los hackers consiguen tener en sus manos las contraseñas de víctimas inconscientes? No siempre es explotando vulnerabilidades de seguridad de una gran plataforma. A veces, se trata, simplemente, de probar combinaciones de letras y números aleatorios. Eso es lo que un ataque por fuerza bruta hace.

Un ataque por fuerza bruta es un intento vía ensayo y error de adivinar las credenciales de inicio de sesión de un usuario, es decir, su nombre de usuario y contraseña. Estos intentos se basan en un algoritmo que usa un diccionario o una lista de posibles credenciales. El algoritmo intentará distintas variaciones hasta que encuentre las credenciales correctas.

Esto es lo básico, pero los ataques por fuerza bruta modernos son mucho más complejos. ¿Cómo funcionan, exactamente? ¿Y cómo puedes protegerte contra los ataques por fuerza bruta?

¿Cómo funciona un ataque por fuerza bruta?

En su forma más simple, un ataque por fuerza bruta intentará adivinar la combinación de nombre de usuario y contraseña. Así es cómo lo suelen hacer los hackers:

  1. A través de generación de credenciales, instruirán a las herramientas de fuerza bruta para generar combinaciones de credenciales con un conjunto de parámetros, como una longitud de más de seis símbolos en la contraseña.
  2. El programa generará una (muy) larga lista de combinaciones. Hablamos de billones de opciones.
  3. Las herramientas de ataque por fuerza bruta intentarán iniciar sesión en un servicio en concreto con cada combinación individual de credenciales. Este proceso al completo puede durar días, semanas o meses, incluso usando un ordenador potente.

Si una combinación de credenciales acaba desbloqueando una cuenta, el ataque por fuerza bruta habrá sido un éxito y el hacker tendrá acceso a esa cuenta.

Distintos tipos de ataques por fuerza bruta

La explicación de antes describe un hipotético intento por fuerza bruta. En la vida real, sin embargo, estos simples ataques por fuerza bruta normalmente no son suficientes para hackear una cuenta. La mayoría de las veces, un ataque por fuerza bruta exitoso necesita una combinación de diferentes tipos de intentos. Los enumeramos a continuación.

Infographic showing the types of Brute force attempts

1. Ataques por fuerza bruta básicos

Los intentos básicos de hackear las cuentas de alguien funcionan con listas de credenciales generadas. Programas como Hydra generan combinaciones de credenciales, las cuales pueden usarse como nombres de usuario y contraseñas en distintas plataformas. Sin embargo, este tipo de intento de ataque por fuerza bruta no es extremadamente efectivo, y es fácil ver el motivo.

El número total de combinaciones de letras, números y símbolos en una cadena de seis caracteres llega hasta los billones. Añade que tengan en cuenta mayúsculas y minúsculas y el hecho de que hay muchas contraseñas con más de seis caracteres, y verás el problema. Incluso para un ordenador, son un montón de combinaciones aleatorias a probar.

En resumen, los hackers con estos ataques por fuerza bruta básicos no llegarán muy lejos.

2. Ataques por fuerza bruta híbridos

Los ataques por fuerza bruta híbridos añaden unas reglas lógicas a la generación de credenciales. Los hackers podrían hacer una lista de nombres de usuario comunes e intentar solo generar credenciales para la contraseña, por ejemplo.

Digamos que un hacker quiere introducirse en el área de administración de una pequeña web. En lugar de generar símbolos para el nombre usuario, crean una lista de opciones como «admin», «oficina» y el nombre del propietario del sitio.

El programa solo intentará rellenar el campo de nombre de usuario con las opciones de esa lista. Para el campo de la contraseña, usarán un ataque por fuerza bruta básico para intentar tantas combinaciones como sean necesarias para conseguir la contraseña correcta.

3. Ataque por fuerza bruta inverso

Un ataque por fuerza bruta inverso usará contraseñas comunes, como «12345» o «contraseña», y luego generará nombres de usuario hasta que encuentren el que se ajusta a esa contraseña. Por supuesto, los hackers también pueden combinar estos ataques por fuerza bruta inversos con una aproximación híbrida para ser más eficientes.

Los ataques por fuerza bruta inversos son realizados normalmente en aplicaciones o webs en las que un hacker ya tiene otros detalles.

4. Ataque de diccionario

Los ataques de diccionario son como una versión mejorada de los ataques básicos. En lugar de combinar todos los caracteres, los ataques de diccionario giran en torno a cadenas y frases que son usadas comúnmente en credenciales. Todos estos patrones usados comúnmente se recolectan en un diccionario, el cual se usa para hacer los intentos de inicio de sesión. Ejemplos podrían ser nombres para los campos de usuario y cadenas numéricas para los campos de las contraseñas.

Los intentos de ataque por fuerza bruta de diccionario tienen una alta tasa de éxito, pero son complicados de montar. Cuanta más información puedan los hackers añadir al diccionario, mejor (y más peligroso) se vuelve.

5. Reciclaje de credenciales

Uno de los tipos de intentos de ataque por fuerza bruta más efectivos es el reciclaje de credenciales. Esto ocurre cuando los hackers empiezan su intento de ataque por fuerza bruta con una base de datos de credenciales robadas que han conseguido de donde sea, a menudo en la dark web.

Si un hacker compra un bot de Genesis Market, por ejemplo, podría encontrar que algunas credenciales ya no funcionan. Entonces pueden intentar usar la fuerza bruta para probar nuevas contraseñas para los nombres de usuario que ya conoce.

6. Ataque por fuerza bruta de tabla arcoíris

Los ataques por fuerza bruta de tabla arcoíris son un poco más complicados que los ataques por fuerza bruta corrientes. Para entenderlos necesitamos un poco de contexto.

Las webs pueden almacenar nuestras contraseñas de tres formas:

  • El texto plano es muy peligroso, ya que cualquier brecha lleva a una pérdida directa de credenciales.
  • El texto cifrado es mejor, pero no perfecto, puesto que cualquier pieza de texto cifrado también puede ser descifrado. El proceso va en las dos direcciones.
  • Los hash solo funcionan en una dirección: tú puedes convertir una cadena de texto plano en un hash, pero no puedes volver el hash a texto plano. Esto significa, en teoría, que los hash son un método infalible de almacenamiento de credenciales.

Por desgracia, a la práctica, los hash aún pueden ser descifrados, y en eso es en lo que un ataque por fuerza bruta de tabla arcoíris se centra. La mayoría de algoritmos de hash (los programas que convierten las contraseñas de texto plano en un hash) son optimizados para funcionar realmente rápido, por lo que pueden calcular tantas entradas como sea posible. Usando este defecto de diseño, los hackers pueden continuar intentando todas las contraseñas del mundo como un hash, hasta que encuentran el correcto.

Para hacer esto de forma eficiente, los hackers usan una tabla arcoíris. Estas son listas de hash precalculados representando, a menudo, contraseñas usadas, como «contraseña», «1234» o «qwerty». Si tienes una contraseña débil como esas, es más probable que caigas víctima de un ataque por fuerza bruta, incluso cuando tu contraseña es un hash. Sin embargo, ya que se requiere muchos conocimientos en criptografía, no son tan habituales.

¿Cuáles son los peligros de la fuerza bruta?

Los ataques por fuerza bruta ponen en peligro la privacidad y seguridad de gente de todo el mundo. Son más comunes de lo que puedas imaginar. En 2021, el 23 % de las empresas seguidas por Verizon informaron de ataques por fuerza bruta.

Cuando los hackers realizan con éxito un ataque por fuerza bruta, esto puede causar muchos problemas diferentes. Para las personas individuales, las consecuencias pueden incluir:

  • Contenido spam publicado en sus perfiles de redes sociales.
  • Pérdida de acceso a la cuenta hackeada.
  • Brecha de datos y conversaciones privadas.
  • Difusión de software malicioso o estafas a través de tu lista de contactos.

Cuando un ataque por fuerza bruta tiene por objetivo cuentas de desarrolladores, las consecuencias son incluso más severas. Recibirás todos los efectos negativos de la lista anterior multiplicados por el número de usuarios en la aplicación o web del desarrollador.

Cómo prevenir los ataques por fuerza bruta

Si eres alguien de mentalidad enfocada hacia la privacidad y que quiere estar protegido de los intentos de ataque por fuerza bruta, aquí tienes algunas cosas que puedes hacer:

Infographic showing examples of how to prevent Brute force attacks

  • Crear contraseñas largas. Cuanto más larga sea una contraseña, más duro es romperla a través de la fuerza bruta. Cada intento de fuerza bruta basado en la generación de credenciales necesita una longitud para las contraseñas a generar. Si tu contraseña es más larga de, digamos 15 o 20 caracteres, es incluso improbable que seas objeto de un ataque.
  • Crear contraseñas más complejas. Si usas distintos tipos de caracteres en tu contraseña, incluyendo letras, números y símbolos, será más complicado para los hackers adivinarla, incluso cuando usen algoritmos.
  • No uses una contraseña para más de un servicio. De esta forma, si los hackers entran en una de tus cuentas, los ciberdelincuentes no podrán usar esa información para obtener acceso a otras cuentas.
  • Activa la autenticación multifactor. Esta es una capa extra de protección en tu cuenta que requiere una segunda verificación antes de iniciar sesión, por ejemplo introduciendo un código que recibes a través de texto. Con la autenticación multifactor, aunque un hacker logre adivinar tu contraseña, no podrá obtener acceso instantáneo a tu cuenta.
  • Usa un gestor de contraseñas. Si no quieres molestarte en crear una larga y compleja contraseña para todas tus cuentas, un gestor de contraseñas se encargará de ello. Esto te permite usar mejores contraseñas sin tener que acordarte de todas ellas. Personalmente, recomendamos 1Password, ya que es un servicio seguro que es muy fácil de usar.

Mejora tu seguridad en línea

Incluso con la mejor de las contraseñas, tus credenciales continúan siendo vulnerables a las brechas. Cosas como las campañas de phishing y los ataques de intermediario son siempre posibles. Si tus credenciales fueron hackeadas por otros medios, incluso pueden ser usadas para rellenar credenciales para intentos de fuerza bruta. Por eso es importante mejorar tu seguridad en línea general.

Si quieres estar protegido en línea, deberías ser precavido a la hora de hacer clic en enlaces desconocidos, ser escéptico con el contacto con extraños y mantenerse lejos de aplicaciones o sitios sospechosos.

Más allá de esto, también te recomendamos usar una aplicación especial de seguridad. Las que te asegurarán altos niveles de seguridad en línea son una buena VPN y un antivirus fiable. Estos asegurarán tu conexión y te protegerán de malware o virus no deseados.

Qué hacer cuando eres objeto de un ataque por fuerza bruta

Es complicado decir cuando eres objeto de un ataque por fuerza bruta mientras está ocurriendo. Un fuerte indicio es si recibes múltiples correos electrónicos de la plataforma donde se están haciendo intentos de inicio de sesión cuando tú no estás intentando acceder. Más allá de eso, sin embargo, probablemente ni te darás cuenta hasta que tu cuenta ya haya sido hackeada.

Esto es lo que puedes hacer si estás recibiendo un ataque por fuerza bruta:

  • Contacta con la plataforma en la que tu cuenta está registrada. Si tienes suerte, un representante te ayudará a congelar tu cuenta. Si la cuenta ya se ha visto comprometida y no puedes recuperarla, ellos tal vez puedan eliminar la cuenta para que nadie se haga pasar por ti.
  • Cambia tu contraseña. Si aún tienes acceso a tu cuenta, asegúrate de cambiar tu contraseña a algo que sea único y seguro. Esto hará que sea menos probable que un ataque por fuerza bruta tenga éxito adivinando tus credenciales.
  • Configura la autenticación multifactor si aún no lo has hecho. Esto se asegurará de que, incluso si un intento por fuerza bruta tiene éxito, no les dé acceso a tu cuenta a los atacantes.

Ya que los ataques por fuerza bruta pueden ser usados para atacar a cualquier persona, no hay forma de estar seguro de que no serás un objetivo. Sin embargo, con cambios regulares de contraseña y los consejos anteriores, puedes conseguir que haya más probabilidades de que un ataque por fuerza bruta a tu cuenta falle.

Protección contra ataques por fuerza bruta para desarrolladores

Si gestionas una aplicación o sitio web que almacena información de inicios de sesión, es importante que tomes algunas medidas para proteger a tus usuarios de los intentos por fuerza bruta. Estas son las mejores prácticas para limitar los intentos por fuerza bruta en tu plataforma:

  • Limitar los intentos de inicio de sesión. De esta manera, los ataques por fuerza bruta tardarán considerablemente más tiempo en tu web. La mayoría de hackers se desalentarán de incluso intentar un ataque por fuerza bruta en una web con un número limitado de intentos de inicio de sesión.
  • Activa los captcha en tu página de inicio de sesión. Sabemos que esto puede ser molesto para algunos usuarios, pero los captchas (esas ventanas emergentes «prueba que no eres un robot») son uno de los métodos más fiables para prevenir los ataques por fuerza bruta.
  • Configura contraseñas de un solo uso (OTP en sus siglas en inglés). Las OTP son contraseñas de un solo uso necesarias para iniciar sesión en servicios o verificar transacciones. Se usan principalmente en el sector financiero. No es la forma más amigable para el usuario de asegurar una plataforma en línea, pero si lidias con datos sensibles (por ejemplo, si tienes una startup Fintech) es algo a considerar.

Protégete contra otros tipos de ciberdelitos leyendo nuestros recursos.

Ataques por fuerza bruta: Preguntas frecuentes

Esperamos que nuestro artículo haya respondido a todas tus preguntas sobre los ataques por fuerza bruta. Si todavía tienes alguna más, echa un ojo a nuestra sección de preguntas frecuentes de abajo.

Un ataque por fuerza bruta es un intento de hackeo que usa programas especializados para adivinar credenciales de usuario. El programa sacará caracteres de un diccionario, o de una lista de credenciales, y los introducirá en la página de inicio de sesión. Si quieres saber más sobre cómo funciona esto y cómo protegerte contra este tipo de ataques, puedes leer todo el artículo.

Desafortunadamente, los ataques por fuerza bruta funcionan. En 2021, el 23 % de las empresas preguntadas por Verizon informaron de intentos de ataque por fuerza bruta en sus sistemas. Hay que decir que los ataques por fuerza bruta tardan mucho tiempo en hackear con éxito credenciales de cuentas. Esto hace que sean complicados de comenzar, especialmente para ciberdelincuentes que no tienen ordenadores potentes. Si quieres saber más sobre los ataques por fuerza bruta, lee nuestro artículo.

Digamos que un ciberdelincuente quiere hackear cuentas de un pequeño sitio de comercio electrónico con pocas medidas de seguridad. Ejecutarán un programa como Hydra para generar combinaciones de credenciales. A continuación, el programa introducirá esas combinaciones en la página de inicio de sesión de la web. Cuando encuentra una combinación que inicia sesión con éxito (piensa que esto puede tardar semanas o meses), notifica al ciberdelincuente, y este obtendrá acceso.

Sí, en la mayoría de los casos los ataques por fuerza bruta son ilegales. Los hackers éticos pueden intentar un ataque por fuerza bruta para descubrir agujeros de seguridad. Esto sucede habitualmente en plataformas internas de una empresa. Sin embargo, un ataque por fuerza bruta que intente robar las credenciales de alguien, es ilegal.

International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.