¿Qué son los ataques de fuerza bruta?
¿Y cómo funciona en la práctica un ataque de fuerza bruta?
Un ataque de fuerza bruta es un método de prueba y error utilizado para obtener información como contraseñas u otros códigos de acceso. El atacante prueba una variedad de posibles combinaciones de caracteres con la ayuda del software apropiado, con el objetivo de encontrar la secuencia de caracteres deseada para obtener acceso ilegal a datos sensibles, parcialmente encriptados.
¿Por qué son un peligro los ataques por fuerza bruta?
Teóricamente, un ataque de fuerza bruta puede ser usado para encontrar cualquier cadena de caracteres, aunque aquí, por supuesto, depende de lo bueno que sea el concepto de seguridad de la fuente. Esto se refiere a ciertas restricciones de acceso que, por ejemplo, regulan el número de entradas. En caso de que los datos de acceso sean incorrectos, también es posible rechazar otras entradas durante un cierto período de tiempo.
El trasfondo aquí es que los ataques de fuerza bruta pueden ser implementados mucho más rápido sin los mecanismos de seguridad descritos anteriormente. Dos factores que en principio determinan el éxito de un ataque de este tipo, son el componente de tiempo y los componentes de hardware utilizados para el ataque, que no deben subestimarse para la velocidad del método de ataque.
Este método de ataque, que algunos expertos llaman redundante, sigue siendo cada vez más utilizado por los delincuentes en Internet hoy en día. Esto se aplica en particular a los ataques a hosts FTP, puertos y clientes con una función de liberación activa para el escritorio remoto. Una avalancha formal de ataques puede iniciarse de forma automatizada. El propio atacante sólo tiene que definir en forma de parámetros las condiciones de contorno.
La longitud de la contraseña también es decisiva para el éxito de los ataques por fuerza bruta
La vulnerabilidad reside en la longitud de la contraseña. La mayoría de los usuarios son simplemente descuidados al elegir su combinación de contraseña. Esto aplica en particular a la definición de contraseñas para el acceso remoto. Aquí, por cualquier razón, a menudo se eligen combinaciones de caracteres superficiales y simples en forma de nombres, fechas de nacimiento o secuencias de atajos de teclado. Los usuarios que lo hacen se exponen a un riesgo de seguridad que no debe subestimarse. En particular, las combinaciones de contraseñas cortas con una longitud de caracteres de cuatro a seis dígitos se ven especialmente afectadas.
He aquí un ejemplo: en aras de la simplicidad, el empleado “A” selecciona una cadena de caracteres de cuatro dígitos que consiste sólo en letras minúsculas como contraseña para el acceso remoto al escritorio. El atacante “X” es consciente de que en la empresa en la que trabaja el empleado “A”, las precauciones de seguridad son sólo ligeramente pronunciadas. Por esta razón, el atacante decide comprobar todas las combinaciones de letras en minúsculas con una longitud de cuatro caracteres para obtener la contraseña del empleado “A”.
Las variantes resultantes ascienden a 456.976, lo que matemáticamente corresponde a 26^4. Utilizando un hardware potente, el atacante “X” puede establecer los parámetros correctos en su software de fuerza bruta y obtener la contraseña del empleado “A” en sólo unos segundos.
Este ejemplo, ilustra la relevancia de la longitud de la contraseña, que cada usuario debe tener en cuenta. A medida que aumenta la longitud de la contraseña, también aumenta el tiempo necesario para que el software del atacante descifre la combinación de contraseñas. Lo mismo se aplica al uso adicional de letras mayúsculas y minúsculas, así como de números y caracteres especiales. Por lo tanto, es aconsejable utilizar claves de acceso de 32 dígitos. Las longitudes comunes son, por ejemplo, 256 y 512 bits. Aquí el nivel de dificultad por parte del atacante es mucho mayor que con una cadena de caracteres de menor longitud.
5 consejos efectivos para protegerse contra ataques de fuerza bruta:
Como empresa, debe implementar conceptos de seguridad sostenibles que te ofrezcan a ti o a tu empresa la máxima protección. Por un lado, es necesario confiar en soluciones de software maduras y, por otro, reconocer los posibles puntos débiles relacionados con las personas en una fase temprana y tomar las medidas de precaución adecuadas. Esto significa, por ejemplo, sensibilizar a cada individuo de la empresa para que se adhiera meticulosamente a las especificaciones relacionadas con la seguridad.
1. Limitación de entrada de averías
Los ataques de fuerza bruta pueden ser contrarrestados muy eficazmente restringiendo y ralentizando al atacante en sus acciones. Como ya se ha mencionado, los ataques de esta forma siempre siguen el mismo patrón. Sin embargo, cabe señalar que un gran número de ataques de fuerza bruta podrían evitarse con medidas de precaución muy sencillas.
Esto se refiere, por ejemplo, a un modo de seguridad que bloquea la cuenta del usuario si se introduce un gran número de códigos de acceso incorrectos. Aquí se recomienda conectar la clave a una extensión sucesiva del intervalo de tiempo. Al hacerlo, reaccionará sobre todo al rendimiento cada vez mayor de las capacidades informáticas, que, por supuesto, también utilizan los ciberdelincuentes.
Por lo tanto, están en condiciones de salir con éxito de los sistemas moderadamente protegidos mediante ataques, acceder a contraseñas en pocos minutos o incluso segundos. La instalación de una clave provoca un retraso significativo en los ataques por fuerza bruta. No es posible bloquear los intentos de ataque en su conjunto.
Sin embargo, esto no siempre es una medida útil. Esto se debe a que el bloqueo frívolo de las cuentas de usuario implica un cierto esfuerzo adicional en la administración de una red corporativa. Aquí es necesario explorar un camino intermedio y determinar si este enfoque parece apropiado con respecto a la seguridad de la propia infraestructura de la empresa.
2. Uso de combinaciones seguras de contraseñas
Por otro lado, parece simple la opción de crear de antemano códigos de acceso difíciles para las cuentas de usuario, que se caracterizan por una cierta complejidad en su composición. En general, la regla básica es que el código de acceso no debe ser una combinación de palabras listadas en el diccionario. Esto previene principalmente los llamados ataques de diccionario, que en un ataque de fuerza bruta se basan en el procesamiento sucesivo de una lista de palabras.
3. Alternativas a las contraseñas convencionales
Otra forma de contener los ataques de fuerza bruta es eliminar completamente los códigos de acceso en forma de contraseñas. Una alternativa es el uso de fichas o de OTPs. El procedimiento de las así llamadas contraseñas de “una sola vez” previene completamente los ataques de repetición. Los atacantes falsifican una identidad extranjera. En un sentido más amplio, esto significa que cualquier autenticación subordinada requiere la generación de una comprobación adicional.
4. Autenticación multitrayecto
La solución de token es la autenticación de dos factores, también llamada 2FA. Esta medida de seguridad puede ser familiar para algunos en el campo de las transacciones bancarias. Además del inicio de sesión convencional, por ejemplo, se añade otro nivel de seguridad para realizar una transferencia. Esto puede tomar la forma de un código de transferencia SMS a través de un teléfono inteligente o un generador mTAN. Otra opción concebible es una prueba Turing, que proporciona información acerca de si la entrada es humana o controlada por ordenador. Esta forma de protección también se conoce como captcha.
5. Abstracción de estructuras estándar
Si, por ejemplo, la protección se refiere a un área de inicio de sesión de un CMS instalado, se debe tener cuidado de no adoptar estructuras de directorios especificadas por el fabricante, sino de individualizarlas. Esto asegura que los atacantes no encuentren inmediatamente rutas de directorio para el área de administración. También es concebible que sólo se permita el acceso a la zona de administración correspondiente para las direcciones IP definidas de antemano. Además, se recomienda individualizar los nombres de usuario también fuera de un CMS. Los nombres de usuario como «Usuario» o «Admin» deben evitarse en general.
Últimas noticias de seguridad informática en nuestro blog
Para más información
Los ataques basados en la fuerza bruta son en principio un patrón de ataque poco convencional y redundante, pero los ciberdelincuentes siguen utilizándolos en la práctica hoy en día. En segundo plano, un ataque de fuerza bruta intenta explotar los vacíos de seguridad en la gestión de contraseñas causados por el usuario o el administrador.
Las empresas que siguen las recomendaciones básicas de seguridad ya han creado una base inicial para la protección contra ataques externos. Además, se recomienda encarecidamente integrar una herramienta profesional para la seguridad de los datos.