Technology

Todo sobre los ataques de fuerza bruta y su creciente popularidad

El usuario y contraseña forma parte de las credenciales de acceso a múltiples aplicaciones, servicios y recursos de todo tipo. Tan sólo el establecimiento de contraseñas débiles, puede incluso generar pérdidas económicas. Por desgracia, aunque apliquemos todas las mejores prácticas de usuario, los cibercriminales siguen ampliando y mejorando sus conocimientos para vulnerarlas de alguna manera. Los ataques de fuerza bruta son uno de los más fáciles de llevar a cabo, y al mismo tiempo es uno de los más eficaces. Aunque no sea posible del todo evitar este tipo de ataques, te recomendamos echar un vistazo a esta guía que os explicará en qué consisten. Además, os vamos a recomendar las medidas que todo soporte de IT debería aplicar para una gestión más segura de las contraseñas de los usuarios de una red empresarial.

¿Qué es un ataque de fuerza bruta?

Consiste en un ataque en el cual el cibercriminal realiza varios intentos de adivinar el usuario y contraseña de una aplicación o servicio. Podrías pensar que esta es una actividad sumamente laboriosa, requiere de muchos recursos y muchas horas. En la vida real, se utilizan herramientas automáticas para realizar este trabajo, haciendo uso de scripts automáticos y potentes ordenadores con muy buena CPU y también GPU para acelerar al máximo este proceso, y poder probar todas las combinaciones posibles de credenciales en el menor tiempo posible.

Mencionamos el hecho de que se necesita de muchos recursos. Nos referimos a los recursos de cómputo. Un ordenador de uso personal básico tardaría mucho tiempo en crackear una contraseña si se utiliza alguna de las herramientas que automatizan los ataques de fuerza bruta, ya que cuentan con millones de combinaciones de credenciales. Más bien, los ordenadores deben estar equipados con lo mejor en cuanto a CPU, RAM y también potencia de GPU.

Este tipo de ataques tienen como blanco todo tipo de aplicaciones web, sitios web y sus servicios relacionados. Por otro lado, las APIs y servicios que se valen del protocolo SSH también son vulnerables. Sin embargo, este es un ataque de los más esenciales. El mismo sirve como puente para muchos otros. Una vez que se aciertan las combinaciones de credenciales, se puede acceder a múltiples tipos de datos personales. Por supuesto, los más atractivos tienen que ver con los bancarios, financieros y comerciales. Igualmente, cualquier tipo de dato que pueda identificarte puede resultar de gran utilidad a un atacante para sacar algún tipo de rédito, sobre todo el rédito económico.

Ataque de fuerza bruta y phishing

Tanto los usuarios individuales como empresariales sufren los estragos causados por el phishing. Recordemos que esto consiste en la llegada de mensajes de correo electrónico con contenido malicioso. En muchos casos, llegan mensajes que tienen remitentes que aparentan ser lícitos y que incluso, el contenido del mensaje aparenta serlo. Sin embargo, se hace clic en un enlace y a partir de ahí, comienzan los problemas. Por otro lado, puedes toparte con mensajes que claramente dan entender que son intentos de phishing, ya sea por las supuestas direcciones de correo de los remitentes o las faltas ortográficas del texto de los mensajes.

Por desgracia, muchas personas no prestan atención a detalles como los que comentamos y terminan siendo víctimas. Las mismas pierden datos que van desde los accesos al correo electrónico hasta los datos bancarios. El gran éxito del phishing tiene mucho que ver por el hecho de que las credenciales de usuario y contraseña son sumamente débiles. Que no sorprenda que en los tiempos que corren aún existan contraseñas como «123456», «tequieromucho» o «qwertyuiop». Una de las razones por las cuales se da este tipo de situaciones es que los usuarios en muchos casos no quieren pensar mucho en una contraseña segura o simplemente, piensan que nunca serán víctimas de phishing o ataques similares.

Tipos de ataque de fuerza bruta

A continuación, citaremos los tipos más comunes de ataque de fuerza bruta. Desde los más simples de llevar a cabo hasta los más complejos. El método más conocido es, por supuesto, el tradicional. El mismo consiste en que un cibercriminal prueba la mayor cantidad de combinaciones de usuario y contraseña de forma manual. La cantidad de combinaciones que podría probar depende de factores como el origen de los usuarios a los que ha marcado como blanco, los datos personales que maneja sobre los mismos y también puede utilizar programas de tipo diccionario. Estos últimos facilitan la generación de combinaciones, ahorrando el tiempo que tomaría el pensar en dichas combinaciones.

Ataque reverso

Un tipo de ataque que acostumbra a ser muy efectivo, aunque no requiera mucho esfuerzo es el ataque reverso. Consiste en la prueba de unas pocas combinaciones de contraseñas en grandes grupos de usuarios. ¿Por qué se optaría por esta variante del ataque de fuerza bruta? Por lo que comentamos más arriba, muchos usuarios aún tienen contraseñas muy fáciles de adivinar. Así también, aquellos usuarios que reciben o tienen acceso a usuario y contraseña por defecto (por ejemplo, routers Wi-Fi) se acostumbran a no cambiarlos. Ese cierto ahorro de tiempo que se da por no cambiar las contraseñas, especialmente, hace que los dispositivos sean vulnerables a los ataques.

Otra situación que vale la pena comentar son aquellas personas que utilizan cámaras de seguridad CCTV. Las mismas cuentan con una interfaz web y/o móvil con un usuario y contraseña determinado. Por supuesto, se aconseja cambiar tanto el usuario como la contraseña. Sin embargo, muchas personas no lo hacen y exponen en gran medida a que personas malintencionadas puedan acceder a lo que monitorea sus cámaras y tener control de las mismas. Shodan es un conocido portal web que se caracteriza por su facilidad para localizar a prácticamente cualquier equipo que tenga una dirección de IP pública, es decir, rastreable en Internet. Justamente, una de las búsquedas más populares consiste en las interfaces de administración de cámaras de seguridad, sobre todo aquellas que mantienen sus credenciales de acceso por defecto. Por supuesto, esto es fuente valiosísima para cualquier cibercriminal que quiera vulnerar estos sistemas de seguridad. Así también, muchas empresas e individuos se valen de herramientas como esta para fines profesionales y educativos. Incluso, esto puede ayudar a determinar estrategias para proteger mejor cualquier dispositivo localizable en la red de redes.

Rainbow table

Consiste en el uso de un diccionario con formato de texto plano y que está pre-computarizado. Además, se valen también de los valores del hash de cada una de las contraseñas pre-computadas. Entonces, el atacante lo que hace es intentar revertir el hash de cada una de ellas. Por supuesto, esto es sumamente más sencillo hacerlo con programas especiales y con los recursos de cómputo suficientes.

Ataques con diccionarios

Realmente no es un ataque de fuerza bruta que prueba todas las combinaciones posibles, pero los diccionarios son una de las principales herramientas para cualquier cibercriminal que ejecute los ataques de cracking de contraseñas. ¿En qué consisten? Son conjuntos de frases que se generan a partir de determinadas reglas. Por ejemplo, que las potenciales contraseñas sean series numéricas, alfanuméricas o que vayan incluyendo distintos caracteres especiales a medida que se vaya generando cada contraseña. Wifislax es una popular herramienta de hacking de redes Wi-Fi, en donde puedes encontrar una suite completa de herramientas y ganar conocimiento integral al respecto. Entre las herramientas disponibles, se encuentran los generadores de diccionario. Reiteramos el hecho de que estos programas pueden consumir muchísimos recursos de cómputo.

Cómo proteger tus cuentas de forma eficaz

Además de los típicos consejos de escoger contraseñas seguras, que no precisamente signifiquen algo o que den alguna pista que te identifique y otros, es bueno citar las medidas que debe seguir todo aquel responsable de la gestión de los usuarios de una red. Una interesante práctica recomendada es que nunca se almacenen contraseñas en las bases de datos, únicamente el hash de las contraseñas, y a ser posible, que se utilice un hash orientado específicamente a contraseñas.

Por otro lado, no hay que descuidar las políticas de creación de contraseñas. No sólo es importante concienciar sobre el uso de contraseñas robustas sino que las propias políticas insten con mensajes sobre si la contraseña es lo suficientemente segura. Así también, deben indicar si están cumpliendo con todas las reglas de creación de dichas contraseñas. Siempre y cuando el usuario quiera iniciar sesión en su entorno de trabajo dentro de la empresa o en forma remota, debe contar con un límite en cuanto al número de intentos por un tiempo determinado y que, por ejemplo, después de tres intentos ya se bloquee el inicio de sesión y que se realice un reseteo.

Si fuera necesario y de acuerdo a la aplicación, servicio o recurso en el cual esté iniciando sesión el usuario se recomienda utilizar CAPTCHA y métodos de autenticación Multi-Factor. Esto es sumamente útil para dar garantías de que el propio usuario legítimo es quien esté iniciando sesión.

Fuente:  Lorena Fernández. Publicado el 12 de julio, 2020  redeszone.net