¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta emplea un enfoque de prueba y error para averiguar sistemáticamente la información de inicio de sesión, las credenciales y las claves de cifrado. El ciberdelincuente prueba distintas combinaciones de nombres de usuario y contraseñas hasta que finalmente da con la correcta.

Una vez logra su propósito, el atacante puede acceder al sistema haciéndose pasar por un usuario legítimo y permanecerá en él hasta que se detecte su presencia. Durante este tiempo, se moverá lateralmente, instalará puertas traseras, obtendrá información del sistema para futuros ataques y, por supuesto, robará datos.

Los ataques de fuerza bruta existen desde que comenzaron a usarse contraseñas. No solo siguen siendo populares, sino que están en aumento debido al auge del teletrabajo.

Tipos de ataques de fuerza bruta

Ataque de fuerza bruta simple

Un ataque de fuerza bruta simple usa automatización y scripts para averiguar contraseñas. Los ataques de fuerza bruta tradicionales realizan unos cientos de conjeturas por segundo. Las contraseñas sencillas, como las que carecen de combinaciones de letras mayúsculas y minúsculas, y aquellas que utilizan expresiones comunes (como "123456" o "contraseña"), pueden descifrarse en cuestión de minutos. Con todo, la velocidad puede aumentarse en órdenes de magnitud. En 2012, un investigador empleó un clúster de ordenadores para averiguar hasta 350 000 millones de contraseñas por segundo.

Ataque de diccionario

Un ataque de diccionario prueba combinaciones de palabras y frases comunes. En un principio, los ataques de diccionario usaban palabras de un diccionario, además de números, pero hoy en día estos ataques también emplean contraseñas que se han filtrado en brechas de datos anteriores. Estas contraseñas filtradas están a la venta en la dark web e incluso pueden encontrarse gratuitamente en la web normal.

Existe un software de diccionario que sustituye caracteres similares para crear nuevas combinaciones. Por ejemplo, este software reemplazará una "l" minúscula por una "I" mayúscula o una "a" minúscula por un símbolo "@". El software solo prueba las combinaciones que, según su lógica, tienen más probabilidades de tener éxito.

Inserción de credenciales

A lo largo de los años, se han filtrado más de 8500 millones de nombres de usuario y contraseñas. Estas credenciales robadas se venden a atacantes en la dark web y se utilizan en todo tipo de actividades ilícitas, desde spam hasta apropiación de cuentas.

Un ataque de inserción de credenciales emplea estas combinaciones de inicio de sesión robadas en una multitud de sitios. La inserción de credenciales funciona porque las personas tienden a reutilizar sus nombres de usuario y contraseñas repetidamente, por lo que si un hacker obtiene acceso a la cuenta de un particular con una compañía eléctrica, existe una probabilidad elevada de que esas mismas credenciales también otorguen acceso a la cuenta bancaria en línea de dicho individuo.

Los sectores de videojuegos, medios de comunicación y venta minorista son blancos habituales de este tipo de ataques, aunque comúnmente los sufren todo tipo de industrias.

Ataque de fuerza bruta inverso

En un ataque de fuerza bruta tradicional, el ciberdelincuente comienza con una clave conocida; normalmente, un nombre de usuario o un número de cuenta. Seguidamente, emplea herramientas de automatización para hallar la contraseña correspondiente. En el caso de un ataque de fuerza bruta inverso, el ciberdelincuente conoce la contraseña y trata de averiguar el nombre de usuario o el número de cuenta correspondiente.

Ataque de fuerza bruta híbrido

Un ataque de fuerza bruta híbrido combina un ataque de diccionario y un ataque de fuerza bruta. La gente tiene por costumbre añadir una serie de números (normalmente cuatro) al final de su contraseña. Esos cuatro números suelen ser un año que fue significativo para ellos, como su nacimiento o su graduación, por lo que el primer número generalmente es un 1 o un 2.

En un ataque de fuerza bruta inverso, los ciberdelincuentes usan el ataque de diccionario para proporcionar las palabras y luego automatizan un ataque de fuerza bruta en la última parte (los cuatro números). Este enfoque es más eficiente que emplear únicamente un ataque de diccionario o uno de fuerza bruta.

Password spraying

Los ataques de fuerza bruta tradicionales tratan de averiguar la contraseña de una sola cuenta. La técnica del "password spraying" (difusión de contraseña) adopta el enfoque contrario: intenta aplicar una contraseña común a muchas cuentas. Este enfoque permite sortear la política de bloqueo que limita el número de intentos a la hora de introducir la contraseña. El password spraying normalmente se usa contra objetivos con inicio de sesión único (SSO) y aplicaciones basadas en la nube que utilizan autenticación federada.

Redes de bots

Un ataque de fuerza bruta es una lotería y se precisa mucha potencia computacional para ejecutarlo a escala. Al implementar redes de equipos secuestrados para ejecutar el algoritmo de ataque, los ciberdelincuentes pueden ahorrarse el coste y las molestias de ejecutar sus propios sistemas. Además, el uso de redes de bots añade una capa extra de anonimato. Las redes de bots pueden utilizarse en cualquier tipo de ataque de fuerza bruta.

Motivos tras los ataques de fuerza bruta

Los ciberdelincuentes pueden usar ataques de fuerza bruta para:

• Robar datos confidenciales
• Difundir malware
• Secuestrar sistemas con fines maliciosos
• Lograr que los sitios web no estén disponibles
• Sacar provecho de los anuncios
• Redirigir el tráfico del sitio web a sitios de anuncios comisionados
• Infectar sitios con spyware que recopile datos para venderlos a anunciantes

El nivel de habilidad tecnológica necesario para lanzar un ataque de inserción de credenciales es extremadamente bajo, al igual que el coste. Por tan solo 550 dólares, cualquiera con un ordenador puede lanzar un ataque de este tipo.

¿Cómo funciona un ataque de fuerza bruta?

Los adversarios emplean herramientas automatizadas para llevar a cabo ataques de fuerza bruta. Quienes carecen de la habilidad necesaria para crear las suyas propias pueden comprarlas en la dark web en forma de kits de malware. También pueden comprar datos, como credenciales filtradas, que pueden utilizarse como parte de una inserción de credenciales o un ataque de fuerza bruta híbrido. Estas listas pueden ofrecerse como parte de un paquete en el que el vendedor las incluye junto con las herramientas automatizadas, además de otros valores añadidos, como consolas de administración.

Una vez que el ciberdelincuente configura las herramientas y las alimenta con listas, si estas son relevantes, comienza el ataque.

Los ataques de fuerza bruta pueden lanzarse con redes de bots. Las redes de bots son sistemas de equipos secuestrados que proporcionan potencia de procesamiento sin el consentimiento o conocimiento del usuario legítimo. Tal como sucede con los kits de malware anteriormente mencionados, los kits de bots también pueden adquirirse en la dark web. El año pasado, se utilizó una red de bots para abrir una brecha en servidores SSH pertenecientes a bancos, centros médicos, instituciones educativas y otras entidades.

Los ataques de fuerza bruta consumen muchos recursos, pero son efectivos. También pueden ser la primera parte de un ataque en varias etapas. En el blog de CrowdStrike se explica en detalle un ejemplo que examina un caso en el que un ataque de fuerza bruta formó parte de un exploit de varios pasos, que permitió una elevación de privilegios no autenticada a privilegios de dominio completo.

Herramientas utilizadas para lanzar ataques de fuerza bruta

En Internet hay herramientas (muchas de ellas, gratuitas) que funcionan contra una amplia variedad de plataformas y protocolos. Estas son solo algunas:

• Aircrack-ng: Aircrack-ng es una herramienta de fuerza bruta para contraseñas Wi-Fi disponible de forma gratuita. Incluye herramientas de análisis y crackers WEP/WPA/WPA2-PSK para realizar ataques a Wi-Fi 802.11, y puede utilizarse para cualquier NIC que admita el modo de supervisión sin procesar.
• DaveGrohl: DaveGrohl es una herramienta de fuerza bruta para Mac OS X compatible con ataques de diccionario. Tiene un modo distribuido que permite a un ciberdelincuente ejecutar ataques desde múltiples ordenadores sobre el mismo hash de contraseña.
• Hashcat: Hashcat es una herramienta de descifrado de contraseñas basada en CPU disponible de forma gratuita. Funciona en sistemas Windows, Mac OS y Linux, y sirve para muchos tipos de ataques, incluidos los de fuerza bruta simple, los de diccionario y los híbridos.
• THC Hydra: THC Hydra descifra las contraseñas de las autenticaciones de red. Realiza ataques de diccionario contra más de 30 protocolos, como HTTPS, FTP y Telnet.
• John the Ripper: es una herramienta gratuita para descifrar contraseñas que se desarrolló para sistemas Unix. Ahora está disponible para otras 15 plataformas, como Windows, OpenVMS y DOS. John the Ripper detecta automáticamente el tipo de hash usado en una contraseña, por lo que puede ejecutarse en un almacenamiento de contraseñas cifradas.
• L0phtCrack: L0phtCrack se utiliza en ataques de fuerza bruta simple, de diccionario, híbridos y de tabla arcoíris para descifrar contraseñas de Windows.
• NL Brute: una herramienta de fuerza bruta RDP que ha estado disponible en la dark web desde 2016 como mínimo.
• Ophcrack: Ophcrack es una herramienta gratuita y de código abierto que permite descifrar contraseñas de Windows. Utiliza hashes LM mediante tablas arcoíris.
• Rainbow Crack: Rainbow Crack genera tablas arcoíris para usarlas mientras se lanza un ataque. Las tablas arcoíris están precalculadas; por tanto, reducen el tiempo necesario para llevar a cabo un ataque.

¿Cuál es la mejor protección contra ataques de fuerza bruta?

Usar autenticación multifactor

Cuando se requiere que los usuarios ofrezcan más de una forma de autenticación, como una contraseña y una huella digital, o una contraseña y un token de seguridad de un solo uso, es menos probable que un ataque de fuerza bruta resulte exitoso.

Implementar higiene de TI

Obtén visibilidad sobre el uso de credenciales en todo el entorno y exige que las contraseñas se cambien periódicamente.

Configurar directivas que rechacen contraseñas débiles

Las contraseñas más largas no siempre son mejores. Lo que realmente resulta útil es exigir una combinación de letras mayúsculas y minúsculas mezcladas con caracteres especiales. Enseña prácticas recomendadas sobre contraseñas a los usuarios, como evitar añadir cuatro números al final o no emplear números comunes, como aquellos que comienzan con 1 o 2. Facilita una herramienta de gestión de contraseñas para evitar que los usuarios recurran a contraseñas fáciles de recordar y utiliza una herramienta de descubrimiento que exponga las contraseñas predeterminadas en dispositivos que no se hayan cambiado.

Implantar un Threat Hunting proactivo

El Threat Hunting puede exponer los tipos de ataques que las medidas de seguridad estándar pueden pasar por alto. Si se ha utilizado un ataque de fuerza bruta para acceder al sistema, un Threat Hunter puede detectar el ataque incluso aunque opere suplantando credenciales legítimas.