¿Qué es un ataque de fuerza bruta? Cómo mantener seguras las cuentas de usuario
Publicado: 2021-06-25Las contraseñas por sí solas no protegen las cuentas de los usuarios, pero usted puede hacerlo.
Establecer una contraseña común solo porque sí le brinda una garantía de seguridad disfrazada. Sin embargo, las contraseñas suelen ser predecibles, lo que lo convierte en un blanco fácil para los ataques de fuerza bruta.
Los ataques de fuerza bruta intentan robar o descifrar su información confidencial o infectar los sistemas con malware al descifrar las credenciales de usuario o las claves de cifrado. Soluciones de seguridad como autenticación multifactor (MFA) Los sistemas ofrecen una defensa sólida para proteger las cuentas de los usuarios contra los ataques de fuerza bruta.
Puede implementar MFA para los usuarios como primera línea de defensa y enriquecerlo con varias medidas preventivas.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta es un enfoque sistemático para verificar posibles combinaciones de ID de usuario y contraseñas para infiltrarse en un sistema de autenticación e iniciar sesión con éxito en una aplicación web o un sistema operativo.
Los ataques de fuerza bruta no se limitan solo a ID de usuario y contraseñas. En general, el ataque de fuerza bruta se refiere a la cantidad de intentos realizados para revelar información confidencial a través de un proceso constante de prueba y error. También incluyen adivinar y validar claves de cifrado plausibles creadas durante la configuración de la contraseña, lo que se conoce popularmente como investigación exhaustiva de claves .
Los atacantes utilizan principalmente ataques de fuerza bruta para descifrar contraseñas (es decir, explotar vulnerabilidades en contraseñas establecidas y obtener acceso no autorizado). Este tipo de ataque cibernetico penetra en los mecanismos de autenticación y permite que los hackers maliciosos accedan a sus activos de TI.
Los ataques de fuerza bruta son ataques criptoanalíticos que se utilizan cuando los atacantes no pueden encontrar vulnerabilidades que puedan explotar fácilmente. No tiene sentido que un atacante haga esfuerzos significativos para explotar una vulnerabilidad que puede no brindar los beneficios esperados.
En tales escenarios, los ataques de fuerza bruta se convierten en un instrumento potencial de elección para los atacantes porque son más fáciles de realizar y pueden brindar beneficios sustanciales poco éticos si se llevan a cabo con éxito. Los atacantes automatizan el proceso de adivinación de contraseñas con un conjunto de ID de inicio de sesión y contraseñas y obtienen los beneficios al descifrar los protocolos de autenticación y cifrado.
Las contraseñas cortas son más fáciles y relativamente rápidas de adivinar en el proceso de ataque, pero las contraseñas más largas pueden consumir una cantidad considerable de tiempo y potencia informática.
¿Por qué los hackers realizan ataques de fuerza bruta?
Los ciberdelincuentes suelen realizar ataques de fuerza bruta para descubrir su información confidencial y obtener acceso a su sistema. La intención detrás de un ataque puede ser usar su información para obtener acceso y hacer converger un ataque cibernético mucho más grande en sus activos u organización.
80%
de las violaciones de datos causadas por piratería en 2020 involucraron fuerza bruta o el uso de credenciales perdidas o robadas.
Fuente: Verizon
Los piratas informáticos pueden realizar un ataque a las contraseñas o frases de contraseña de fuerza bruta, lo que hace que sus cuentas y redes sean vulnerables a una violación de datos. La recolección de credenciales de usuario para terceros también puede ser un posible objetivo de un ataque de fuerza bruta. Estas credenciales pueden usarse más tarde para obtener beneficios no éticos de los datos de la víctima o dañar su reputación pública.
Los actores de amenazas pueden usar ataques de fuerza bruta para realizar Ingeniería social ataques mediante el envío de correos electrónicos de phishing a través de cuentas de usuario comprometidas.
¿Cuándo usan los hackers ataques de fuerza bruta?
Los piratas informáticos maliciosos generalmente toman la ruta de ataque de fuerza bruta cuando tienen tiempo suficiente para victimizar a su objetivo. Un ataque de fuerza bruta puede ser un proceso largo y que requiere mucho tiempo. Implica ejecutar varias combinaciones posibles de contraseñas o claves de cifrado.
A medida que aumenta la longitud de la cadena de la credencial del usuario, también lo hace el tiempo esperado para descifrar. Es un proceso de navegación lento pero sencillo. Con el tiempo suficiente, un atacante puede realizar un ataque de fuerza bruta para descifrar los sistemas basados en contraseñas y acceder a los activos de las víctimas sin explotar las vulnerabilidades técnicas.
Tipos de ataques de fuerza bruta
Hay varias técnicas que un atacante puede usar para hacer converger un ataque de fuerza bruta. Debe tener un mecanismo de defensa confiable para protegerse de ser atacado.
Ataques simples de fuerza bruta
Un simple ataque de fuerza bruta involucra a un atacante que hace conjeturas lógicas para descifrar su sistema de autenticación. Estos no cuentan con la asistencia de herramientas de software, sino que se basan en los detalles que puedan tener sobre usted.
Por ejemplo, verificar "nombre12345" o "nombre@123" y varias otras variaciones como contraseñas de números y caracteres. Para el número de identificación personal (PIN), un atacante podría pasar por su año de nacimiento o año de nacimiento en orden inverso y números similares relevantes para usted o su familia.
Ataques híbridos de fuerza bruta
Los atacantes adivinan posibles contraseñas más allá del alcance de su lógica para realizar un ataque híbrido de fuerza bruta al pensar en combinaciones de palabras comunes (o de tendencia) con caracteres aleatorios. Incluye verificar contraseñas como "marvel2020" o "bitcoin36000" y variaciones similares.
Comienza con una lógica externa para identificar contraseñas potenciales y continúa con un enfoque simple para probar varias combinaciones posibles.
Ataques inversos de fuerza bruta
Los ataques de fuerza bruta inversa comienzan con una contraseña conocida y la prueban con múltiples ID de usuario. Los atacantes generalmente usan contraseñas filtradas compartidas en Internet como un trampolín para encontrar ID de usuario coincidentes para acceder a los activos de un objetivo.
En un ataque de fuerza bruta inversa, un atacante no se dirige a un usuario específico, sino que encuentra una identificación de usuario para una contraseña en particular.
relleno de credenciales
El relleno de credenciales abusa del hecho de que muchos usuarios pueden tener los mismos nombres de usuario y contraseñas en varios sistemas. Los atacantes usan pares de nombres de usuario y contraseñas violados en varios sitios web para encontrar una coincidencia exitosa.
Los atacantes utilizan el relleno de credenciales para apoderarse de las cuentas de los usuarios. Cuando obtienen credenciales de usuario derramadas por violaciones de datos o sitios de volcado de contraseñas, las comparan con varios sitios web, como plataformas de redes sociales o mercados en línea. El atacante puede robar los detalles de su tarjeta de crédito, números de seguro social y otros datos confidenciales para llevar a cabo nuevas actividades nefastas para encontrar una coincidencia exitosa.
Ataque de diccionario
Un ataque de diccionario requiere que un atacante use palabras ordinarias (tal como están en un diccionario) junto con una secuencia típica de números o caracteres especiales para descifrar la contraseña. Los atacantes pueden usar un diccionario estándar o un diccionario único diseñado con fines maliciosos. Por ejemplo, pueden verificar contraseñas como vapor, acero, empinado, etc.
Los ataques de diccionario a menudo resultan exitosos porque los usuarios tienen una tendencia inherente a usar palabras del día a día en sus contraseñas.
Ataques de mesa arcoiris
La tabla Rainbow es un diccionario precalculado de contraseñas y sus valores hash. En un sistema, las contraseñas no se almacenan como texto sin formato, sino que se codifican mediante cifrado. Cuando un usuario ingresa las contraseñas, se convierte en su valor hash correspondiente y se verifica con el hash almacenado. Si hay una coincidencia, el usuario obtiene acceso a sus cuentas.
Un atacante aprovecha una tabla hash arco iris para descifrar contraseñas en un ataque de tabla arco iris. Dado que más de un texto puede tener valores de hash idénticos, no es necesario conocer la contraseña real siempre que un atacante pueda autenticarse con el hash.
Si bien los ataques de la tabla del arco iris toman mucho tiempo de preparación, los ataques reales son mucho más rápidos ya que los intercambios de algoritmos aumentan el uso del espacio con una disminución del tiempo.
Ejemplos de ataques de fuerza bruta
El objetivo final de los ataques de fuerza bruta es robar datos o interrumpir la prestación de servicios. Como resultado, estos ataques se han convertido en una amenaza importante para la postura de seguridad de una organización.
Algunos ejemplos notables de ataques de fuerza bruta de la historia reciente son:
- En 2013, GitHub fue víctima de un ataque de fuerza bruta, en el que se comprometieron varias contraseñas almacenadas de forma segura. Se identificó que los intentos de inicio de sesión de fuerza bruta se realizaron desde aproximadamente 40,000 direcciones IP únicas.
- Club Nintendo fue objeto de un ataque de fuerza bruta que afectó a 25 000 miembros del foro en 2013. Los atacantes realizaron 15 millones de intentos de fuerza bruta para piratear las cuentas de los usuarios.
- TaoBao de Alibaba, en 2016, sufrió un ataque de fuerza bruta en el que se comprometieron 21 millones de cuentas de usuarios. Los atacantes utilizaron una base de datos que contenía cerca de 99 millones de nombres de usuario y contraseñas para aplicar fuerza bruta a las cuentas de usuario existentes de TaoBao.
- La función de contraseña maestra de Mozilla Firefox fue víctima de un ataque de fuerza bruta en 2018. Se desconoce la cantidad de credenciales de usuario que quedaron expuestas. En 2019, Firefox introdujo una solución para resolver este problema.
- En 2018, Magento fue golpeado por un ataque de fuerza bruta que comprometió cerca de 1000 paneles de administración.
Herramientas de ataque de fuerza bruta
Los ataques de fuerza bruta se llevan a cabo con la ayuda de herramientas automatizadas que verifican las credenciales de los usuarios hasta que se encuentra una coincidencia exitosa. Con muchos nombres de usuario y contraseñas posibles, las pruebas manuales se vuelven complicadas. En consecuencia, los atacantes aprovechan la automatización para acelerar el proceso de adivinación en tales situaciones.
Estos son algunos ejemplos famosos de herramientas de ataque de fuerza bruta*:
- THC Hydra descifra la autenticación de la red realizando un ataque de diccionario contra más de 30 protocolos (HTTP, FTP, HTTPS, etc.).
- Aircrack-ng realiza ataques de fuerza bruta en Wi-Fi 802.11 y se utiliza para descifrar contraseñas de Wi-Fi con la ayuda de herramientas de análisis y cracker WEP/WPA/WPA2-PSK.
- John the Ripper se usa para descifrar contraseñas débiles y penetrar sistemas basados en contraseñas. Admite 15 plataformas múltiples como Unix, Windows, DOS, etc.
- Rainbow Crack genera tablas de arco iris para realizar ataques de fuerza bruta y ayuda a reducir la duración del ataque.
- L0phtCrack se utiliza para descifrar contraseñas de Windows con ataques de diccionario, ataques híbridos y tablas de arco iris.
* Estas herramientas solo deben usarse con fines éticos para probar y fortalecer los sistemas contra ataques de fuerza bruta.
Cómo detectar un ataque de fuerza bruta
Los atacantes pueden realizar ataques de fuerza bruta con muchas variaciones. Debe establecer medidas preventivas y hacerlas cumplir para defenderse de tales ataques.
Estos son algunos de los signos que podrían sugerir un ataque de fuerza bruta:
- Varios intentos fallidos de inicio de sesión desde una dirección IP
- Solicitudes de inicio de sesión para una sola cuenta de usuario desde varias direcciones IP
- Inicios de sesión con múltiples nombres de usuario desde la misma dirección IP
- Inicios de sesión con una URL de referencia del correo de alguien o cliente de IRC
- Uso cuestionable y consumo de ancho de banda de un solo uso
- Intentos fallidos de inicio de sesión realizados con nombres de usuario o contraseñas alfabéticos o secuenciales
- URL de referencia a sitios web para compartir contraseñas
Con la detección temprana y las medidas preventivas adecuadas, las organizaciones pueden limitar su exposición a los ataques de fuerza bruta.
Cómo prevenir ataques de fuerza bruta
Los ataques de fuerza bruta funcionan a base de prueba y error, y no existe una vulnerabilidad técnica a la que apuntar. Debido a esto, debe seguir las mejores prácticas de seguridad para proteger sus activos contra ataques de fuerza bruta en lugar de fortalecer únicamente sus mecanismos de defensa.
Hacer cumplir contraseñas seguras y únicas
La creación de contraseñas seguras que sean impredecibles y únicas presenta una fuerte defensa contra los ataques de fuerza bruta. Por ejemplo, una contraseña larga y compleja será difícil de adivinar en comparación con el nombre y el año de nacimiento de los padres en una contraseña.
Asegúrese de tener contraseñas diferentes para varias cuentas de usuario. El uso de credenciales de usuario similares para todas las cuentas facilita que los atacantes exploten y extraigan información confidencial de todas las cuentas.
Bloquear cuentas de usuario
Una serie de intentos fallidos de inicio de sesión en las cuentas de usuario podría indicar un posible ataque de fuerza bruta. Puede bloquear dichas cuentas de usuario durante un período específico o desbloquearlas con el permiso del administrador.
Los bloqueos de cuentas deben realizarse de manera controlada. Pueden conducir fácilmente a la denegación de servicio cuando los ataques de fuerza bruta se llevan a cabo a gran escala. En tales situaciones, los bloqueos de cuentas con retrasos progresivos son soluciones adecuadas, es decir, por cada conjunto de intentos fallidos de inicio de sesión, el período de tiempo de los bloqueos de cuentas aumenta progresivamente.
Debe estar atento a las situaciones en las que los bloqueos de cuentas pueden ser una opción menos efectiva:
- Ataques lentos de fuerza bruta en los que solo se realizan unos pocos intentos de inicio de sesión en un lapso de tiempo fijo.
- Ataques inversos de fuerza bruta en los que una contraseña se compara con varios nombres de usuario.
- Bloqueos de múltiples cuentas, lo que provoca un aumento en las demandas de soporte de la mesa de ayuda de TI y lo usa como distracción para llevar a cabo un ataque cibernético más grande.
Los bloqueos de cuenta son adecuados en un lugar donde el riesgo es mayor que la denegación de servicio. Las empresas pueden utilizar sistemas de detección y prevención de intrusos para establecer reglas personalizadas para restringir las direcciones IP y realizar bloqueos de cuentas de manera controlada.
Emplear autenticación de dos factores (2FA)
Autenticación de dos factores es ampliamente utilizado como la primera línea de defensa contra los ataques de fuerza bruta. Requiere que un usuario demuestre su identidad dos veces, lo que reduce el riesgo de una violación de seguridad incluso cuando un atacante obtiene una coincidencia de contraseña exitosa.
La mayoría de los piratas informáticos (excepto algunos persistentes) se harán a un lado y buscarán objetivos más fáciles. Pero debe asegurarse de tener diferentes credenciales de usuario para otras cuentas (correo electrónico, software de seguridad, etc.) para evitar que los piratas informáticos accedan a ellas y superen la 2FA.
Supervisar los registros del servidor
Analice cuidadosamente todos los registros del servidor, ya que son una fuente de datos esencial para reconocer diversos patrones de ataques de fuerza bruta. En función de estos registros, puede obtener información para planificar sus futuras estrategias de defensa y garantizar la seguridad de la cuenta o la red.
Sistemas de gestión de eventos e información de seguridad (SIEM) servir como una excelente solución para almacenar, monitorear y analizar todos los registros de forma centralizada. En casos de compromiso de la cuenta, los sistemas SIEM lo ayudarán a recopilar datos forenses digitales para iniciar un plan de respuesta a incidentes.
Usar CAPTCHA
CAPTCHA funciona probando a un usuario para pasar un desafío simple difícil para una computadora. Por ejemplo, pedirle a un usuario que cuente la cantidad de bolígrafos amarillos en una imagen es fácil. Aún así, puede ser un rompecabezas para una máquina interpretar la imagen.
Aunque CAPTCHA aumenta la cantidad de pasos que un usuario realiza para acceder a una cuenta de usuario, es muy beneficioso para garantizar la seguridad de la cuenta. Puede hacer tambalear la experiencia de un usuario, pero enriquece su confianza al proteger la información confidencial de los ataques automatizados de fuerza bruta y los bots.
Duplicar la prevención
Adopte las mejores técnicas de prevención y cree la pila tecnológica de seguridad necesaria para proteger sus sistemas de ataques de fuerza bruta y mantener la ciberseguridad.
Si un atacante logra penetrar los sistemas de autenticación incluso después de aplicar medidas preventivas, inicie su plan de respuesta a incidentes para controlar y restringir el daño que pueden causar.