¿Qué son los ataques de fuerza bruta o brute force y cómo se utilizan para detectar contraseñas cifradas y claves de cifrado?
Los ataques de fuerza bruta son bastante simples de entender, pero difíciles de contrarrestar. Incluso un sistema criptográfico complejo ahora puede ser descifrado por un ataque de fuerza bruta (o fuerza bruta) por una serie de computadoras de alta velocidad. Estos ataques se pueden realizar sobre cualquier tipo de encriptación o sistema de seguridad con credenciales de acceso (desde una simple contraseña para iniciar sesión en un sitio o servicio hasta un archivo encriptado) y cada vez son más rápidos y efectivos. A medida que las computadoras se vuelven más y más poderosas, se fabrican.
Veamos juntos, en palabras simples y fáciles de entender, que ataques de fuerza brutaqué herramientas se utilizan y a qué nos arriesgamos si no elegimos la contraseña de seguridad adecuada y/o confiamos en protocolos de seguridad antiguos y obsoletos (más fáciles de romper).
Las técnicas más utilizadas para robar contraseñas en Internet
Cómo funcionan los ataques de fuerza bruta
Ataques de fuerza bruta o «fuerza bruta» en el ámbito informático son bastante simples de entender. Tener un programa protegido por contraseña hace que un hacker intente descifrarlo probar cada combinación de caracteres, símbolos, letras o números en una serie hasta encontrar la clave correcta.
Por supuesto, estos intentos no se hacen manualmente, sino automáticamente por medio de un programa de computadora que es más rápido cuanto más potente se utiliza la computadora.
Ataque de diccionario
El ataque de fuerza bruta más simple que se puede realizar es Ataque de diccionario (ataque de diccionario): La naturaleza de este ataque se basa en un diccionario de palabras escritas, a menudo basado en un lista de términos populares o en una serie de palabras específicas (es decir, adaptadas a la persona o servicio al que se dirige).
En la práctica, en lugar de probar todas las combinaciones posibles de contraseñas, pruebe con las palabras más utilizadas por las personas, como nombres propios, nombres de ciudades, nombres de jugadores, años y fechas, etc. Recuerde que las contraseñas y las claves de cifrado son cosas diferentes: la clave se genera completamente al azar, mientras que cuando una contraseña debe recordarse e ingresarse manualmente, por lo que esta es una palabra más simple. Encontrar la clave de cifrado es difícil y requiere un ataque de fuerza bruta, mientras que las contraseñas se pueden encontrar con simples ataques de diccionario.
Rompiendo el protocolo de encriptación
El ataque de fuerza bruta más efectivo, pero al mismo tiempo el más difícil de realizar, es grieta del protocolo de encriptación. Un hacker (es decir, un hacker que intenta realizar este tipo de ataque) no intenta adivinar la contraseña de un diccionario, sino que intenta violar un protocolo de comunicación, un archivo cifrado o una página de inicio de sesión: se encuentra un punto débil , lo usa para omitir la contraseña y acceder a todos los datos de inmediato.
Como decíamos, realizar este tipo de ataques no es nada fácil y requiere mucha experiencia en cracking, así como muchos recursos desde el punto de vista económico e informático: actualizar los protocolos de seguridad. este tipo de ataque se ha vuelto muy raro y esto solo se logra mediante el uso de una gran cantidad de crackers, todos los cuales se enfocan en un protocolo para crackear.
Quédese tranquilo: este tipo de ataque no es fácil de llevar a cabo, y ciertamente no se utilizan los recursos necesarios en una red Wi-Fi doméstica, a menos que estemos usando protocolos ya comprometidos como WEP y WPA, como puede ver en nuestra guía. . ¿Cómo descifrar una contraseña de red WiFi WPA/WPA2?.
Ataques brutales a sitios web
Existe una clara diferencia entre un ataque de fuerza bruta en línea y fuera de línea. Por ejemplo, si un atacante quisiera robar mi contraseña de Gmail, no podría encontrar mi contraseña probando diferentes combinaciones en el sitio de Gmail porque Google lo impide. Después de varios intentos, bloquea el acceso pidiéndole que ingrese un código Captcha para evitar que los programas automatizados intenten acceder. Los servicios de cuentas en línea, así como Facebook, inhiben los intentos de inicio de sesión y aquellos que intentan iniciar sesión demasiadas veces con contraseñas incorrectas.
Por otro lado, si un pirata informático tiene acceso a una computadora que tiene un administrador de contraseñas con una clave cifrada, puede llevar mucho tiempo realizar un ataque de fuerza bruta o de diccionario, manteniéndolo activo hasta que se encuentre la contraseña. Por lo tanto, no hay forma de evitar que pruebe una gran cantidad de contraseñas en poco tiempo. En teoría, ninguna criptografía es invencible. aunque puede llevar más de un mes vencer la resistencia más difícil.
Velocidad de ataque de fuerza bruta
En cuanto a la velocidad a la que se puede realizar un ataque de fuerza bruta, todo depende del hardware utilizado. Las agencias de inteligencia (pero también los piratas informáticos) pueden construir enormes servidores especializados en computación compartida, pesados solo para encontrar o descifrar claves de cifrado. El método a menudo utiliza el potencial de los procesadores gráficos modernos, los mismos que se usan en los juegos y las criptomonedas, capaces de funcionar a velocidades absurdas con miles de millones de datos por segundo y descifrar cualquier contraseña simple o protocolo estándar (a costa de electricidad y costes de gestión muy elevados).
¡Nadie usará estos recursos para nuestra querida computadora personal a menos que ocultemos algunos secretos de la NSA o la CIA! En ese caso, es mejor leer los siguientes capítulos de inmediato.
Cómo detener los ataques de fuerza bruta
Uno de los métodos más utilizados para dificultar la vida de los hackers es hash: El uso de potentes algoritmos hash puede ralentizar los ataques de fuerza bruta. Estos algoritmos hash, como SHA1 y MD5, realizan operaciones matemáticas adicionales en la contraseña antes de almacenarla.
Por supuesto, una buena manera de ralentizar los ataques de fuerza bruta es utilizar los protocolos de seguridad más recientes y actualizados. Por ejemplo para Wi-Fi tenemos que referirnos a WPA3 (todavía no muy común), mientras que para otros tipos de cifrado Protocolo AES-256 (a menudo en combinación con un hash) se ha convertido en un estándar lo suficientemente seguro para protegerse contra un ataque realizado sin los recursos necesarios (nada es inviolable, solo lleva demasiado tiempo y realmente debe valer la pena).
Protege nuestros datos contra ataques de fuerza bruta.
No hay forma de protegernos por completo, pero es poco probable que alguien se vuelva contra nosotros, simples mortales, con ataques de fuerza bruta de alto nivel. Por lo tanto, no tienes que preocuparte demasiado por sufrir este tipo de ciberataques complejos. Sin embargo, es importante mantener sus datos cifrados seguros y tratar de no permitir que nadie más acceda a ellos. use contraseñas seguras y autogeneradas casi al azar como se ve en nuestra guía generar contraseña segura para todos los sitios web. A una contraseña segura, podemos agregarle un sistema de autenticación más difícil de descifrar, como Autenticador bidireccionalautenticación de dos factores: incluso si un hacker adivina la contraseña, no puede acceder a nuestra cuenta sin el código generado en nuestro teléfono como se ve en nuestras guías Sitios/aplicaciones donde puede activar la verificación de contraseña en dos pasos Esto es Las mejores aplicaciones de generación de OTP para el acceso seguro al sitio.
El problema es más bien defenderse de los llamados ataques de ingenieria social robo de datos personales y fraude basado no tanto en la técnica como en la creatividad y el ingenio; Por ejemplo, nunca abra un correo electrónico solicitando acceso a nuestra cuenta bancaria en línea para protegerla, confirmar o bloquear una transacción sospechosa o transmitir nuevas políticas.
Conclusiones
Un ataque de fuerza bruta no es un paseo por el parque y es poco probable que seamos víctimas de este tipo de ataque: por supuesto, siempre tratamos de usar protocolos de encriptación actualizados, usamos contraseñas complejas que son difíciles de encontrar en un diccionario. y activamos todos los sistemas de seguridad que ofrece el sitio (como la autenticación de dos factores) para dificultar que cualquier hacker de Sunday acceda a nuestros servicios.
Si te cuesta recordar las contraseñas generadas aleatoriamente, te recomendamos que consultes nuestra guía Cómo crear y administrar contraseñas para cuentas en línea.
Sin embargo, si le preocupa que su computadora haya sido atacada por un virus o malware, le recomendamos que lea nuestra guía. El mejor antivirus para encontrar incluso spyware oculto.
¿Eso resolvió tu problema?
