Cómo hacer frente a los ataques de fuerza bruta

Cuando intentamos proteger nuestros datos de los ciberdelincuentes, la manera de hacerlo es a través de las contraseñas. Las contraseñas, que protegen datos privados, datos bancarios o archivos confidenciales, son el objetivo de cualquier delincuente y por ello es imprescindible que no sean vulnerables ya que existen diversas formas de ataque.

Según el Informe Specops sobre contraseñas vulnerables de 2022, el 48% de las personas tiene que recordar 11 o más contraseñas para el trabajo y la mayoría (alrededor del 34%) utiliza contraseñas formadas únicamente por letras minúsculas y números. Asimismo, sólo el 1,57% utiliza una contraseña que incluye minúsculas, mayúsculas, caracteres especiales y números a la vez. Y, aunque ninguna contraseña es suficientemente segura, es imprescindible utilizar una contraseña distinta para cada una de las cuentas, optar por frases de contraseña fáciles de recordar, pero difíciles de adivinar y llevar un registro de todas las credenciales que se utilizan.

Ataques de fuerza bruta

Para los ciberdelincuentes, las credenciales de inicio de sesión son un bien muy lucrativo, y las empresas son muy conscientes de ello. Para proteger la privacidad, las empresas deben esforzarse continuamente por hacer más complejas las restricciones de seguridad, por ejemplo, exigiendo a sus empleados contraseñas cada vez más complicadas.

Aun así, algunos trabajadores siguen subestimando a los ciberdelincuentes, creyendo que a menos que utilicen contraseñas inseguras, cortas y sencillas (como «contraseña123»), están a salvo de las amenazas, incluidos los ataques de fuerza bruta.

Nada más lejos de la realidad. Durante los ataques de fuerza bruta, los ciberdelincuentes intentan adivinar u obtener credenciales de usuario y acceder a las cuentas de sus víctimas y, como muestran las estadísticas, en estos incidentes se suelen utilizar contraseñas sorprendentemente complejas. Del mismo informe[1] se desprende que el 93% de las contraseñas utilizadas en ataques de fuerza bruta tienen 8 caracteres o más, el 41% de las contraseñas utilizadas en ataques de fuerza bruta tienen 12 caracteres o más y el 68% de las contraseñas utilizadas en ataques incluyen al menos dos tipos de caracteres.

Como sugieren las cifras, los ciberdelincuentes son conscientes de la evolución de la seguridad de las contraseñas, y adaptan fácilmente sus tácticas para lograr el éxito. Con todo, ESET ha listado los distintos tipos existentes de esta amenaza con el objetivo de reducir las posibilidades de convertirnos en víctima.

1) Ataque simple de fuerza bruta

En un ataque simple de fuerza bruta, los ciberdelincuentes intentan adivinar la contraseña sin utilizar ningún software o base de datos especializados. Pueden, por ejemplo, probar las combinaciones de contraseñas más comunes, o hacer uso de la información accesible en línea, por ejemplo, en las redes sociales de la víctima.

2) Pulverización de contraseñas

Durante los ataques de pulverización de contraseñas, los ciberdelincuentes utilizan una lista de las contraseñas y frases de contraseña más frecuentes y, empleando un software especial de pulverización o un conjunto de herramientas, prueban («pulverizan») una contraseña en muchas cuentas diferentes. Como resultado, las políticas de bloqueo pueden no advertir el ataque y, además, un ataque puede llevar a los hackers a obtener acceso a decenas o incluso cientos de cuentas diferentes.

3) Ataque de diccionario

Durante un ataque de diccionario, los hackers prueban diferentes combinaciones y variaciones de palabras de uso común. Los ataques no suelen ejecutarse manualmente: los hackers suelen utilizar un programa que trabaja con extensas listas y diccionarios de contraseñas comunes (como insinúa el nombre del ataque) e introducen las numerosas combinaciones de contraseñas posibles en el sistema seleccionado.

4) Relleno de credenciales

Si un atacante posee una lista de credenciales filtradas o comprometidas, puede utilizar un software especial para introducir («rellenar») las combinaciones de nombre de usuario y contraseña en muchos sitios web diferentes. En caso de que el usuario afectado haya reciclado sus datos de acceso para varios sitios diferentes -lo que, por desgracia, sigue siendo un error común-, los delincuentes pueden obtener acceso a varias cuentas con una sola combinación de credenciales.

5)Ataque de fuerza bruta inverso

A veces, los ciberdelincuentes ya tienen la contraseña y lo único necesitan es encontrar al usuario adecuado. Haciendo uso de las listas de contraseñas filtradas en anteriores filtraciones de datos, los delincuentes pueden buscar en diferentes plataformas y bases de datos, probando las credenciales comprometidas en varias cuentas.

6) Ataque híbrido de fuerza bruta

Los ataques de fuerza bruta híbridos combinan las técnicas de ataque descritas anteriormente. Comúnmente, los criminales optan por un ataque de diccionario en combinación con un simple ataque de fuerza bruta. En un intento de entrar en diferentes cuentas – normalmente conociendo ya los nombres de usuario – hacen uso de palabras y frases comunes en combinación con un conjunto de letras o números, que pueden ser aleatorios o basados en investigaciones previas sobre las víctimas.

Para los propios empleados, la principal medida que deben adoptar es mantener una gestión adecuada de las contraseñas. Esto puede consistir en utilizar una contraseña única para cada una de sus cuentas, optar por frases de contraseña más largas que contengan una variedad de caracteres y utilizar un administrador de contraseñas de confianza para almacenar sus credenciales” recalca Josep Albors, director de Investigación y Concienciación de ESET España. “También es imprescindible utilizar la autenticación multifactor, gracias al cual si adivinan la contraseña, los ciberdelincuentes no accederán inmediatamente a sus datos”.

Para protegerse, las empresas también pueden plantearse limitar los inicios de sesión no válidos y/o utilizar CAPTCHAs para evitar que las herramientas de ataque de fuerza bruta entren en sus sistemas. También se aconseja cambiar periódicamente las frases de contraseña. Por último, se debería establecer una política de contraseñas seguras y mejorar aún más la seguridad de los empleados y de la empresa supervisando activamente la actividad que tiene lugar en sus plataformas. Seguir prácticas seguras y mantenerse alerta evita que los ciberdelincuentes te sorprendan.


[1] Informe Specops sobre contraseñas vulnerables de 2022

ESET PROTECT Advanced
Tras varios meses de inactividad el malware Emotet regresa con una nueva campaña de spam