Bloquee las amenazas y obtenga protección en tiempo real contra las amenazas en linea con Avast Mobile Security
- Seguridad
- Privacidad
- Rendimiento
Las mejores contraseñas son largas, complejas y evitan el uso de nombres simples o términos conocidos. Eso se debe a que las contraseñas cortas u obvias no resistirán por mucho tiempo ante un ataque de fuerza bruta. Pero, ¿qué es exactamente un ataque de fuerza bruta? Descubra cómo funcionan los ataques de fuerza bruta, cómo evitarlos y cómo una potente herramienta de ciberseguridad puede ayudarle a mantenerse a salvo.
/How-to-set-parental-controls-on-a-Mac-Hero.jpg?width=1200&name=How-to-set-parental-controls-on-a-Mac-Hero.jpg)
Los ataques de fuerza bruta se producen cuando los hackers intentan descifrar una contraseña mediante ensayos de prueba y error masivos con la ayuda de un equipo informático. El alcance y la definición de fuerza bruta se han ampliado a medida que se ha ido desarrollando la tecnología informática.
Este artículo contiene:
En la década de 1970, en teoría, un hacker podía probar solo varios miles de combinaciones de contraseñas por segundo. Hoy en día, la informática moderna permite cientos de miles de millones de intentos de inicio de sesión por segundo.
Aunque el significado de fuerza bruta se ha ampliado, el método sigue siendo el mismo: probar tantas combinaciones de contraseñas como sea posible con la esperanza de que una de ellas funcione. Que un hacker encuentre o no la contraseña correcta suele depender del tiempo y los recursos que el atacante esté dispuesto a invertir. Pero, ¿qué medios utilizan los hackers modernos?
Existen cinco tipos habituales de ataques de fuerza bruta: ataques simples, ataques de diccionario, ataques híbridos, ataques inversos y relleno de credenciales. Cualquiera que tenga interés y un poco de conocimiento puede conseguir una herramienta de descifrado de fuerza bruta, que es un tipo de software que realiza automáticamente ataques de fuerza bruta.
Generalmente, las herramientas de fuerza bruta se utilizan para descifrar contraseñas o bases de datos de contraseñas robadas. La eficacia de una herramienta de fuerza bruta depende de los recursos y la potencia de procesamiento de quien la utiliza.
Es posible que el típico lobo solitario encerrado en su dormitorio no pueda permitirse el lujo de comprar un equipo muy potente para descifrar contraseñas. La definición de hacker ha variado con el tiempo. Hoy en día, muchos ciberdelincuentes pertenecen a grupos bien financiados y perfectamente organizados con acceso a las técnicas más eficaces para descifrar contraseñas.
Los ataques simples de fuerza bruta no requieren mucha capacidad informática ni ingenio. Combinan sistemáticamente palabras, letras y caracteres hasta alcanzar su objetivo. Las contraseñas largas y complejas no están al alcance de los ataques simples, que generalmente se limitan a variaciones de las contraseñas más comunes o probables.
Un ataque simple de fuerza bruta es tan sencillo que se puede realizar manualmente, aunque obviamente requiere más tiempo.
Un bot puede forzar fácilmente una contraseña predecible. Es por eso que algunas de las peores contraseñas son los números secuenciales (123456), el nombre o la fecha del cumpleaños de una persona, o la famosa (y aún sorprendentemente popular) «contraseña».
/brute-force-attack-01.svg)
Los ataques simples de fuerza bruta descifran fácilmente las contraseñas simples.
Los ataques simples de fuerza bruta siguen siendo efectivos porque muchos usuarios inexpertos de Internet no se dan cuenta del peligro que supone usar contraseñas simples. Otros optan por arriesgar su seguridad usando contraseñas simples para no tener que molestarse en recordar otras más largas y complejas. Si tiene problemas para recordar todas sus contraseñas, debería empezar a utilizar un buen administrador de contraseñas.
Los ataques de diccionario se centran en contraseñas más complicadas, utilizando un diccionario digital o una lista de palabras como ayuda. Puede mantenerse a salvo de los ataques simples de hackers por fuerza bruta si elige una palabra complicada para su contraseña, ya que muchos de ellos se darán por vencidos si requiere demasiado tiempo. Pero el uso de palabras más complejas no le mantendrá a salvo de los ataques de diccionario.
Los ataques de diccionario intentan averiguar su contraseña usando cada palabra, combinaciones comunes de esa palabra con otras palabras, variaciones ortográficas y palabras en varios idiomas. Si usa una sola palabra para su contraseña, un ataque de diccionario de fuerza bruta tendrá éxito en cuestión de segundos.
Los ataques híbridos de fuerza bruta combinan ataques simples de hackeo de fuerza bruta y ataques de diccionario. Las contraseñas comunes se mezclan con palabras del diccionario y caracteres aleatorios para crear una base de datos de combinaciones de contraseñas más grande. Una contraseña como «c0ntr@s3ñ@» puede burlar un ataque de diccionario, pero ofrece pocas defensas contra un ataque híbrido.
Los hackers que utilizan ataques híbridos personalizan su estrategia de ataque, en lugar de limitarse a probar cada palabra una por una. El infiltrado conoce las combinaciones de palabras más probables según las listas de palabras (posiblemente compradas en la web oscura), los datos demográficos del objetivo y el conocimiento general del comportamiento humano. Luego, priorizan sus ataques usando estas combinaciones en primer lugar.
Los ataques inversos de fuerza bruta invierten el orden de las operaciones: Comienzan con una contraseña común o conocida y usan la fuerza bruta para buscar el nombre de usuario. A veces, las contraseñas de las fugas de datos se filtran en línea y, cuando lo hacen, a menudo se utilizan para lanzar ataques inversos.
Muchos usuarios no se plantean nunca la importancia de la seguridad en su ID de inicio de sesión, lo que hace que el hackeo de nombres de usuario por fuerza bruta sea más lucrativo de lo que parece.
El relleno de credenciales se produce cuando un hacker obtiene su nombre de usuario y contraseña para un sitio, y luego intenta iniciar sesión en otros sitios con las mismas credenciales o similares. En lugar de atacar por fuerza bruta una contraseña o nombre de usuario, están atacando por fuerza bruta el lugar donde se usa la contraseña o el nombre de usuario. Esta es una de las razones por las que no debería guardar nunca las contraseñas en su navegador.
Si usa la misma contraseña o nombre de usuario en varios sitios, como hacemos muchos de nosotros, ninguna de sus cuentas estará segura si alguna de ellas queda comprometida. Además de usar contraseñas únicas en todas sus cuentas, plantéese reforzar su seguridad con una herramienta antivirus.
Avast Free Antivirus protege frente a todo tipo de problemas de seguridad, desde contraseñas filtradas y configuraciones no seguras hasta complementos sospechosos, malware y otras amenazas. La función incorporada de análisis inteligente analizará su sistema para que encuentre y corrija fácilmente cualquier vulnerabilidad antes de que se convierta en un problema.
Hay muchos motivos detrás de los ataques de fuerza bruta. Muchos hackers o ciberdelincuentes utilizan ataques de fuerza bruta contra sitios web para insertar más anuncios o robar su información personal confidencial mediante ataques de phishing. Un atacante con deseos de venganza puede servirse de un ataque de fuerza bruta para destruir la reputación de un sitio web.
Un descifrador de contraseñas de fuerza bruta, que es un software que prueba repetidamente contraseñas hasta encontrar la correcta, es algo que se puede encontrar gratis en la Web. Eso significa que cualquiera que tenga deseos de venganza o bastante tiempo libre puede intentarlo. Así, el motivo y la intensidad de los ataques variarán. Pero los ataques severos de fuerza bruta pueden tomar el control de todo un sistema.
Después de analizar los ejemplos de ataques de fuerza bruta más comunes, examinemos ahora algunas de las razones por las que los hackers utilizan estas técnicas.
/icon_01.svg){kind=icon}
La oportunidad de explorar páginas web ocultasLos ataques de fuerza bruta de los hackers pueden revelar mucho más que contraseñas y nombres de usuario. Mediante los ataques de fuerza bruta de las direcciones web, los atacantes pueden obtener acceso a páginas web o directorios que de otro modo permanecerían ocultos a la vista del público.
Estas páginas web suelen generarse por razones técnicas o personales, o fueron creadas y luego olvidadas. En ambos casos, su seguridad puede ser más débil que los sitios destinados al público en general. Es probable que sean más vulnerables a ataques informáticos maliciosos, malware peligroso, como troyanos, inyecciones SQL y otras amenazas perversas.
Si un hacker puede vulnerar por fuerza bruta una página web oculta, podría asegurarse una puerta trasera fiable al sitio web principal.
/icon_02.svg){kind=icon}
Lucrarse con anunciosAl obtener acceso ilegal a sitios web, los hackers pueden hacer que envíen spam con anuncios a los visitantes, cada clic o vista genera ganancias para el hacker. Los hackers también pueden redirigir el tráfico a sitios ilegítimos repletos de anuncios, o a sitios web de pharming que simulan ser los reales.
Los hackers pueden sacar provecho del spam explotando los modelos comerciales de publicidad y obligando a las personas a ver y a enfrentarse a una avalancha de anuncios.
/icon_03.svg){kind=icon}
Propagar malwareA menudo, los ataques de fuerza bruta se utilizan para propagar virus y otro malware por todo un sistema. Dependiendo del tipo de malware que use el hacker, es posible que logre acceder a datos confidenciales, como su lista de contactos y su ubicación.
Mediante la instalación de adware en su dispositivo, un hacker puede enviarle spam y ganar dinero cuando lo vea. Los hackers pueden atacar por fuerza bruta un sitio web e instalar malware que infecte a cualquiera que lo visite.
Avast Free Antivirus le protege contra las amenazas inesperadas. Nuestro Escudo web bloqueará la descarga de malware conocido en su PC al navegar por la Web, mientras que nuestro Escudo de archivos analizará los archivos desconocidos antes de que lleguen hasta usted y, si son maliciosos, los pondrá en cuarentena inmediatamente.
Avast Free Antivirus detendrá los ataques maliciosos en su equipo, incluso si provienen de dominios fiables que, sin saberlo, se han visto comprometidos en un ataque de fuerza bruta.
Además, nuestra función de Análisis inteligente incorporada reforzará las grietas en su seguridad en línea supervisando todas sus configuraciones y complementos para detectar posibles exposiciones.
¿Necesita protección aún más especializada contra los ataques de fuerza bruta? Pruebe Avast Premium Security, que bloquea automáticamente los intentos de ataques de fuerza bruta en su dispositivo mediante el Escudo de acceso remoto integrado.
/icon_04.svg){kind=icon}
Robar datosAl obtener acceso a sitios web, los hackers pueden rastrear los datos de navegación del usuario y venderlos a terceros. Su información es valiosa para los anunciantes que desean venderle productos, para las empresas de análisis que ayudan a los sitios web a optimizar sus modelos comerciales y para los corredores de datos que venden datos personales o agregados a compradores interesados.
Descargar y usar un descifrador de contraseñas de fuerza bruta resulta tan sencillo que presenta pocas desventajas para los hackers. Hoy en día, el big data reporta grandes beneficios.
Por supuesto, cualquier persona que robe sus datos también puede usarlos en su propio beneficio. Por ejemplo, mediante el uso de un ataque de fuerza bruta, un hacker puede insertar spyware para recopilar datos personales, que pueden utilizar para hacer doxxing o cometer un robo de identidad.
/icon_05.svg){kind=icon}
Secuestrar sistemasDespués de entrar por fuerza bruta, los hackers pueden infectar su dispositivo con ransomware, que toma como rehenes sus valiosos archivos o incluso bloquea completamente su dispositivo. Después de tomar el control, los hackers pueden extorsionarle para que les envíe dinero amenazando con destruir sus archivos o divulgar información confidencial.
El ransomware, como Petya y Wannacry, puede cifrar sus archivos hasta que pague, e incluso así, no existe ninguna garantía de que recupere sus datos.
Su primera línea de defensa contra un ataque de fuerza bruta es elegir una contraseña segura. Establezca contraseñas únicas para todas sus cuentas y guárdelas de forma segura con un administrador de contraseñas potente.
Google y otros servicios intentan prevenir los ataques de fuerza bruta limitando los intentos de inicio de sesión o usando CAPTCHA y otros sistemas similares para comprobar que el usuario es humano. Pero tenga en cuenta que el software de ataque de fuerza bruta más moderno puede burlar estas medidas de seguridad.
Si un hacker dispone de la función hash de la contraseña, puede intentar iniciar sesión en la cuenta sin conexión en un dispositivo diferente tantas veces como desee. Además, como muchas personas tienden a usar el mismo nombre de usuario y contraseña en varios sitios, los hackers pueden intentar iniciar sesión en miles de sitios web hasta que encuentren la combinación, y luego pueden volver a intentarlo con el objetivo original.
Pero hay muchas cosas que puede hacer para evitar los ataques de fuerza bruta, como practicar mejores hábitos de contraseñas, habilitar la autenticación en varios pasos y usar software de seguridad en línea.
Cuanto más larga sea una contraseña, mejor. Muchos usamos la misma contraseña en varios sitios, y a menudo usamos contraseñas cortas, ya que resulta muy molesto tener que recuperar la contraseña. Puede evitar este problema y crear contraseñas difíciles de descifrar con un administrador de contraseñas seguro, que generará y almacenará las contraseñas automáticamente.
Las contraseñas complejas son más seguras que las simples. Es posible que haya notado últimamente que los sitios web le solicitan que genere una contraseña segura. Estas contraseñas largas y complejas se componen de cadenas aleatorias de letras, números y símbolos. La seguridad de las contraseñas se incrementa de forma exponencial al aumentar la longitud de sus contraseñas y utilizar combinaciones únicas de palabras o letras.
Evite el uso de identificadores comunes, como el nombre de su equipo favorito o de su ciudad o cualquier otra información que pueda obtenerse fácilmente mediante una búsqueda de su ubicación u otros datos demográficos. Y cree siempre una contraseña nueva para cada una de sus cuentas.
Una contraseña de siete letras tiene alrededor de ocho mil millones de combinaciones, que aún está al alcance de los ataques de fuerza bruta. Duplíquela a 14 letras, y las combinaciones se dispararán a los 64 trillones, más que la cantidad de granos de arena que hay en la tierra. Dé un salto a 21 letras y obtendrá una cantidad de combinaciones posibles mayor que la de todas las estrellas del universo conocido.
La autenticación en varios pasos (MFA) y la autenticación en dos pasos (2FA) le obligan a iniciar sesión con al menos dos tipos diferentes de credenciales. Estos factores pueden estar basados en el conocimiento, como una pregunta de seguridad. Evite preguntas con respuestas que se puedan averiguar fácilmente buscando en sus cuentas de las redes sociales.
Puede configurar 2FA fácilmente en Facebook o Google desde su configuración de seguridad; después tendrá que confirmar su identidad mediante un SMS o una aplicación de autenticación.
Estos factores también pueden consistir en elementos de un solo uso que debe tener en su poder cuando inicie sesión. Por ejemplo, una contraseña de un solo uso (OTP) que recibe por correo electrónico, notificaciones automáticas con códigos especiales o una aplicación de autenticación.
Un tercer factor de autenticación puede ser un identificador biométrico, como escanear las huellas dactilares o usar un software de reconocimiento facial. Los hackers más tenaces pueden imitar o robar esta información, pero es muy difícil y no vale la pena el esfuerzo a menos que se trate de un objetivo de un valor extremadamente alto.
/brute-force-attack-02.svg)
La autenticación en varios pasos agrega capas de seguridad a su contraseña.
A veces, el mejor complemento de un programa malicioso es un buen programa. Poner su red o sitio web tras un cortafuegos o configurar una puerta de enlace VPN puede brindarle una línea de defensa adicional contra los programas de fuerza bruta.
Las herramientas antivirus protegen todos los rincones y grietas de su sistema. Los programas defensivos deben ser avanzados y los mejores programas antivirus deben actualizar constantemente su software con las últimas herramientas para bloquear virus y detener los intentos de hackeo.
Las empresas deben innovar para ir por delante de los hackers intrépidos. Avast Free Antivirus incorpora una función que analiza la web oscura en busca de rastros de su dirección de correo electrónico y sus datos personales. También supervisará su contraseña para asegurarse de que no haya quedado expuesta y le avisará si debe cambiarla.
Si desea protección adicional, actualice a Avast Premium Security, el Escudo de acceso remoto bloqueará automáticamente los ataques de fuerza bruta que traten de acceder a su equipo.
Afortunadamente, la mayoría de nosotros no somos objetivo directo de los ataques de fuerza bruta. Normalmente, los hackers atacan los sitios web por fuerza bruta y luego utilizan ese acceso para propagar malware a los visitantes del sitio.
Avast Free Antivirus bloqueará y eliminará automáticamente el malware de los sitios web comprometidos, incluso de los que normalmente son siempre seguros, para que ningún virus u otro malware pueda acabar en su ordenador. También le protegeremos contra descargas maliciosas, vínculos infectados y archivos adjuntos de correo electrónico peligrosos.
Con tantas amenazas al acecho, resulta imprescindible disponer de una capa adicional de defensa para proteger sus datos y otra información personal. Descargue ya Avast Free Antivirus para ir por delante de los hackers.