Los ataques de fuerza bruta es un recurso bastante habitual dentro del hacking para obtener contraseñas y poder acceder a nuestra información personal. Estos ataques de fuerza bruta se van a clasificar en 3 tipos.

Ataques de fuerza bruta

Un ataque de fuerza bruta es cuando un ordenador está venga a probar combinaciones de contraseñas con una cuenta de usuario para poder acceder a tu correo, cuenta de red social o el lugar donde se use una contraseña.

Estas combinaciones de contraseñas se tienen almacenadas en un fichero llamado diccionario.

Este diccionario no es más que un conjunto de palabras que pueden ser contraseñas, como el clásico diccionario de toda la vida, supón que el ordenador empieza en la letra A y va recorriendo dicho diccionario hasta la última palabra de la letra Z.

Aparte de palabras, los diccionarios contienen palabras, números y variaciones de palabras con números y caracteres especiales, como por ejemplo, sustituir la letra A por el número 4, o la letra S por un el símbolo del dólar ($)… entre otras sustituciones habituales. Por ejemplo: Santander -> $4nt4nd€r

Antes de realizar el ataque, se puede configurar para indicar las contraseñas a probar, indicando los números de caracteres mínimos y máximos de la palabra, usar solo minúsculas, mayúsculas, etc. por ejemplo, que pruebe a partir de una palabra de 3 caracteres, con máximo de 6 y tan solo letras mayúsculas. El ordenador empezaría a probar: AAA, AAB, AAC, AAD, etc. y las últimas palabras serían ZZZZZY, ZZZZZZ.

Supongamos que están atacando tu cuenta de Facebook con fuerza bruta, el ordenador del atacante va a estar probando palabra por palabra todas aquellas que tiene en su diccionario.

Si el ordenador llega hasta el fin del diccionario significa que no tu contraseña no estaba en ese diccionario.

Si por el contrario, el ordenador ha accedido, el hacker ya tiene el control de tu cuenta y si además, utilizas esa misma contraseña en otros sitios, pues es cuestión de tiempo que entre a esas otras plataformas a ver qué puede sacar.

Ataque de fuerza bruta

Investigando al atacado: Vitaminar el diccionario

Los diccionarios de palabras tienen sus limitaciones, a mayor cantidad de palabras, mayor tiempo se necesita para probar cada contraseña, además es «imposible» que un diccionario contenga todas las combinaciones de caracteres existentes.

Debido a la gran cantidad de sitios web que nos solicitan contraseñas, es habitual encontrar que los usuarios usan los nombres de sus ciudades, mascotas, familiares, números de teléfonos, años de nacimiento o DNI’s como contraseñas.

Un hacker que quiera conocer tu contraseña podría investigar primero en redes sociales y en Google tratando de adivinar la mayor información posible acerca de tus gustos, aficiones y/o hobbys ya que habrá una posibilidad de que tu contraseña.

Sería recomendable distinguir entre hacker y cracker dentro del argot informártico: Un hacker no tiene fines malévolos, su trabajo es descubrir vulnerabilidades y reportarlas para que se subsanen, por el contrario, un cracker tiene por objetivo explotar, para su propio beneficio, cualquier vulnerabilidad existente.

En cuanto a la búsqueda en Google, te animo a que busques tu nombre y apellidos, pero haz la búsqueda entrecomillada para que el buscador busque exactamente tu nombre, en mi caso sería algo así: «Javier Vallejo».

Esta recapitalución de información es habitual de hacer cuando se quiere atacar específicamente a una persona, la serie Mr. Robot recrea muy bien esta situación, como se puede ver en el siguiente video.

En el caso del video, recogen información de la persona para acceder a su Facebook haciendose pasar por otra persona, preguntando por el nombre de equipo y su mascota como preguntas de seguridad, una vez tiene esta información, la añadía a su diccionario particular.

Ataques de fuerza bruta inversa

Este tipo de ataques se está volviendo bastante común, ya que la probabilidad de éxito es mayor respecto a los métodos anteriores, aunque la forma de realizar el ataque también varía un poco.

En vez de realizar el ataque a una cuenta, el ataque se realizan a varias cuentas y en vez de probar miles o millones de combinaciones, se prueban un número de bajo de contraseñas, pero se prueban las contraseñas más comunes que se conocen…

Seguramente hayas visto alguna noticia en la que informan que se han filtrado todos los correos de los usuarios de cierta página web, siendo aquí el punto que aprovechan los crackers. En el método de fuerza bruta inversa, ya no se ataca a un solo usuario con un monton de contraseñas, sin tener el menor indicio de cual puede ser.

El ataque de fuerza bruta inversa consiste en probar un breve listado de las contraseñas más comunes de Internet frente a esta lista de correos filtrados, es decir, el número de usuarios es mayor, pero la cantidad de contraseñas a probar es muy baja.

Algunas de las contraseñas más utilizadas son:

  • 123456
  • password
  • qwerty
  • 123456789

Es muy habitual encontrar a usuarios de Internet que tienen cuentas con datos personales con contraseñas como las anteriores.

Conclusión

Usar una única contraseña para todas tus cuentas de Internet es un error, al menos debieras de usar una diferente para tu correo, otra para tu banco y otra para el resto de webs. En esta entrada te informo cómo crear contraseñas seguras, fáciles de recordar y además, que son difíciles de descifrar para un ordenador.

¡Valora este artículo y ayúdame a mejorar la calidad del blog!
(Votos: 0 Promedio: 0)