Los ciberdelincuentes utilizan muchas técnicas para romper la seguridad y tomar el control de los datos privados de las personas o las empresas. Una de estas tendencias son los ataques de fuerza bruta. A través de ellos, los ciberdelincuentes se apoderan de los datos de usuario y la contraseña asociados a las cuentas para utilizarlos libremente.

Los ataques de fuerza bruta son sencillos: combinan software, ensayo y error y la aplicación de un algoritmo de sucesión de palabras, caracteres y dígitos. A través de estas variables, los piratas informáticos crean contraseñas más veces de las que pensamos. Vamos a ver cómo lo hacen.

¿Qué tan efectivos son los ataques de fuerza bruta?

La verdad es que llevar a cabo un ataque de fuerza bruta requiere mucho talento y tenacidad. En otras palabras, ni siquiera los mejores piratas informáticos pueden predecir con eficacia cuánto tiempo puede tardar un ataque de fuerza bruta exitoso.

Es decir, los piratas informáticos pueden tardar desde unos minutos hasta años en descifrar un código mediante ataques de fuerza bruta; y hacerlo siempre dependerá de la longitud y la complejidad de la contraseña que quieran descifrar.

Por esta razón, la recomendación general para el usuario final es crear contraseñas de longitud considerable, es decir, de al menos 8 caracteres que incluyan mayúsculas, minúsculas, caracteres especiales y dígitos.

Sin embargo, estas medidas por sí mismas no garantizan plenamente la integridad de los datos para acceder correctamente a sus cuentas. En otras palabras, los ataques de fuerza bruta tienen más tentáculos y estrategias de las que debes tener cuidado.

Ataques de fuerza bruta, ataques de diccionario y ataques de mesa arcoíris

Ataques de diccionario

Por un lado, encontramos los ataques a los diccionarios. Se basa en una lógica simple: consiste en probar todas las palabras del diccionario.

Aunque parezca mucho trabajo por hacer, lo cierto es que suele ser más efectivo que un ataque de fuerza bruta porque muchos usuarios utilizan una palabra en su idioma nativo para recordar sus contraseñas con mayor facilidad.

Rainbow Table Attack

Por otro lado, nos encontramos con la mesa Rainbow Attacks. Parten del valor hash para reproducir los pasos dentro del código de cadena hasta obtener la contraseña. Sin embargo, muchas veces el valor no está en la tabla principal, por lo que los piratas informáticos lo reproducen reduciendo el valor con la misma función con la que se creó la cadena.

Este mismo procedimiento se repite hasta alcanzar el valor de resumen en un punto final. Ahora bien, no significa que ya se haya encontrado la contraseña, sino la cadena de caracteres. Esto acabará revelando el texto plano que compone la contraseña.

Se llaman Rainbow Tables porque los piratas informáticos asignan un color diferente a cada reducción para evitar confusiones. Al final, hay tantas reducciones con sus respectivos colores, que termina pareciendo un arcoíris.

¿Pueden converger los 3 tipos de ataque?

Sí, definitivamente pueden. El ataque al diccionario estrategia (centrada en la detección de palabras); y la de mesas arcoíris los ataques (que emplean grupos de secuencias contiguas) pueden complementarse ataques de fuerza bruta; y hacer que las recomendaciones básicas sean insuficientes para la creación de contraseñas.

Esto ocurre especialmente cuando creamos contraseñas en la web, porque estamos sujetos a lo que el proveedor del servicio haya establecido. Sobre todo porque estos parámetros generalmente se fijan como máximo en 10 caracteres; además de un número limitado de números y caracteres que hacen que nuestras contraseñas sean más vulnerables.

En resumen, dichos parámetros son transparentes y los piratas informáticos pueden ajustar perfectamente su software con estas funciones para acelerar el proceso de descifrado de códigos.

Sin embargo, los servicios en línea tienen dos factores que pueden ayudarnos a contrarrestar los ataques de fuerza bruta por sí solos, o en combinación con las otras dos modalidades descritas anteriormente.

Protección en los mecanismos de contraseñas contra ataques de fuerza bruta

Esta protección impide los ataques de fuerza bruta. Por ejemplo, si el usuario introduce una contraseña incorrecta, debe esperar un poco antes de volver a intentarlo.

Esta medida es exponencial, es decir, el tiempo de espera aumenta a medida que se repiten los intentos fallidos. Otra medida drástica es bloquear la cuenta cuando haya X intentos fallidos y lanzar una alarma a través de la bandeja de entrada a la cuenta asociada.

Autenticación multifactor

Muchos proveedores ofrecen esta técnica como servicio opcional. Con esta opción, los usuarios finales aumentan el nivel de complejidad de la protección contra los ataques de fuerza bruta, ya que permite autenticar tanto el usuario como la contraseña, además de otro elemento adicional, como responder a una pregunta secreta o añadir un PIN o un captcha. Esto evita que el sistema sufra ataques de fuerza bruta.

Para evitar los ataques de fuerza bruta, los departamentos de TI corporativos deben asegurarse de que el cifrado de las contraseñas tenga una longitud de 256 bits, si es posible. Es sencillo: cuanto mayor sea la cantidad de bits utilizados para el cifrado, más complejo será descifrar las contraseñas.

Recomendaciones para los usuarios finales

La mejor recomendación para los usuarios finales es utilizar contraseñas de 10 caracteres que contengan una combinación de símbolos y números. Con este grado de dificultad, aumentas la tasa de coincidencia hasta alcanzar un número de 171,3 billones de probabilidades.

Si el sitio no permite contraseñas largas, debe elegir contraseñas de combinación compleja en lugar de palabras simples. Evite las contraseñas comunes («123456", «abcdef», «000000") y cámbielas con frecuencia.

Además, es muy recomendable que incluyas un software de seguridad empresarial para proteger cada una de tus comunicaciones y mejorar la protección de tus contraseñas. Consulta aquí las opciones que tenemos para ti.