definición de ataque de fuerza bruta
un ataque de fuerza bruta ve a un atacante enviando repetidamente y sistemáticamente diferentes nombres de usuario y contraseñas en un intento de adivinar las credenciales correctamente. Este enfoque de prueba y error, simple pero intensivo en recursos, generalmente se realiza utilizando herramientas automatizadas, scripts o bots que recorren todas las combinaciones posibles hasta que se concede el acceso.,
«Este es un antiguo método de ataque, pero sigue siendo eficaz y popular entre los hackers», dice David Emm, investigador principal de seguridad de Kaspersky. «Los ataques de fuerza bruta se utilizan a menudo para apuntar a dispositivos en redes remotas para obtener información personal como contraseñas, frases de contraseña, nombres de usuario y números de identificación personal (PIN).,»
sin embargo, cuanto más larga sea la contraseña y más fuerte sea el cifrado en las credenciales guardadas, la cantidad de tiempo y la potencia de cálculo necesarias, por lo que es posible que las organizaciones disminuyan la eficiencia del ataque hasta el punto en que es casi imposible para los atacantes ejecutar con éxito.
en 2017, tanto el Parlamento británico como el escocés fueron víctimas de ataques de fuerza bruta, mientras que un ataque similar pero fallido ocurrió en el Parlamento de Irlanda Del Norte un año más tarde., La aerolínea Cathay Pacific sufre un ataque de fuerza bruta un año más tarde por el cual fue multada con £500,000 por el regulador de datos del Reino Unido debido a la falta de medidas preventivas suficientes. El servicio de bloqueo de anuncios Ad Guard también obligó a restablecer todas las contraseñas de los usuarios después de sufrir un ataque de fuerza bruta.
cómo funcionan los ataques de fuerza bruta
los ataques de fuerza bruta a menudo se llevan a cabo mediante scripts o bots que se dirigen a la página de inicio de sesión de un sitio web o aplicación. Pasan por todas las claves o contraseñas posibles., Las aplicaciones comunes incluyen descifrar contraseñas en sitios web o aplicaciones, claves de cifrado o API e inicios de sesión SSH.
un ataque de descifrado de contraseñas es solo un paso en la cadena de eliminación de un atacante, según Emm. Se puede utilizar para obtener acceso a cuentas de usuario, correo electrónico, banca o SaaS o para comprometer las API o cualquier otro servicio que requiera un inicio de sesión y credenciales.
desde allí el atacante puede realizar su objetivo previsto. «Un ataque de fuerza bruta exitoso da a los ciberdelincuentes acceso remoto al equipo objetivo en la red», explica Emm., «El objetivo principal de estos atacantes es obtener información personal que luego se pueda usar para acceder a cuentas en línea y recursos de red. A partir de ahí, estos pueden usarse para enviar enlaces de phishing, difundir contenido falso o incluso recopilar credenciales para venderlas a terceros.»
«el proceso de adivinar una contraseña para un sitio específico puede ser una tarea laboriosa y lenta, por lo que los hackers han desarrollado herramientas para ayudar a hacer el trabajo más rápido», dice Emm., «Las herramientas automatizadas también están disponibles para ayudar con los ataques de fuerza bruta, con nombres como Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng y Rainbow.»
» muchos pueden encontrar una sola palabra de diccionario en un segundo. Herramientas como estas funcionan contra muchos protocolos informáticos (como FTP, MySQL, SMPT y Telnet) y permiten a los hackers descifrar módems inalámbricos, identificar contraseñas débiles, descifrar contraseñas en almacenamiento cifrado y traducir palabras a leetspeak; ‘don’ thackme ‘se convierte en’ d0n7H4cKm3′, por ejemplo.,»
el éxito de un ataque de fuerza bruta se mide en el tiempo que lleva descifrar una contraseña con éxito. A medida que aumenta la longitud de una contraseña, el tiempo necesario para descifrarla aumenta exponencialmente. Según Cloudflare, una contraseña de siete caracteres, a un ritmo de 15 millones de intentos de clave por segundo, tardaría 9 minutos en descifrarse. Una contraseña de 13 caracteres tomaría más de 350.000 años.
del mismo modo, cuanto más larga sea una clave de cifrado, más tiempo y recursos se requieren para superarla a través de la fuerza bruta., Una clave de cifrado de 128 bits tiene 2128 combinaciones posibles, mientras que con el cifrado de 256 bits, Un atacante tendría que probar 2256 combinaciones. Con la tecnología actual que tomaría billones de años adivinarlos todos.
«dependiendo de la longitud y complejidad de la contraseña, descifrarla puede tardar desde unos segundos hasta muchos años», dice Emm. «De hecho, IBM informa que algunos hackers apuntan a los mismos sistemas todos los días durante meses y, a veces, incluso años.,»
incluso si los atacantes utilizan unidades de procesamiento de gráficos (GPU), que pueden acelerar significativamente el número de combinaciones intentadas por segundo, el aumento de la complejidad de las contraseñas y el uso de cifrado fuerte puede hacer que el tiempo necesario para descifrar una contraseña más allá de cualquier posibilidad.
tipos de ataques de fuerza bruta
ataques de fuerza bruta tradicionales: un atacante intenta todas las combinaciones posibles.
ataques de fuerza bruta inversa: un pequeño número de contraseñas comunes se prueban repetidamente contra muchas cuentas.,
relleno de credenciales: un ataque intenta usar nombres de usuario y contraseñas robados de sitios o servicios para secuestrar cuentas en otros servicios y aplicaciones.
ataques de diccionario: un ataque pasa por palabras de un diccionario o contraseñas comunes de otras filtraciones de datos.
ataques de tabla Rainbow: usando un diccionario pre-calculado de contraseñas de texto plano y sus correspondientes valores hash, los atacantes determinan las contraseñas invirtiendo la función hash.,
El Trabajo Remoto aumenta los ataques de fuerza bruta
según el informe de Investigaciones de violación de datos 2020 de Verizon, menos del 20% de las violaciones dentro de las Pymes involucran fuerza bruta, y menos del 10% para las grandes organizaciones. Esta tendencia se había mantenido en gran medida sin cambios desde las iteraciones del informe de 2019 y 2018, pero la pandemia de coronavirus puede haber cambiado el panorama.
«como resultado de la pandemia de COVID-19, las empresas de todo el mundo han adoptado políticas de trabajo remoto, lo que ha tenido un impacto directo en el panorama de las ciberamenazas», dice EMM de Kaspersky., «Tras la transición masiva al trabajo en casa, los ciberdelincuentes han concluido lógicamente que el número de servidores RDP mal configurados aumentaría, de ahí el aumento de los ataques.»
» desde principios de marzo, el número de fuerza bruta.Generico.Los ataques RDP se han disparado en todo el mundo y es poco probable que los ataques a la infraestructura de acceso remoto se detengan en el corto plazo, teniendo en cuenta la cantidad de recursos corporativos que se han puesto a disposición de los trabajadores remotos.,»
cómo protegerse contra ataques de fuerza bruta
mientras que ninguna técnica es infalible contra un ataque de fuerza bruta, las organizaciones pueden tomar muchas medidas que requieren más tiempo y recursos informáticos para el ataque, haciendo que su negocio sea un objetivo menos atractivo:
- Use contraseñas largas y complejas que están cifradas (idealmente con cifrado de 256 bits).
- salte los hashes de contraseña., Emm aconseja que las cadenas se almacenen en una base de datos separada y se recuperen y agreguen a la contraseña antes de que se hash para que los empleados con la misma contraseña tengan hashes diferentes.
- tenga una buena política de mensajería de contraseñas para los empleados en torno a la complejidad de las contraseñas y la reutilización de contraseñas en varias cuentas.
- limitar los intentos de inicio de sesión durante un período de tiempo determinado o requerir un reinicio después de un cierto número de intentos incorrectos.
- Rate-limita el tiempo que lleva autenticar una contraseña.
- Habilitar s.
- Habilitar la autenticación de múltiples factores, donde sea posible.,
- considere usar un administrador de contraseñas