¿Qué son los ataques de fuerza bruta para encontrar contraseñas y claves?

¿Qué son los ataques de fuerza bruta para encontrar contraseñas y claves? 1

¿Qué son los ataques de fuerza bruta o fuerza bruta y cómo se utilizan para descubrir contraseñas y claves de cifrado cifradas?

Los ataques de fuerza bruta son lo suficientemente simples de entender, pero difíciles de contrarrestar. Incluso un sistema criptográfico complejo ahora puede ser descifrado por un ataque de fuerza bruta (o fuerza bruta) llevado a cabo por una serie de computadoras rápidas. Estos ataques se pueden lanzar contra cualquier tipo de cifrado o sistema de seguridad con credenciales de acceso (desde una simple contraseña para iniciar sesión en un sitio o servicio hasta el archivo comprimido cifrado) y se vuelven cada vez más rápidos y efectivos. son producidos.

Veamos juntos, con palabras simples y fáciles de entender, lo que ataca la fuerza bruta, qué herramientas se utilizan y a qué arriesgamos si no elegimos bien la contraseña de seguridad y / o confiamos en protocolos de seguridad antiguos y obsoletos (más fáciles de romper).

Índice()

    Cómo funcionan los ataques de fuerza bruta

    Ataques de fuerza bruta o "fuerza bruta" en el campo informático son bastante simples de entender. Tener un programa protegido con contraseña, un hacker que quiere descifrarlo comienza pruebe cada combinación de caracteres, símbolos, letras o números en serie hasta que encuentre la clave correcta.
    Obviamente estos intentos no se hacen a mano, sino automáticamente con un programa de computadora que es más rápido cuanto más potente es la computadora utilizada.

    Ataque de diccionario

    El ataque de fuerza bruta más simple que se puede llevar a cabo es el ataque al diccionario (ataque de diccionario): la naturaleza de este ataque se basa en un diccionario de palabras escritas, a menudo basado en un lista de contraseñas comunes o en una serie de palabras específicas (es decir, adaptadas a la persona o servicio al que se dirigirá).

    En la práctica, en lugar de probar todas las combinaciones posibles de contraseñas, pruebe las palabras más utilizadas por las personas como, por ejemplo, nombres propios, nombres de ciudades, nombres de jugadores, años y fechas, etc. Tenga en cuenta que las contraseñas y las claves de cifrado son cosas diferentes: la clave se genera de forma totalmente aleatoria mientras que una contraseña debe recordarse e ingresarse manualmente por lo que es una palabra más simple. Encontrar la clave de cifrado es difícil y requiere un ataque de fuerza bruta, mientras que las contraseñas se encuentran con simples ataques de diccionario.

    Crack del protocolo de cifrado

    El ataque de fuerza bruta más efectivo pero también el más difícil de llevar a cabo es el crack del protocolo de cifrado. El cracker (es decir, el hacker que intenta realizar este tipo de ataque) no intenta adivinar la contraseña de un diccionario, sino que intenta violar el protocolo que protege la comunicación, el archivo cifrado o la página de inicio de sesión: una vez encontrado el punto débil lo usa para omitir la contraseña y acceder inmediatamente a todos los datos.

    Como se mencionó, llevar a cabo este tipo de ataques no es nada fácil y requiere una gran experiencia en cracking, así como grandes recursos desde el punto de vista económico e informático: con la actualización de protocolos de seguridad. este tipo de ataque se ha vuelto muy raro y se logra solo con el uso de una gran cantidad de crackers, todos los cuales se enfocan en un solo protocolo para romper.
    Podemos estar tranquilos: este tipo de ataque no es fácil de realizar y los recursos necesarios ciertamente no se utilizan para una red Wi-Fi doméstica, a menos que usemos protocolos ya violados como WEP y WPA, como se ve en nuestra guía. Cómo descifrar la contraseña de la red WiFi WPA / WPA2.

    Ataques de fuerza bruta en sitios web

    Existe una clara diferencia entre un ataque de fuerza bruta en línea y uno fuera de línea. Por ejemplo, si un atacante quisiera robar mi contraseña de Gmail, no pudo encontrar mi contraseña probando las distintas combinaciones en el sitio de Gmail porque Google lo impide. Después de varios intentos, bloquea el acceso pidiéndole que ingrese un código Captcha para evitar que algún programa automático intente acceder. Los servicios que brindan acceso a cuentas en línea, así como a Facebook, detienen los intentos de inicio de sesión y aquellos que intentan iniciar sesión demasiadas veces confundiendo contraseñas.

    Por otro lado, si el hacker tiene acceso a una computadora que tiene un administrador de contraseñas con una clave encriptada, puede tener mucho tiempo para lanzar un ataque de fuerza bruta o de diccionario manteniéndolo activo hasta que se encuentre la contraseña. Entonces no hay forma de evitar que se pruebe una gran cantidad de contraseñas en un corto período de tiempo. Teóricamente, ninguna criptografía es invencible. aunque puede llevar más de un mes superar las resistencias más duras.

    Velocidad de un ataque de fuerza bruta

    En cuanto a la rapidez con la que se puede realizar un ataque de fuerza bruta, todo depende del hardware utilizado. Las agencias de inteligencia (pero también los piratas informáticos en papel) pueden construir enormes servidores especializados en computación compartida, pesados ​​solo para encontrar claves de cifrado o romperlas. El método a menudo explota el potencial de las GPU modernas, las mismas que se utilizan para juegos y criptomonedas, capaces de trabajar a velocidades absurdas en miles de millones de datos en un segundo y descifrar cualquier contraseña simple o protocolo estándar (a costa de electricidad y muy altos costos de gestión).

    ¡Nadie usará estos recursos para nuestra querida PC doméstica, a menos que ocultemos algunos secretos de la NSA o la CIA! En este caso, es mejor leer los siguientes capítulos de inmediato.

    Cómo frenar los ataques de fuerza bruta

    Uno de los métodos más utilizados para hacer la vida más difícil a los piratas informáticos es el Hashing: El uso de algoritmos hash potentes puede ralentizar los ataques de fuerza bruta. Estos algoritmos hash como SHA1 y MD5 realizan un trabajo matemático adicional en una contraseña antes de almacenarla.

    Obviamente, una buena forma de ralentizar los ataques de fuerza bruta requiere utilizar los protocolos de seguridad más recientes y actualizados. Por ejemplo para Wi-Fi tenemos que referirnos a WPA3 (todavía no es muy común), mientras que para los otros tipos de cifrado el Protocolo AES-256 (a menudo combinado con Hash) se ha convertido en un estándar lo suficientemente seguro para protegerse contra un ataque realizado sin los recursos necesarios (nada es inviolable, solo que lleva demasiado tiempo y realmente debe valer la pena).

    Protege nuestros datos de ataques de fuerza bruta.

    No hay forma de protegerse completamente, pero es poco probable que alguien se vuelva contra nosotros, simples mortales, ataques de fuerza bruta de alto nivel. Por tanto, no hay que preocuparse demasiado por sufrir este tipo de ciberataques complejos. Sin embargo, es importante mantener seguros los datos cifrados intentando que nadie acceda a ellos. utilizar contraseñas seguras y autogeneradas casi al azar, como se ve en nuestra guía generar una contraseña segura para todos los sitios web. A una contraseña segura podemos agregar un sistema de autenticación más difícil de descifrar como el Autenticador bidireccional, autenticación de dos factores: incluso si el pirata adivina la contraseña, no puede acceder a nuestra cuenta sin un código generado en nuestro teléfono, como se ve en nuestras guías Sitios / aplicaciones donde puede activar la verificación de contraseña en dos pasos es Las mejores aplicaciones para generar OTP, para un acceso seguro a los sitios.

    El problema es más bien el de defenderse de los llamados ataques de ingeniería social para robar datos personales y hacer trampas que no se basan tanto en la técnica como en el ingenio y la astucia; por ejemplo, nunca abra mensajes de correo electrónico que soliciten acceder a nuestra cuenta bancaria a través de Internet para asegurarla, confirmar o bloquear una transacción sospechosa o aprobar nuevas reglas.

    Conclusiones

    Un ataque de fuerza bruta no es un paseo por el parque y difícilmente seremos víctimas de este tipo de ataques: obviamente siempre intentamos usar protocolos de encriptación actualizados, usamos contraseñas complejas que son difíciles de encontrar en un diccionario. y activamos todos los sistemas de seguridad que ofrece un sitio (como la autenticación de dos factores), con el fin de hacerle pasar un mal rato a cualquier hacker dominical y evitar el acceso a nuestros servicios.

    Si tiene dificultades para recordar contraseñas generadas aleatoriamente, le recomendamos que lea nuestra guía Cómo crear y administrar contraseñas de cuentas web.
    Si por el contrario, tenemos miedo de que el ataque a nuestro equipo haya sido realizado por virus o malware, te recomendamos que leas nuestra guía. El mejor anti-malware para encontrar incluso spyware oculto.

    ¡Haz clic para puntuar esta entrada!
    (Votos: 0 Promedio: 0)

    Manuel Fernández

    Aficionado a la tecnología y a la manera de arreglar los problemas diarios que nos plantea ;)

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir

    Este sitio web utiliza cookies para asegurar que tengas una mejor experiencia al navegar por él. Leer más