¿Qué son ataques de fuerza bruta y cómo prevenirlos?

¿Qué es un ataque de fuerza bruta y cómo prevenirlo?

A diferencia de muchas otras técnicas de hackeo, los ataques de fuerza bruta no se basan en las vulnerabilidades dentro de los sitios web. Estos ataques dependen principalmente del comportamiento predecible de los usuarios que usan contraseñas débiles o fáciles de adivinar. La facilidad para adivinar contraseñas fáciles de adivinar y la cantidad de objetivos para atacar hacen que este tipo de ataques sean muy populares.

¿Qué es un ataque de fuerza bruta?

Los ataques de fuerza bruta son intentos masivos de loguearse en una cuenta utilizando una una gran cantidad de combinaciones de contraseñas. Estos ataques con frecuencia implican múltiples intentos con la esperanza de que uno de ellos sea válido. Es cómo probar todas las combinaciones posibles de un candado, pero a una escala mucho mayor.

Las contraseñas no son el único objetivo de este tipo de ataques, también se aplica a enlaces y directorios, los nombres de usuario y los correos electrónicos, que son otros objetivos comunes.

¿Para qué se realizan los ataques de fuerza bruta?

El objetivo es obtener acceso a un recurso que de otro modo estaría restringido a otros usuarios. Puede ser una cuenta administrativa, una página protegida con contraseña o simplemente para enumerar correos electrónicos válidos en un sitio web determinado. Obtener acceso a una cuenta válida puede significar comprometer toda la información del sitio web.

Recomendado:   Conozca los Fraudes más comunes con WhatsApp

¿Cómo funciona un ataque de fuerza bruta?

El tipo más común de ataque de fuerza bruta es el ataque de diccionario e involucra una lista de palabras que comúnmente se utilizan como contraseñas.  Los ataques de diccionario intentarán iniciar sesión con las contraseñas inseguras más utilizadas, como por ejemplo “admin” y “123456”.

¿Cómo saber si alguien está intentando un ataque de fuerza bruta?

Básicamente, si parece que alguien intenta repetidamente y sin éxito iniciar sesión en una cuenta, es probable que se trate de un intento de ataque de fuerza bruta.

Las señales más comunes son:

  • La misma dirección IP intentó iniciar sesión varias veces sin éxito.
  • Muchas direcciones IP diferentes intentando iniciar sesión en una sola cuenta sin éxito.
  • Múltiples intentos de inicio de sesión fallidos desde varias direcciones IP en un corto período de tiempo.

Ejemplos de ataques de fuerza bruta

Los ataques de fuerza bruta pueden agregarnos a una botnet para incluirlo en los ataques DDoS. Obtener acceso a una cuenta administrativa en un sitio web es lo mismo que explotar una vulnerabilidad grave. Los piratas informáticos intentarán sacar provecho de su acceso, por ejemplo, agregando spam, distribuyendo malware o phishing a víctimas desprevenidas.

¿Cómo prevenir ataques de fuerza bruta?

Como los ataques de fuerza bruta no son una vulnerabilidad, por lo que mantener el software actualizado no es suficiente para protegerse. A continuación, se muestran algunos métodos efectivos para prevenir estos ataques:

Utiliza siempre contraseñas seguras

La fuerza bruta funciona mejor con contraseñas débiles. Una contraseña segura contiene las siguientes características:

  • Únicas: debe evitar reutilizar contraseñas, ya que si los atacantes logran acceder a una web adivinando una contraseña intentarán loguearse con las mismas credenciales en todos los sitios web alojados en el mismo servidor o cualquier cuenta que este registrada con el correo electrónico del usuario. Incluso si utilizas esa contraseña para tu correo electrónico es hasta posible que intenten acceder a él con ella y con eso tengan acceso a toda tu información.
  • Largas: las contraseñas más largas significan que se deben hacer más combinaciones y por tanto dificultan la tarea. Las contraseñas de cinco caracteres son fáciles de descifrar en prácticamente cualquier computadora en unos pocos segundos, 10 caracteres tomarían algunos años y 20 caracteres tomarían casi una eternidad.
  • Difícil de adivinar: No utilices tu nombre o apellidos, fechas de nacimiento, boda o la ciudad donde vives, aunque hacen que una contraseña sea más fácil de recordar, también la hacen más fácil de adivinar, si el atacante tiene alguna información sobre usted. Lo mismo ocurre con el texto común, como “12345” o “contraseña”, que se usan comúnmente en las credenciales, ya que son fáciles de recordar.

Con estas características aplicadas, los intentos de adivinar las contraseñas serán menos exitosos. Los mismos principios se aplican a las preguntas de recuperación: si tus preguntas de recuperación son débiles, pero tu contraseña es segura, es fácil para los atacantes restablecer la contraseña en lugar de adivinarla.

Si no sabes como crear una contraseña segura te invitamos a ver este tutorial.

Recomendado:   Herramienta Gratuita basada en inteligencia artificial para combatir el Ransomware

¿Cómo prevenir ataques de fuerza bruta en una página web?

En el siguiente video verás uno de los métodos más efectivos para proteger el acceso a páginas web con WordPress.

Si tu web no utiliza wordpress considera algunas de las siguientes opciones:

  • Restringir el acceso a las URL de autenticación: Para ejecutar un ataque de fuerza bruta es necesario conocer la URL de acceso. Si cambias la URL de la página de inicio de sesión, por ejemplo, pasando de /wp-login.php a / miweb-login, esto puede ser suficiente para detener la mayoría de los ataques automatizados. Pero ten en cuenta que si tienes un enlace de login visible a los usuarios en tu sitio web no servirá de nada.
  • Limitar los intentos de inicio de sesión: Los ataques de fuerza bruta se realizan uno tras otro hasta adivinar las contraseñas y cuentas. Poner un límite de 3 intentos de inicio de sesión con un intervalo de 3 horas entre cada 3 intentos fallidos limitará muchísimo la efectividad del ataque. También puedes indicar que luego de una cantidad determinada de intentos se bloquee el acceso a la IP del atacante, haciendo imposible continuar con el ataque.
  • Utiliza un CAPTCHA: Los captchas son una buena forma de evitar que los bots y las herramientas automatizadas realicen ataques mediante desafíos incluso antes de que puedan intentar iniciar sesión. Como el desafío está diseñado para ser resuelto por humanos, los robots tienen dificultades para pasarlos, lo que bloquea sus ataques. }
  • Utiliza la autenticación de dos factores (2FA): Esto agrega otra capa de seguridad ya que para iniciar sesión no solo se necesita las credenciales adecuadas, también se deberá ingresar un código al que solo tu puedas acceder, como un correo electrónico o un código único que llegue a tu dispositivo móvil.
Participa con Facebook
Santos Guerra

Santos Guerra

Especialista en Marketing Digital y SEO. Fanático de WordPress. En más de 20 años he acumulado experiencia de diseño gráfico, programación, desarrollo web y Marketing Digital. Ahora dirijo el equipo de Marketing de Contenidos de Desarrollos Creativos, supervisando todo, desde la gestión de contenidos, Redes Sociales, CRM y SEO. Co-Fundador de Desarrollos Creativos, Catlover y Activista Ambiental.

Suscríbete al boletín semanal

No enviaremos SPAM, prometido!

Desarrollos Creativos