A diferencia de muchas otras tácticas utilizadas por los ciberdelincuentes, los ataques de fuerza bruta no se basan en vulnerabilidades dentro de los sitios web. Estos ataques dependen de que los usuarios tengan credenciales débiles o adivinables para poder averiguarlas.
La simplicidad involucrada y la cantidad de objetivos hacen que los ataques de fuerza bruta sean muy populares.
Por ello, vamos a explicar en este post qué son estos ataques de fuerza bruta, los tipos, sus peligros y cómo evitarlos y protegernos frente a estos ataques.
En este artículo hablamos de:
- ¿Qué es un ataque de fuerza bruta?
- Tipos de ataques de fuerza bruta
- Peligros para la seguridad del internauta
- ¿Por qué son difíciles de detectar y bloquear?
- ¿Cómo evitar estos ataques informáticos?
- 1. Bloqueos de cuenta después de intentos fallidos
- 2. Hacer que el usuario root sea inaccesible a través de SSH
- 3. Modificar el puerto predeterminado
- 4. Usa CAPTCHA
- 5. Limita los inicios de sesión a una dirección IP especificada o rango
- 6. Emplear autenticación de 2 factores (2FA)
- 7. Usa URL de inicio de sesión únicas
- 8. Controla los registros de tu servidor
- Consejos para protegerse de los ataques de fuerza bruta
- Ejemplos de ataque de fuerza bruta
¿Qué es un ataque de fuerza bruta?
Una de las técnicas más simples pero más exitosas usadas por los piratas informáticos para acceder a una red es el ataque de fuerza bruta. Se consigue usando un método de prueba y error para introducir diferentes combinaciones de nombre de usuario y contraseña con una herramienta automatizada o bot hasta que se otorgue acceso. Una vez que se han infiltrado en la red, los piratas informáticos roban datos, instalan malware o incluso apagan el sistema.
Un ataque de fuerza bruta es esencialmente una forma de adivinar una contraseña u obtener acceso a algo bloqueado, simplemente mediante conjeturas repetitivas, basadas en pruebas y errores. Es esencialmente el ciberataque equivalente a probar cada combinación en un teclado en una habitación cerrada, con la esperanza de que eventualmente se encuentre la correcta.
Esto puede parecer un ataque poco sofisticado, pero es popular entre los piratas informáticos y lo ha sido durante bastante tiempo.
De hecho, algunas encuestas estiman que los ataques de fuerza bruta siguen siendo responsables de más del 5% de todos los incidentes de violación de datos. La mejor manera de prevenir un ataque de fuerza bruta es atraparlo mientras está en progreso. ¡Tienes un tiempo limitado antes de que el hacker entre, así que es mejor que tengas un plan para evitarlo!
Tipos de ataques de fuerza bruta
En esencia, la fuerza bruta es el acto de probar muchas combinaciones posibles, pero hay muchas variantes de este ataque para aumentar su tasa de éxito. Aquí están los más comunes:
Estándar
Un ataque estándar de fuerza bruta puede usar diferentes métodos, como iterar a través de todas las contraseñas posibles, una a la vez. Esto se usa comúnmente en archivos locales, donde no hay límites para la cantidad de intentos que tiene, ya que otros ataques suelen ser más exitosos a escala.
De diccionario
Este ataque de diccionario utiliza una lista de palabras y contraseñas comunes en lugar de ir al azar, creando un “diccionario” de posibles contraseñas e iterando a través de ellas. Usar una buena lista de contraseñas puede ayudar a mejorar las tasas de éxito de los atacantes, pero estos ataques a menudo requieren una gran cantidad de intentos contra posibles objetivos.
De arco iris
Estos ataques de arco iris parten del valor hash para reproducir los pasos de la cadena hasta obtener la contraseña. Sin embargo, muchas veces el valor no se encuentra en la tabla; por lo que se recrea al reducir el valor con la misma función con la cual se creó la cadena.
Este procedimiento se repite hasta conseguir el valor resumen en un punto final. Ahora bien, eso no significa que se ha encontrado la contraseña, sino la cadena de caracteres que terminará revelando el texto plano que compone la contraseña.
Se les llaman Tablas Arcoiris porque se asigna un color distinto a cada reducción para evitar confusiones. Al final son tantas las reducciones con sus respectivos colores, que termina por parecer un arcoiris.
Peligros para la seguridad del internauta
Los ataques de fuerza bruta se pueden implementar mucho más rápido sin mecanismos de seguridad. Los principales factores que hacen que estos ataques tengan éxito son el tiempo disponible y las capacidades del hardware del atacante, que determina la velocidad del ataque.
Este método de ataque, que algunos expertos han descrito como redundante, lo utilizan cada vez más los delincuentes de Internet. Se utiliza para atacar hosts FTP, puertos y clientes con una función de liberación activa para el escritorio remoto. En este caso, se puede iniciar una avalancha de ataques en forma automatizada. El atacante solo tiene que definir las condiciones del marco especificando parámetros.
Una de las formas más comunes de conectarse a escritorios remotos es con RDP (Remote Desktop Protocol), un protocolo patentado de Microsoft que está disponible en todas las versiones de Windows a partir de XP.
En las últimas semanas, el número de ataques de fuerza bruta en conexiones RDP se ha disparado. Estos son ataques automatizados cuyo objetivo es hacerse cargo de los escritorios corporativos e infiltrarse en las redes. Si un cibercriminal consigue acceder de esta forma, podría hacer lo mismo que un empleado legítimo, incluido el acceso a datos confidenciales y el uso del correo electrónico corporativo.
El uso ilegítimo de direcciones de correo electrónico corporativas podría facilitar los ataques de spear phishing. Este aumento repentino en los ataques, sin duda, se relacionó con el número sin precedentes de personas que trabajan desde casa.
¿Por qué son difíciles de detectar y bloquear?
Puede parecer que no hay forma de proteger sus datos de los hackers modernos y sus supercomputadoras y detectar ataques de fuerza bruta. Pero hay formas de hacerlo, y son bastante simples.
Hasta ahora, hemos asumido que los eventos utilizados para el análisis son claros y ordenados: cualquier evento de inicio de sesión fallido se etiqueta claramente como un “inicio de sesión”, el resultado se identifica claramente como exitoso o fallido, y el nombre de usuario siempre está en el mismo campo y formato.
En realidad, procesar un flujo de eventos para prepararlo para el análisis de detección de fuerza bruta es un desafío adicional a considerar.
Tomemos Windows como ejemplo. El evento de inicio de sesión exitoso de Windows y el evento de inicio de sesión fallido de Windows se registran localmente en cada ordenador. Esto hace que sea más difícil recolectarlos. También significa que el atacante, que puede ser el propietario del ordenador, puede evitar que sea recibido.
El controlador de dominio registra un evento de autenticación, que se puede utilizar como proxy para un evento de inicio de sesión.
Una vez que sabemos qué eventos rastrear, aún necesitamos saber cómo identificar el éxito y el fracaso correctamente. El éxito y el error de inicio de sesión local son eventos separados, mientras que para los eventos de autenticación del controlador de dominio, el éxito y el error se marcan dentro del evento. Se necesitan una serie de conocimiento para extraer dicha información de los eventos.
¿Cómo evitar estos ataques informáticos?
Existen muchos métodos para detener o prevenir los ataques de fuerza bruta .
Lo más obvio es una política de contraseña segura. Cada aplicación web o servidor público debe exigir el uso de contraseñas seguras. Por ejemplo, las cuentas de usuario estándar deben tener al menos ocho letras, un número, letras mayúsculas y minúsculas y un carácter especial. Además, los servidores deben requerir cambios frecuentes de contraseña.
Investiguemos otras formas de prevenir un ataque de fuerza bruta.
1. Bloqueos de cuenta después de intentos fallidos
Implementar un bloqueo de cuenta después de varios intentos fallidos de inicio de sesión no es efectivo, ya que hace que tu servidor sea presa fácil de ataques de denegación de servicio. Sin embargo, si se realiza con retrasos progresivos, este método se vuelve mucho más efectivo.
Los bloqueos de cuenta con demoras progresivas bloquean una cuenta solo durante un período de tiempo determinado después de un número designado de intentos de inicio de sesión fallidos. Esto significa que las herramientas automatizadas de ataque de fuerza bruta no serán tan útiles. Además, los administradores no tendrán que lidiar con el desbloqueo de varios cientos de cuentas cada 10 minutos más o menos.
2. Hacer que el usuario root sea inaccesible a través de SSH
Los intentos de fuerza bruta de SSH a menudo se llevan a cabo en el usuario raíz de un servidor. Asegúrate de hacer que el usuario root sea inaccesible a través de SSH editando el archivo sshd_config. Establece las opciones ‘DenyUsers root’ y ‘PermitRootLogin no’ .
3. Modificar el puerto predeterminado
La mayoría de los ataques SSH automáticos se intentan en el puerto predeterminado 22. Por lo tanto, ejecutar sshd en un puerto diferente podría ser una forma útil de lidiar con los ataques de fuerza bruta.
Para cambiar a un puerto no estándar , edita la línea del puerto en su archivo sshd_config .
4. Usa CAPTCHA
Todos nos acostumbramos a ver CAPTCHA en Internet. A nadie le gusta tratar de darle sentido a algo que parece haber sido garabateado por un niño de dos años, pero herramientas como CAPTCHA hacen que los bots automáticos sean ineficaces.
Ese único requisito para ingresar una palabra, o el número de gatos en una imagen generada, es altamente efectivo contra los bots, a pesar de que los piratas informáticos han comenzado a usar herramientas ópticas de reconocimiento de caracteres para superar este mecanismo de seguridad.
Ten en cuenta que el uso de herramientas como CAPTCHA afecta negativamente la experiencia del usuario.
5. Limita los inicios de sesión a una dirección IP especificada o rango
Si permites el acceso solo desde una dirección IP o rango designado, los atacantes de fuerza bruta deberán trabajar arduamente para superar ese obstáculo y obtener acceso a la fuerza.
Es como colocar un perímetro de seguridad alrededor de tus datos más preciados, y no se permite el acceso a todos los que no se originan en la dirección IP correcta.
Puedes configurar esto mediante el alcance de un puerto de acceso remoto a una dirección IP estática. Si no tienes una dirección IP estática, puedes configurar una VPN en su lugar. Una desventaja es que esto podría no ser apropiado para cada caso de uso.
6. Emplear autenticación de 2 factores (2FA)
La autenticación de dos factores es considerada por muchos como la primera línea de defensa contra los ataques de fuerza bruta. La implementación de una solución de este tipo reduce en gran medida el riesgo de una posible violación de datos.
Lo mejor de 2FA es que la contraseña por sí sola no es suficiente. Incluso si un atacante descifra la contraseña, tendría que tener acceso a tu teléfono inteligente o cliente de correo electrónico. Los atacantes muy persistentes pueden tratar de superar ese obstáculo, pero la mayoría se dará la vuelta y buscará un objetivo más fácil.
7. Usa URL de inicio de sesión únicas
Crea URL de inicio de sesión únicas para diferentes grupos de usuarios. Esto no detendrá un ataque de fuerza bruta, pero la introducción de esa variable adicional hace que las cosas sean un poco más desafiantes y le lleven más tiempo al atacante.
8. Controla los registros de tu servidor
Asegúrate de analizar tus archivos de registro diligentemente. Los administradores saben que los archivos de registro son esenciales para mantener un sistema.
Las aplicaciones de administración de registros, como Logwatch, pueden ayudarte a realizar revisiones diarias y pueden generar automáticamente informes diarios.
Un atacante habilidoso y persistente siempre encontrará la manera de irrumpir eventualmente.
No obstante, implementar una combinación de los métodos descritos anteriormente minimiza las posibilidades de que seas víctima de un ataque de fuerza bruta. A los atacantes de fuerza bruta les gusta la presa fácil, y es más probable que se alejen y busquen otro objetivo.
Consejos para protegerse de los ataques de fuerza bruta
A continuación tienes unos consejos para protegerte de los ataques de fuerza bruta y minimizar así las posibilidades de que se produzca una brecha en la seguridad de tu sistema o en las cuentas.
Limitaciones de entrada
Los ataques de fuerza bruta se pueden evitar de forma eficaz restringiendo y ralentizando al atacante en sus acciones. Estos ataques siempre siguen el mismo patrón. Sin embargo, debe tenerse en cuenta que muchos ataques de fuerza bruta podrían contenerse mediante medidas de precaución muy simples.
Esto se refiere, por ejemplo, a un modo de protección que bloquea la cuenta del usuario si hay muchos códigos de acceso ingresados incorrectamente.
Esto permite a los ciberdelincuentes encontrar contraseñas en sistemas moderadamente protegidos en pocos minutos o incluso segundos. La creación de un bloqueo provoca un retraso significativo en los ataques de fuerza bruta. Bloquear los intentos de ataque en su conjunto no es posible
Sin embargo, esto no siempre es una medida útil. El bloqueo imprudente de las cuentas de usuario puede causar gastos adicionales en la administración de una red corporativa. Aquí, es importante encontrar un punto medio y determinar si este enfoque parece apropiado en términos de protección para la propia infraestructura de la compañía.
Uso de contraseñas seguras
Por el contrario, la opción de crear códigos de acceso fuertes caracterizados por una cierta complejidad para las cuentas de usuario de antemano parece simple.
Como regla general, el código de acceso no debe ser una combinación de palabras que aparecen en el diccionario. Esto evita los llamados ataques de diccionario que se basan en el procesamiento sucesivo de una lista de palabras en un ataque de fuerza bruta.
Uso de fichas o de OTPs
Otra forma de reducir los ataques de fuerza bruta es renunciar a los códigos de acceso en forma de contraseñas. Puedes usar de forma alternativa tokens u OTP.
El uso de las llamadas contraseñas de un solo uso evita por completo los ataques de repetición en los que los atacantes falsifican su identidad. En un sentido más amplio, esto significa que cada autenticación subordinada requiere la generación de una OTP adicional.
Autenticación multitrayecto
La solución de token es una autenticación de dos factores, también conocida como 2FA. Esta medida de seguridad se usa comúnmente para transacciones bancarias. Además del inicio de sesión convencional, se agrega otro nivel de seguridad para realizar una transferencia.
Esto es posible con un código de transferencia de SMS a través de un teléfono inteligente o un generador mTAN. Otra posibilidad es una prueba de Turing, que proporciona información sobre si es una entrada humana o controlada por computadora. Esta forma de protección también se conoce como captcha.
Ejemplos de ataque de fuerza bruta
Aquí tienes algunos ataques de fuerza bruta bien conocidos que han ocurrido en los últimos años:
WordPress
En abril de 2013, WordPress fue blanco de ataques de fuerza bruta desde 90,000 direcciones IP. Los atacantes intentaron acceder a las cuentas de administrador introduciendo diferentes contraseñas débiles. Se pidió a los usuarios que se abstuvieran de usar contraseñas débiles y que establecieran contraseñas robustas.
GitHub
En 2013, GitHub se convirtió en víctima de un ataque de fuerza bruta. Los piratas informáticos utilizaron 40,000 direcciones IP únicas para ingresar a cuentas con contraseñas débiles o contraseñas utilizadas en más de una cuenta. Después del ataque, GitHub tomó medidas para prohibir las contraseñas débiles para todas las cuentas al imponer requisitos de contraseña más robustos.
Alibaba
En 2015, la plataforma de comercio electrónico de Alibaba, TaoBao, sufrió un ataque masivo de fuerza bruta. Los piratas informáticos accedieron a alrededor de 99 millones de credenciales filtradas por otra violación, y alrededor de 21 millones de cuentas se vieron afectadas por esta violación debido a que los usuarios generalmente usan las mismas credenciales para diferentes cuentas.