Son numerosas las técnicas que emplean los ciberdelincuentes para quebrantar la seguridad de los datos privados de una empresa o persona particular. Una de tales tendencias son los ataques de fuerza bruta. A través de ellos, se apoderan de los datos de usuario y contraseña asociada para luego disponer libremente de ellos.
El ataque de fuerza bruta es simple: Combina software, técnicas de ensayo y error, y la aplicación de un algoritmo de sucesión de palabras, caracteres y dígitos. Mediante estas variables, los hacker dan con la clave de validación muchas más veces de las que pensamos.
Veamos cómo lo hacen…
¿Qué tan efectivos son los Ataques de Fuerza Bruta?
La verdad es que llevar a cabo un ataque de fuerza bruta requiere de mucho talento y tenacidad; porque nunca puede predecirse con total certeza cuánto tiempo puede llevar un ataque de fuerza bruta exitoso.
En otras palabras, los hackers pueden tardar desde unos pocos minutos hasta años en quebrar un código mediante ellos; todo siempre dependiendo de la longitud y complejidad de la contraseña que quieren quebrar.
Por esta razón, la recomendación general es creemos contraseñas de longitud considerable, es decir; al menos 8 caracteres que incluyan mayúsculas, minúsculas, caracteres especiales y dígitos.
Sin embargo, estas medidas por sí solas no garantizan por completo la integridad de tus datos de acceso a tus cuentas. Dicho de otra forma, los ataques de fuerza bruta tienen más tentáculos y estrategias que te conviene prevenir.
Ataque de Fuerza Bruta, Ataque de Diccionario y Ataque de Tabla Arcoiris
Ataque de diccionario
Por una parte, encontramos los ataques de diccionario. Su lógica es sencilla: Consiste en probar todas las palabras del diccionario.
Aunque pareciera mucho trabajo por hacer, la verdad es que suele ser más eficaz que un ataque de fuerza bruta porque muchos usuarios emplean una palabra en su lengua que puedan recordar con más facilidad.
Ataque de Tabla Arcoiris
Por otra parte, encontramos los ataques arcoiris. Parten del valor hash para reproducir los pasos de la cadena hasta obtener la contraseña. Sin embargo, muchas veces el valor no se encuentra en la tabla; por lo que se recrea al reducir el valor con la misma función con la cual se creó la cadena.
Este procedimiento se repite hasta conseguir el valor resumen en un punto final. Ahora bien, eso no significa que se ha encontrado la contraseña, sino la cadena de caracteres que al final; terminará revelando el texto plano que compone la contraseña.
Se les llaman Tablas Arcoiris porque se asigna un color distinto a cada reducción para evitar confusiones. Al final son tantas las reducciones con sus respectivos colores, que termina por parecer un arcoiris.
¿Pueden converger los 3 tipos de ataque?
Definitivamente, sí. La estrategia de ataque de diccionario (centrada en detección de palabras); y la de las tablas arcoíris (que emplea grupos de secuencias contiguas) pueden complementar los ataques de fuerza bruta; y hacer que las recomendaciones básicas para la creación de contraseñas resulten insuficientes.
Esto ocurre especialmente cuando creamos contraseñas en la web, porque estamos sujetos a lo que el proveedor del servicio disponga. Sobre todo porque estas generalmente establecen parámetros máximos de 10 caracteres; además de un número limitado de números y caracteres que vuelven más vulnerable nuestras contraseñas.
En resumen, tales parámetros son transparentes y el hacker puede perfectamente ajustar su software con estas características para acelerar el proceso de ruptura de código.
Sin embargo, los servicios online disponen de dos factores que pueden ayudar a combatir los ataques de fuerza bruta por sí mismos, o en combinación con las otras dos modalidades antes descritas.
Protección en los mecanismos de contraseña contra Ataques de Fuerza Bruta
Esta protección se realiza con miras a dificultar los ataques de fuerza bruta. Por ejemplo, si el usuario introduce una clave equivocada deberá esperar un corto tiempo antes de intentarlo de nuevo.
Esta medida es exponencial, es decir, se va incrementando el lapso de tiempo de espera a medida que se repiten los intentos fallidos. Otra medida drástica es bloquear la cuenta al X número de intentos fallidos, y lanzar una alarma vía inbox en la cuenta asociada.
Autenticación multifactor
Esta técnica la ofrecen muchos proveedores como servicio opcional. Con esta opción se aumenta el nivel de complejidad contra un ataque de fuerza bruta porque el mecanismo dispone que se autentique usuario y contraseña; y otro elemento adicional tal como responder a una pregunta secreta; un pin o identificar un captcha. Esto previene que sea un ser humano y no un robot o un ataque de fuerza bruta quien intenta acceder.
Para dificultar aún más los ataques de fuerza bruta, los departamentos de TI de las empresas deben procurar que las contraseñas estén cifradas, de ser posible con longitud de 256 bits. Mientras mayor sea el número de bits empleado para el cifrado, el grado de complejidad para descifrar la contraseña aumentará.
Recomendaciones para los usuarios finales
La recomendación para los usuarios finales es tratar en lo posible de emplear contraseñas con 10 caracteres que contengan una combinación de símbolos y números. Con esto el grado de dificultad aumenta a un número de 171.3 billones de probabilidades.
Si el sitio no permite contraseñas largas, se debe elegir contraseñas de combinación compleja en lugar de palabras simples. Se debe evitar las contraseñas comunes (“123456”,”abcdef”,”000000”) y cambiarlas con frecuencia.
Asimismo, también se recomienda que adquieras software de seguridad empresarial para respaldar cada una de tus comunicaciones, y potenciar la protección a tus contraseñas. Consulta aquí las opciones que tenemos para ti.
