Los ataques de fuerza bruta ponen en riesgo a los usuarios digitales

Los ataques se realizan en segundo plano, para no ser detectados por el usuario. Foto: Pixabay

Un ataque de fuerza bruta es un intento por descifrar una contraseña o un nombre de usuario. Mediante prueba y error, los atacantes tratan de dar con la combinación correcta.

Sebastián Chamorro, experto en ciberseguridad, dice que en función de la longitud y complejidad de una contraseña, descifrarla puede llevar desde unos segundos hasta varios años o décadas.

Existen distintos tipos de ataques de fuerza bruta. Uno de ellos se conoce como ‘diccionario’. El ciberdelincuente intenta averiguar la contraseña probando todas las palabras posibles que almacena en un glosario. Muchas de ellas son obtenidas gracias a que los usuarios las emplean porque son fáciles de recordar.

Un pirata informático puede realizar un ataque de fuerza bruta inverso. En este caso, se prueban las combinaciones posibles de diferentes nombres de usuarios y contraseñas hasta dar con alguna que permita un acceso.

Otro tipo de ataque de fuerza bruta es el relleno de credenciales. El atracador usa uniones de nombres de usuarios y contraseñas reutilizadas en más de una cuenta.

Algunos ciberdelincuentes tienen como objetivo los mismos sistemas a diario durante meses e, incluso, años. Para adivinar la contraseña han desarrollado herramientas que agilizan esta tarea, como Medusa, John The Ripper, Aircrack-ng y Rainbow.

Una contraseña de seis caracteres que incluya números tiene unas 2 000 millones de combinaciones posibles. Un CPU puede probar 30 contraseñas por segundo. Esta clave se puede descifrar en dos años.

Añadiendo una sola tarjeta de procesamiento de gráficos (GPU), el mismo equipo puede hacerlo 250 veces más rápido, es decir, probar 7 100 contraseñas por segundo y descifrarla en 3,5 días.

Estos ataques son difíciles de detectar y de bloquear, porque se parecen al tráfico legítimo en la Red. Contra estos no siempre sirven herramientas de seguridad de red estándar, como cortafuegos y sistemas de detección de intrusos.

Una medida para impedirlos es utilizar contraseñas difíciles de adivinar. Si es posible, elegir 10 caracteres que incluyan números y símbolos. Así se crean 171,3 trillones de combinaciones. Un procesador GPU que pruebe 10,3 mil millones de opciones por segundo descifraría esta contraseña en 526 años.

Sin embargo, no todos los sitios aceptan claves tan largas. La instalación de un gestor de contraseñas ayuda para que estas sean extensas y complejas en todos los sitios que se visiten. Solo es necesario recordar la clave del gestor.

Otro método de seguridad es limitar el número de intentos para acceder a una cuenta o dispositivo, bloqueándolo por minutos en caso de error. Se puede así retrasar a los ciberdelincuentes, quienes apuntarán hacia un blanco más fácil.

Las empresas están en capacidad de utilizar una VPN corporativa como precaución. Otra opción es el uso de un programa Captcha para evitar ataques automatizados, el cual requiere hacer un clic sobre un recuadro, algo que todavía no es posible para los robots.

También es útil acceder a los sistemas mediante autenticación de dos factores o tener una llave de seguridad.

• Ciberataque contra la página web del RKI, instituto de referencia alemán en el covid-19
• Reino Unido acusa a Rusia de una ciberofensiva para sabotear los Juegos Olímpicos de Tokio
• Consejos para evitar el robo de datos durante un ciberataque
• La empresa Etapa de Cuenca recibió un segundo ciberataque este 25 de abril
• Cómo evitar el robo de datos de la tarjeta SIM