Un ataque de fuerza bruta a las contraseñas es un método en el que el ciberdelincuente prueba a entrar en un sistema muchas veces con diferentes combinaciones de caracteres. Puede utilizar los caracteres alfabéticos, numéricos y especiales y también pueden hacer uso de un software específico, esperando que ocurra alguna coincidencia con nuestra contraseña.
Uso de contraseñas comunes
Además, en ocasiones estas contraseñas “reutilizadas” pueden estar ya comprometidas, ser muy comunes o venir por defecto en los sistemas o aplicaciones, por ejemplo las del tipo «12345» o “admin”.
Variantes de ataque de fuerza bruta
Dentro de los ataques de fuerza bruta, podemos distinguir las siguientes variantes:
Ataque de diccionario
Estos ciberataques buscan la mala práctica de utilizar una sola palabra como contraseña. Si existiera alguna coincidencia consigue el acceso a la cuenta en cuestión.
En una variante más avanzada, el ciberatacante recopila información sobre el usuario:
- fechas de nacimiento,
- nombres de familiares,
- mascotas,
- lugares en los que ha vivido,
- etc.
Luego prueba estas palabras como contraseñas. Se trata de una mala práctica muy extendida también, el uso de este tipo de datos que nos resultan fáciles de recordar.
Directrices para evitar los ataques de diccionario
- Las contraseñas deben contener al menos ocho caracteres y combinarlos de distinto tipo y ser de tipo alfanumérico;
- No deben contener los siguientes tipos de palabras:
- palabras sencillas (palabras de diccionarios);
- nombres propios,
- lugares,
- fechas,
- datos de carácter personal,
- palabras que estén formadas por caracteres próximos en el teclado,
- palabras muy cortas.
- No utilizar claves formadas únicamente por elementos o palabras que puedan ser públicas o fácilmente adivinables;
- Se recomienda establecer contraseñas más fuertes para el acceso a aquellos servicios o aplicaciones más críticas;
- Se deben aprovechar estas recomendaciones al utilizar contraseñas de tipo passphrase (contraseña larga formada por una secuencia de palabras).
Relleno de credenciales
El relleno de credenciales es una variante del ataque de fuerza bruta que utiliza credenciales robadas en brechas de seguridad. Se prueban de manera automatizada pares de nombres de usuario y contraseña para intentar entrar en cuentas y perfiles online.
Cómo evitar el ataque de relleno de credenciales
- Habilitar la autenticación de dos factores en tus cuentas online cuando sea posible.
- Considerar además del uso de la contraseña otros factores como:
- huella digital;
- tokens criptográficos hardware;
- sistemas OTP;
- tarjetas de coordenadas.
- Utilizar contraseñas únicas, es decir, que solo utilices en ese servicio específico.
- Usar la cuenta de la empresa solo para registrarte en servicios corporativos.
Ataque de pulverización de contraseñas (password spraying)
Se produce este tipo de ataque cuando un ciberdelincuente utiliza un gran número de contraseñas robadas para ver si puede obtener acceso. Además, se vale de programas que pueden limitar el número de intentos de acceso a una cuenta para no hacer saltar las alertas y así no ser detectados.
Cómo evitar el ataque de pulverización de contraseñas
- Utilizar herramientas que garantizan la seguridad de tus contraseñas como las de los protocolos LDAP, Active Directory o servicios externos que obligan al cumplimiento de ciertos requisitos:
- períodos de validez para las contraseñas;
- reutilización de contraseñas ya usadas anteriormente;
- Formato de la contraseña:
- longitud mínima;
- tipos de caracteres que se deben incluir;
- cumplimiento de reglas semánticas.
- Posibilidad de elección y modificación de la contraseña por parte del usuario;
- Almacenamiento de las claves:
- tamaño del histórico de claves a almacenar para cada usuario;
- método de cifrado de las claves.
- Número de intentos de autenticación permitidos.
Más información en el siguiente enlace.
