¿Qué es un ataque por fuerza bruta?

¿Qué es un ataque por fuerza bruta?

Un ataque por fuerza bruta es un tipo de ciberataque que usa métodos de ensayo y error para adivinar las credenciales de acceso, las claves de seguridad y otra información sensible. Son un tipo de ataque sorprendentemente efectivos, debido sobre todo a que alrededor del 65 % de las personas reutiliza las contraseñas. Reutilizar contraseñas es una práctica peligrosa y común, ya que tan solo se necesita una contraseña comprometida para exponer un sistema entero o un grupo de credenciales.

Los ataques por fuerza bruta se cometen contra empresas y particulares por igual debido a que, por desgracia, incluso los empleados reutilizan las contraseñas. El coste medio de un ciberataqueexitoso asciende a millones de dólares y los ataques por fuerza bruta se vuelven más comunes a medida que cada vez más empresas adoptan definitivamente el trabajo a distancia.

Cómo funcionan los ataques por fuerza bruta

Los ataques de contraseñas por fuerza bruta funcionan utilizando un programa que "adivina" las credenciales. Mediante un proceso de ensayo y error, estos ataques introducen frases de diccionario comunes, contraseñas usadas habitualmente o combinaciones de letras y números específicas hasta que consiguen una coincidencia.

Tipos de ataques por fuerza bruta

Ataques por fuerza bruta simples

Los ataques por fuerza bruta simples utilizan el método de ensayo y error para probar diferentes combinaciones y así adivinar las credenciales de acceso. El atacante utiliza un ordenador de gran potencia para probar todas las combinaciones de letras, números y símbolos posibles. Aunque pueda parecer ineficiente, algunos ordenadores son capaces de procesar trillones de combinaciones a la vez.

Ataques de diccionario

Los ataques de diccionario aprovechan las sencillas palabras o frases de diccionario para averiguar las credenciales de los usuarios. Es aconsejable no utilizar palabras o frases que se puedan encontrar en un diccionario, ya que los ataques por fuerza bruta de diccionario pueden utilizarlas para averiguar sus contraseñas.

Ataques por fuerza bruta híbridos

Utilizando una lógica externa, el programa adivina qué contraseñas tendrán más éxito y luego utiliza la fuerza bruta para aplicar cada combinación.

Ataques por fuerza bruta inversos

Este método depende de unas pocas contraseñas comunes seleccionadas. Las listas de contraseñas comunes son fáciles de encontrar en línea. Aquí tiene una lista de 10.000. Una ataque por fuerza bruta inverso utiliza listas como esta para introducir contraseñas comunes en varias cuentas hasta encontrar una coincidencia.

Relleno de credenciales

El relleno de credenciales es uno de los métodos de ataque por fuerza bruta más efectivos. Las listas con contraseñas previamente filtradas pueden comprarse en la Dark Web y los ciberdelincuentes las utilizan para "rellenar" las credenciales en docenas de sitios web para ver si hay alguna coincidencia. A menudo, los usuarios no cambian las contraseñas de todas sus cuentas aunque hayan sido filtradas previamente.

Por qué los ataques por fuerza bruta son una amenaza

Los ataques por fuerza bruta son una ciberamenaza especialmente peligrosa porque permiten que los ciberdelincuentes fuercen su camino en varias cuentas a la vez. Los métodos como el relleno de credenciales pueden atacar a cientos de cuentas a la vez y, estadísticamente hablando, al menos una cederá a las credenciales.

Cuando se verifican las credenciales, los ciberdelincuentes pueden acceder a todo tipo de cuentas con información confidencial, desde redes sociales a cuentas bancarias, gubernamentales o de empresas.

Cómo el trabajo a distancia ha aumentado el número de ataques por fuerza bruta

La pandemia de la COVID-19 forzó a miles de empresas a adoptar modelos de trabajo a distancia hasta nuevo aviso. Esto ha servido como uno de los mayores experimentos empresariales de la historia. Las empresas que nunca antes habían adoptado un modelo de trabajo a distancia se vieron abocadas a un horroroso dilema: adaptarse o morir. Y, de hecho, miles de empresas murieron y aquellas que no lo hicieron tuvieron que enfrentarse a nuevos retos en forma de ciberdelincuencia.

De enero a diciembre de 2020, los ataques por fuerza bruta aumentaron de unos 200.000 a más de 1,4 millones en todo el mundo. El hecho de que las empresas estén probando modelos de trabajo a distancia ha creado la oportunidad perfecta para que los ciberdelincuentes se aprovechen de las inseguras oficinas remotas y de las malas prácticas en la gestión de las contraseñas.

Cómo puede evitar los ataques por fuerza bruta

Utilice herramientas automatizadas

Puede evitar los ataques de fuerza bruta con sofisticadas herramientas automatizadas. Las empresas ya se están enfrentando a los ataques de fuerza bruta y a otras amenazas de malware usando estas herramientas. A medida que la detección de amenazas se vuelve más sofisticada, cada vez se depende más de la tecnología de IA para detectar, evitar y eliminar las amenazas antes de que causen algún daño.

La protección con bots puede ayudar a supervisar el tráfico web en busca de actividades sospechosas y bloquear a los usuarios cuando se intuya algún ataque. Los bots también pueden predecir actividades sospechosas, como varios intentos de inicio de sesión, y alertar a la víctima antes de que se complete el ataque.

Los ataques por fuerza bruta son simples pero a menudo muy efectivos, sobre todo si la persona o empresa en cuestión no tiene las herramientas de protección adecuadas.

Eliminar las cuentas inactivas

Cuando un empleado deja la empresa, es importante eliminar su cuenta por completo para evitar accesos no autorizados. Aunque la cuenta de un empleado esté desactivada, sigue siendo un punto de entrada potencial para los ciberdelincuentes. Las cuentas inactivas deben eliminarse lo antes posible y sus credenciales deben borrarse del sistema.

Requerir la 2FA/MFA en todas las cuentas

La autenticación de varios factores y de dos factores puede ser la salvación en un ataque de fuerza bruta. Cuando se utiliza una contraseña desde un dispositivo extraño o no documentado, se activa un paso de autenticación adicional. Puede hacerse mediante un enlace de verificación por mensaje o correo electrónico, una entrada biométrica o cualquier otro método. Esto añade una capa adicional de protección a cada cuenta.

Las herramientas 2FA y MFA suelen estar integradas en las plataformas de gestión de contraseñas y otras herramientas de ciberseguridad. Los administradores de sistemas deberían considerar la posibilidad de exigir la MFA o la 2FA en todas las cuentas del sistema con el fin de añadir una importante capa de seguridad adicional.

Limitar los intentos de acceso

Los ataques por fuerza bruta dependen de varios intentos de acceso. Estos ataques se ven limitados cuando el número de intentos está restringido. Tres intentos es un buen punto de partida: deja espacio a quien realmente se esté equivocando con su información de acceso y, a la vez, es un número de intentos lo suficientemente bajo como para bloquear las potenciales amenazas antes de que adivinen la contraseña. Tras tres intentos fallidos, bloquea la cuenta por completo y requiere que un administrador del sistema restablezca el acceso tras verificar la identidad del usuario.

Ralentizar los accesos

También se pueden ralentizar los intentos de acceso exigiendo una cuenta atrás entre intentos fallidos. Combinado con un límite de accesos, este método puede detener un ataque por fuerza bruta tras tres intentos y limitar la rapidez con la que el ciberdelincuente puede introducir información de nuevo. Esto también puede ayudar al administrador al señalarle la existencia de actividad sospechosa.

Asegúrese de que sus contraseñas sean fuertes y únicas

Al utilizar contraseñas fuertes y únicas para todas sus cuentas, hace más difícil que los ciberdelincuentes puedan adivinarlas. Asegúrese de utilizar siempre contraseñas complejas que incluyan letras, números y símbolos. Cuanto más complejas, mejor.

Puede utilizar una herramienta de generación de contraseñas para que le ayude a crear contraseñas únicas y fuertes para todas sus cuentas.

close
Ventas empresariales
Asistencia
closeSeleccione Idioma
close

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Empieze la prueba gratuita

Sector público y FedRAMP

Proteja su agencia y su institución educativa frente a los ciberdelincuentes.

Contactar Ventas

MSP

Proteja su organización de MSP y a sus clientes finales y añada nuevas fuentes de ingreso.

Empieze la prueba gratuita

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Protéjase ya
close

Negocios y empresas

Proteja su empresa de los ciberdelincuentes.

Comenzar prueba de Business

Personal y familiar

Protéjase a sí mismo y a su familia de los ciberdelincuentes.

Iniciar prueba personal
Español (ES) Llámenos
Descárguela en el App Store Consígala en Google Play