Glosario: Términos y definiciones de ciberseguridad

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta intenta sistemáticamente posibles combinaciones de caracteres o números para adivinar contraseñas o nombres de usuario y obtener acceso no autorizado a cuentas.

Un ataque de fuerza bruta es un intento de descubrir una contraseña probando sistemáticamente combinaciones de letras, números y símbolos para pasar los controles de autenticación y autorización, a menudo empleando un diccionario de palabras y tácticas como la difusión de contraseñas.

La lógica detrás de los ataques de fuerza bruta, también llamados descifrado de contraseñas, es muy simple: ingresar todos los patrones de contraseñas posibles. Por ejemplo, si utiliza un PIN de cuatro dígitos como contraseña (código de acceso), eventualmente llegará a la respuesta correcta al intentar las 10.000 combinaciones desde "0000" hasta "9999". Sería difícil para un humano intentar hacer esto manualmente, pero es sencillo hacerlo utilizando herramientas automatizadas. Si puedes probar una contraseña cada segundo, podrás descubrirla en un máximo de 10.000 segundos (aproximadamente 2 horas y 47 minutos). Si bien los ataques de fuerza bruta no son una forma particularmente sofisticada de ciberataque, siguen siendo persistentes debido a su eficacia contra contraseñas débiles y sistemas poco seguros, y porque los kits de herramientas automatizados hacen que la economía de escalarlos y ejecutarlos sea atractiva para los atacantes.

Tipos de ataques de fuerza bruta

Los ataques de fuerza bruta pueden adoptar múltiples formas. Los ataques de fuerza bruta simples implican probar sistemáticamente todas las combinaciones posibles de números o caracteres hasta encontrar la correcta. Este método puede demandar mucho tiempo y consumir muchos recursos, especialmente para contraseñas o frases de contraseña más largas o complejas.

Una técnica más específica es el ataque de diccionario, que se basa en una lista predefinida de posibles contraseñas o frases. En lugar de probar todas las combinaciones posibles de números o caracteres como en un ataque de fuerza bruta tradicional, el atacante prueba sistemáticamente cada palabra o frase en un diccionario hasta identificar la correcta. Si bien los ataques de diccionario son más rápidos que los simples ataques de fuerza bruta, aún son susceptibles a fallar si la contraseña es suficientemente compleja, utiliza caracteres especiales o no está incluida en el diccionario utilizado. Además, utilizar un ataque de diccionario en el mismo mensaje de inicio de sesión activará rápidamente controles de limitación de velocidad y bloqueo de cuentas.

Los ataques de fuerza bruta híbridos combinan elementos de ataques de diccionario y ataques de fuerza bruta simples. En un ataque híbrido, el atacante empleará un conjunto de caracteres aleatorios como en un ataque de fuerza bruta tradicional y también una lista de palabras y frases comunes como en un ataque de diccionario. Este enfoque híbrido aumenta la probabilidad de éxito al aprovechar tanto contraseñas comunes del diccionario como combinaciones de caracteres menos predecibles.

Otra forma de ataque es el ataque de fuerza bruta inversa. En lugar de probar una sucesión de diferentes contraseñas para una cuenta específica, los atacantes aplican contraseñas específicas que creen que podrían usarse comúnmente (como “contraseña1234”) contra un gran número de nombres de usuario de cuentas. Este método se basa en el supuesto de que al menos algunas de las cuentas seleccionadas usan la contraseña elegida y es menos probable que active mitigaciones basadas en la cantidad de intentos fallidos de inicio de sesión.

Mientras credential stuffing Generalmente no se considera una forma de ataque de fuerza bruta (el atacante ya tiene una lista conocida de nombres de usuario y contraseñas), comparte el objetivo de obtener acceso no autorizado a las cuentas, a menudo seguido de toma de control de cuentas (ATO) y fraude. El credential stuffing se basa en scripts o herramientas automatizados para aplicar rápidamente grandes conjuntos de credenciales comprometidas, como combinaciones de nombre de usuario y contraseña obtenidas de violaciones de datos anteriores o de la red oscura, en varios formularios de inicio de sesión en línea. Si bien el credential stuffing no implica la prueba exhaustiva de todas las combinaciones posibles como los ataques de fuerza bruta, sigue siendo un método automatizado para intentar acceso no autorizado, lo que lo convierte en una amenaza de seguridad importante. Ambos tipos de ataques se consideran riesgos principales en los proyectos OWASP Top 10 y OWASP Automated Threats .

La autenticación débil o rota es otro medio de entrada para los atacantes de fuerza bruta. Algunos sistemas de autenticación no implementan mecanismos de bloqueo o limitación, que limiten la cantidad de intentos de inicio de sesión dentro de un período de tiempo determinado. Sin estas protecciones, los atacantes pueden intentar adivinar contraseñas repetidamente sin ninguna restricción, lo que aumenta la probabilidad de que un ataque de fuerza bruta tenga éxito.

Los ataques de fuerza bruta también pueden utilizarse para adivinar los identificadores de sesión o explotar las debilidades de los mecanismos de gestión de sesiones, con el fin de adquirir o secuestrar identificadores de sesión válidos. Una vez que un atacante obtiene un identificador de sesión válido, puede utilizarlo para suplantar al usuario autenticado y obtener acceso no autorizado a los recursos protegidos.

Los motivos de los ataques de fuerza bruta

Los motivos que impulsan a los piratas informáticos a realizar ataques de fuerza bruta pueden variar mucho, pero por lo general consisten en obtener acceso no autorizado a sistemas, redes o cuentas con fines malintencionados.

Algunos de los motivos más comunes son el beneficio económico, como cuando los atacantes intentan robar información financiera, como números de tarjetas de crédito o credenciales bancarias, para cometer fraudes o robos. También pueden tener como objetivo acceder a información personal identificable (IPI), propiedad intelectual o datos empresariales confidenciales, que pueden venderse. Además, los atacantes pueden obtener acceso a cuentas personales para suplantar a otras personas y participar en actividades fraudulentas.

Los delincuentes también pueden secuestrar sistemas para otras formas de comportamiento malicioso, como organizar una botnet, que es una red de dispositivos bajo el control de un atacante que coordina estas múltiples fuentes y lanza ataques distribuidos de denegación de servicio (DDoS).

El acceso no autorizado a sistemas y cuentas mediante ataques de fuerza bruta también puede propagar programas malintencionados o espías, o atacar sitios web con ataques que los infestan de textos e imágenes obscenos u ofensivos, amenazando la reputación de una empresa o sitio web. Los piratas informáticos también pueden utilizar los ataques de fuerza bruta para explotar anuncios o datos de actividad, utilizando el acceso no autorizado para colocar anuncios de spam en sitios web con el fin de obtener comisiones publicitarias o desviar el tráfico de un sitio web previsto a otro malintencionado para robar credenciales o estafar a los usuarios.

Cómo evitar los ataques de fuerza bruta

Hay varias maneras de reducir el riesgo de ataques de fuerza bruta, y la aplicación de varias de las siguientes medidas hará que sea más difícil para los atacantes adivinar contraseñas u obtener acceso no autorizado a través de repetidos intentos de inicio de sesión. Estos incluyen:

  • Utilizando contraseñas fuertes y complejas . Las contraseñas seguras son la primera línea de defensa contra el acceso no autorizado a los sistemas y datos. Una política de contraseñas bien definida ayuda a garantizar que los usuarios creen y mantengan contraseñas seguras, que incluyan una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Las herramientas de descifrado de contraseñas cada vez más sofisticadas significan que las frases de contraseña largas ahora son mucho más protectoras que las contraseñas simples. Las políticas deberían prohibir la reutilización de contraseñas, que es una de las principales causas de ataques de credential stuffing y apropiación de cuentas. 
  • Utilizando autenticación multifactor (MFA). Además de ingresar un nombre de usuario y una contraseña o frase de contraseña, MFA requiere que el usuario presente factores adicionales para obtener acceso a una aplicação, recurso, cuenta en línea u otro servicio. En la práctica habitual, esto suele implicar introducir un código de acceso de un solo uso desde un correo electrónico o un mensaje SMS en un teléfono inteligente o un navegador, o proporcionar datos biométricos como una huella digital o un escaneo facial.
  • Implementación de políticas de bloqueo de cuentas . Después de una cierta cantidad de intentos fallidos de inicio de sesión, bloquee las cuentas de usuario durante un período de tiempo específico o hasta que un administrador las desbloquee manualmente. Esto evita que los atacantes intenten adivinar las contraseñas repetidamente. La limitación de velocidad también se puede utilizar para restringir la cantidad de solicitudes de inicio de sesión desde una sola dirección IP o cuenta de usuario dentro de un período de tiempo específico.
  • Cifrado de datos sensibles. El cifrado de datos confidenciales en reposo y en tránsito garantiza que incluso si los atacantes obtienen acceso no autorizado a un sistema, no podrán leer los datos sin la clave de cifrado. Esto hace que los ataques de fuerza bruta sean menos efectivos ya que los atacantes necesitarían la clave de cifrado para descifrar los datos.
  • Mantener el software actualizado. Asegúrese de que todo el software, incluidos los sistemas operativos, los servidores web y las aplicações, se actualicen y parcheen periódicamente para abordar las vulnerabilidades de seguridad que los atacantes podrían aprovechar.
  • Implementación de firewalls de aplicação web y gestión de bots. La implementación de soluciones que disuadan los ataques automatizados puede proteger la lógica empresarial crítica contra el abuso, incluidos los ataques de fuerza bruta.  

¿Cómo gestiona F5 los ataques de fuerza bruta?

El Proyecto de Amenazas Automatizadas a Aplicações Web de OWASP (Open Worldwide Aplicação Security Project) identifica los ataques de fuerza bruta como un tipo de ataque de descifrado de credenciales (OAT-007) . F5 ofrece soluciones para abordar muchos de los riesgos automatizados de OWASP. F5 Distributed Cloud Bot Defense disuade a los bots y la automatización maliciosa para prevenir ATO y el fraude y abuso resultantes que pueden eludir las soluciones de gestión de bots existentes. Distributed Cloud Bot Defense brinda monitoreo e inteligencia en tiempo real, así como análisis retrospectivo basado en ML para proteger a las organizaciones de ataques automatizados, incluidos aquellos que emplean técnicas de fuerza bruta.

Las soluciones de firewall de aplicação web (WAF) de F5 también bloquean y mitigan un amplio espectro de riesgos identificados por OWASP. Las soluciones F5 WAF combinan protección mediante firmas y comportamiento, incluida inteligencia sobre amenazas de F5 Labs y seguridad basada en ML, para mantenerse al día con las amenazas emergentes. Para evitar ataques de fuerza bruta, WAF rastrea la cantidad de intentos fallidos para llegar a las URL de inicio de sesión configuradas. Cuando se detectan patrones de fuerza bruta, la política WAF los considera un ataque si la tasa de inicios de sesión fallidos aumenta significativamente o si los inicios de sesión fallidos alcanzan un umbral máximo.

Las soluciones F5 WAF se integran con las soluciones de defensa contra bots de F5 para proporcionar una sólida mitigación de los principales riesgos de seguridad, incluidas las explotaciones vulnerabilidades y los ataques automatizados de fuerza bruta.