Que es un ataque de fuerza bruta, significado, concepto, definición. En pasados post o artículos del blog he tocado someramente el tema pero creo que vale la pena enmarcarlo en su justa dimensión.En el mundo de los delitos cibernéticos, el ataque de fuerza bruta es una actividad que involucra repetidos intentos sucesivos de intentar varias combinaciones de contraseñas para ingresar en cualquier sitio web. Este intento se lleva a cabo vigorosamente por los piratas informáticos que también utilizan bots que han instalado maliciosamente en otras computadoras para aumentar la potencia de cómputo necesaria para ejecutar este tipo de ataques.
Qué significa
Un ataque de fuerza bruta es un método de prueba y error utilizado para obtener información, como una contraseña de usuario o un número de identificación personal (PIN). En un ataque de fuerza bruta, el software automatizado se utiliza para generar un gran número de conjeturas consecutivas en cuanto al valor de los datos deseados. Los delincuentes pueden usar los ataques de fuerza bruta para descifrar datos encriptados o los analistas de seguridad para probar la seguridad de la red de una organización.
Un ataque de fuerza bruta también se conoce como craqueo de fuerza bruta o simplemente fuerza bruta.
Un ataque de fuerza bruta es el método más simple para obtener acceso a un sitio o servidor (o cualquier cosa que esté protegida por contraseña). Intenta varias combinaciones de nombres de usuario y contraseñas una y otra vez hasta que entra. Esta acción repetitiva es como un ejército que ataca un fuerte.
Ahora, pensarás: «Wow, eso es fácil, yo también puedo hacer eso».
Puedes probarlo seguro!
Por lo general, cada ID común (por ejemplo, «admin») tiene una contraseña. Todo lo que necesitas hacer es tratar de adivinar la contraseña. Digamos que si es un pin de 2 dígitos, tiene 10 dígitos numéricos del 0 al 9. Esto significa que hay 100 posibilidades. Puede resolver esto con lápiz y papel como el Sr. Bean, que trató de encontrar los dos últimos dígitos correctos del número de teléfono del padre del niño perdido en la película, el Sr. Bean’s Holiday .
Pero, la verdad es que ninguna contraseña en el mundo consta de solo 2 caracteres. Incluso, los números de pin (un tipo de contraseña) utilizados en teléfonos móviles o en un banco constan de un mínimo de 4 caracteres.
Y, en Internet, 8 es generalmente el número estándar para la longitud más corta de una contraseña. Además, la complejidad se agrega a medida que los alfabetos se agregan dentro de una contraseña para hacerla más segura. Por cierto, los alfabetos se pueden usar tanto en mayúsculas como en minúsculas, lo que hace que la contraseña sea sensible a mayúsculas y minúsculas.
Digamos que si tenemos una contraseña alfanumérica de 8 caracteres, ¿cuántas combinaciones posibles podrían hacerse? Hay 26 alfabetos en inglés. Duplíquelos tanto en mayúsculas como en minúsculas y el recuento se establece en 26 + 26 = 52.
Luego sumamos los dígitos numéricos: 52 + 10 = 62
Por lo tanto, tenemos 62 caracteres en total.
Para una contraseña de 8 caracteres, será 62 8 lo que hará 2.1834011 × 10 14 combinaciones posibles.
Si intentamos 218 billones de combinaciones en un intento por segundo, tardaríamos 218 billones de segundos o 3,6 billones de minutos. En pocas palabras, solo se necesitarían unos 7 millones de años para descifrar la contraseña con la combinación final. Seguramente, puede tomar menos, pero 7 millones de años es el límite de tiempo máximo para descifrar una contraseña alfanumérica de 8 caracteres.
Bueno, no vas a vivir tanto tiempo.
Entonces, ¿cómo puede pasar?
Bueno, si estás interesado en descifrar contraseñas, tendrás que usar computadoras. Para hacer eso, necesitas escribir algunas líneas simples de código. Tales habilidades de programación son básicas para cualquier codificador.
Ahora, suponga que ha desarrollado un programa para romper contraseñas que intenta 1,000 combinaciones por segundo. El tiempo se reduce a 7 mil años.
¡Imposible!
Bueno, necesitas una supercomputadora. Entonces, digamos que obtienes una supercomputadora que puede probar 1 × 10 9 intentos por segundo. En solo 22 segundos, todos los 218 trillones de intentos serán probados. (Con suerte, estarás dentro de la cuenta, pero si la contraseña tiene 9 caracteres, tendrás que esperar unos momentos más).
Los recursos informáticos de este tipo no están disponibles para la gente común. Sin embargo, los hackers de contraseñas no son personas comunes. Pueden recopilar recursos informáticos por diferentes medios, por ejemplo, mediante el desarrollo de un potente motor informático mediante software, etc.
Además, el cálculo anterior es para todas las combinaciones posibles de una contraseña de 8 caracteres. Pero, ¿qué pasa si su contraseña es la décima combinación o la combinación número 100? Es por esto que es esencial tener capas adicionales de seguridad para detectar y desviar cualquier intento de violación de contraseña.
La motivación para hacerlo
Detrás del ataque de fuerza bruta, el motivo del pirata informático es obtener acceso ilegal a un sitio web específico y utilizarlo para ejecutar otro tipo de ataque o robar datos valiosos o simplemente apagarlo. También es posible que el atacante infecte el sitio seleccionado con scripts maliciosos para objetivos a largo plazo sin siquiera tocar una sola cosa y sin dejar rastro.
Las herramientas ayudan a los intentos de fuerza bruta
Adivinar una contraseña para un usuario o sitio en particular puede llevar mucho tiempo, por lo que los hackers desarrollaron herramientas para hacer el trabajo más rápido.
Los diccionarios son la herramienta más básica. Algunos piratas cibernéticos recorren diccionarios no combinados y aumentan las palabras con caracteres y números especiales, o utilizan diccionarios de palabras especiales, pero este tipo de ataque secuencial es engorroso.
En un ataque estándar, un hacker elige un objetivo y ejecuta posibles contraseñas contra ese nombre de usuario. Estos son conocidos como ataques de diccionario.
Así como su nombre lo indica, un ataque de fuerza bruta inversa invierte la estrategia de ataque al comenzar con una contraseña conocida, como las contraseñas filtradas que están disponibles en línea, y buscar millones de usuarios hasta que encuentre una coincidencia.
Las herramientas automatizadas también están disponibles para ayudar con los ataques de fuerza bruta, con nombres como Brutus, Medusa, THC Hydra, Ncrack, John the Ripper, Aircrack-ng y Rainbow. Muchos pueden encontrar una sola palabra de diccionario en un segundo.
Las herramientas como estas funcionan en contra de muchos protocolos de computadora (como FTP, MySQL, SMPT y Telnet) y permiten a los piratas informáticos descifrar módems inalámbricos, identificar contraseñas débiles, descifrar contraseñas en almacenamiento encriptado, traducir palabras a leetspeak – «don’thackme» se convierte en «d0n7H4ckm3 , «por ejemplo: ejecute todas las combinaciones posibles de caracteres y realice ataques de diccionario.
Algunas herramientas escanean tablas arco iris precalculadas para las entradas y salidas de las funciones hash conocidas: el método de cifrado basado en algoritmos utilizado para traducir las contraseñas en largas series de letras y números de longitud fija.
GPU acelera los intentos de fuerza bruta
La combinación de la CPU y la unidad de procesamiento de gráficos (GPU) acelera el poder de cómputo al agregar los miles de núcleos de cómputo en la GPU al procesamiento para permitir que el sistema maneje múltiples tareas simultáneamente. El procesamiento de GPU se utiliza para aplicaciones de análisis, ingeniería y otras aplicaciones de computación intensiva y puede descifrar contraseñas 250 veces más rápido que una CPU sola.
Para ponerlo en perspectiva, una contraseña de seis caracteres que incluye números tiene aproximadamente 2 mil millones de combinaciones posibles. Descifrarlo con una potente CPU que intenta 30 contraseñas por segundo lleva más de dos años. Al agregar una única y potente tarjeta GPU, la misma computadora puede probar 7,100 contraseñas por segundo y descifrar la contraseña en 3.5 días.
Qué medidas tomar, que acciones
Hay muchas herramientas disponibles para asegurar diferentes aplicaciones que denegarán a un usuario después de un número predefinido de intentos.
Por ejemplo, para SSH podemos usar Fail2ban o Deny hosts. Estos programas negarán la dirección IP después de algunos intentos incorrectos. Estas herramientas hacen un buen trabajo. Sin embargo, hay un giro a todo esto.
Recientemente, se ha observado un aumento exponencial en los ataques de fuerza bruta. Estos ataques surgen de múltiples países alrededor del mundo y se están volviendo más sofisticados con cada día que pasa. Por lo tanto, todos debemos tratar de estar vigilantes.
WordPress es una plataforma de desarrollo web de código abierto ampliamente utilizada. Más del 30% de los sitios web son impulsados por esta plataforma. Debido a su popularidad, también es un objetivo favorito de los hackers.
Algunos Pasos
Para hacer más difícil que los ataques de fuerza bruta tengan éxito, los administradores de sistemas deben asegurarse de que las contraseñas de sus sistemas estén cifradas con las tasas de cifrado más altas posibles, como el cifrado de 256 bits. Cuantos más bits haya en el esquema de cifrado, más difícil será descifrar la contraseña.
Los administradores también deben agregar el hash : aleatorizar los hashes de contraseñas agregando una cadena aleatoria de letras y números (denominada sal) a la propia contraseña. Esta cadena debe almacenarse en una base de datos separada y recuperarse y agregarse a la contraseña antes de que se elimine. Al hacer esto, los usuarios con la misma contraseña tienen diferentes hashes. Además, los administradores pueden requerir una autenticación de dos pasos e instalar un sistema de detección de intrusos que detecte ataques de fuerza bruta.
Limitar el número de intentos también reduce la susceptibilidad a los ataques de fuerza bruta. Permitir, por ejemplo, tres intentos de ingresar la contraseña correcta antes de bloquear al usuario durante varios minutos puede causar retrasos significativos y hacer que los piratas informáticos pasen a objetivos más fáciles.
Las siguientes medidas se pueden usar para defenderse de los ataques de fuerza bruta:
- Exigir a los usuarios crear contraseñas largas y complejas
- Limitar el número de veces que un usuario puede intentar iniciar sesión sin éxito
- Bloqueo temporal de usuarios que superan el número máximo especificado de intentos de inicio de sesión fallidos
- Modificando el archivo .htaccess.
- Utilizando Captcha.
- Autenticación de dos factores.
Longitud de la contraseña
El primer paso hacia la prevención del ataque de fuerza bruta debe ser una longitud de contraseña más larga. Hoy en día, muchos sitios web y plataformas obligan a sus usuarios a crear una contraseña de cierta longitud (8 – 16 caracteres).
Complejidad de la contraseña
Otra cosa importante es crear una contraseña compleja. No se recomienda crear contraseñas como ‘ilovemycountry’ o ‘password123456’; en cambio, su contraseña debe constar de MAYÚSCULAS y alfabetos en minúsculas y también debe tener números y caracteres especiales. La complejidad de la contraseña retrasa el proceso de craqueo.
Limitar los intentos de inicio de sesión
Una acción simple pero muy poderosa es limitar los intentos de inicio de sesión en su administrador de WordPress o en cualquier otro panel de administración. Por ejemplo, si su sitio web recibe cinco intentos de inicio de sesión fallidos; debe bloquear esa IP durante un cierto período de tiempo para evitar que se realicen más intentos.
Modificando el archivo .htaccess
Agregar algunas reglas en el archivo .htaccess puede fortalecer aún más la seguridad de su sitio de WordPress. El objetivo es permitir el acceso a wp-admin solo a las direcciones IP específicas enumeradas en el archivo .htaccess.
order deny,allow
allow from IP1
allow from IP2
deny from all
IP1 e IP2 serán las direcciones IP a las que se permitió el acceso.
Utilizando Captcha
Los captchas son ahora comúnmente utilizados en sitios web. Evitan que los bots ejecuten scripts automatizados utilizados principalmente en el ataque de Fuerza Bruta. Instalar captcha en tu sitio de WordPress es bastante fácil.
Instale el complemento reCaptcha invisible de Google y haga un enlace a su cuenta de Google. Ahora vuelva a la página de configuración de complementos y defina los lugares donde le gustaría al usuario obtener captcha antes de realizar la tarea real. Este complemento también es compatible con WooCommerce, BuddyPress y formularios personalizados.
Para obtener información adicional, consulte la seguridad de WordPress con Google Invisible reCaptcha plugin .
Autenticación de dos factores
La Autenticación de dos factores es una línea de defensa adicional que puede defender su cuenta de Brute Force Attack. Las posibilidades de ejecutar con éxito un ataque de fuerza bruta en sitios protegidos por 2FA son muy escasas. Hay varias formas de implementar 2FA en su sitio de WordPress. La forma más sencilla es utilizar cualquiera de los principales complementos de WordPress para la autenticación de dos factores .
Cómo los usuarios pueden fortalecer las contraseñas
Cuando sea posible, los usuarios deben elegir contraseñas de 10 caracteres que incluyan símbolos o números. Al hacerlo se crean 171.3 quintillones (1.71 x 10 20 ) de posibilidades. Usando un procesador de GPU que intenta 10.3 billones de hashes por segundo , descifrar la contraseña tomaría aproximadamente 526 años, aunque una supercomputadora podría descifrarla en unas pocas semanas.
Sin embargo, no todos los sitios aceptan contraseñas tan largas, lo que significa que los usuarios deben elegir frases de contraseña complejas en lugar de palabras simples. Es importante evitar las contraseñas más comunes y cambiarlas con frecuencia.
Instalar un administrador de contraseñas automatiza la administración de contraseñas, permitiendo a los usuarios acceder a todas sus cuentas al iniciar sesión en el administrador de contraseñas. Luego, pueden crear contraseñas extremadamente largas y complejas para todos los sitios que visitan, almacenarlas de forma segura y solo tienen que recordar una única contraseña al administrador de contraseñas.
Leer también: Activar cPHulk Protección de fuerza bruta, para que se usa; Seguridad en wordpress, como prevenir ataques; ¿Qué es CPHulk y por qué me bloquea de mi servidor? Cómo desbloquear el web server
This post is also available in:
Español
