October 21, 2022

¿Qué es un ataque por fuerza bruta y cómo prevenirlo?

El costo de una vulneración de datos es complicado de cuantificar, pero a medida que más y más organizaciones son víctimas de ataques, el impacto financiero potencial se vuelve más evidente. El último informe de costos de filtración de datos de IBM determinó que el costo promedio de una filtración de datos en todo el mundo tendrá un alcance un máximo histórico de $.35 millones en 2022.

¿Qué es un ataque por fuerza bruta?

A very common threat in this web era is brute force attack. A brute force attack in cyber security is an attempt to find a password by systematically trying all possible combinations of letters, numbers and symbols until you find the right working combination. Passwords aren't the only resource that can be brute-forced: links and directories, usernames and emails are other common targets too.

Tipos de ataque por fuerza bruta:

Comúnmente, hay 5 tipos de ataque por fuerza bruta

Ataques simples/tradicionales:

En este tipo de ataque por fuerza bruta, los atacantes prueban múltiples contraseñas para apuntar a un conjunto específico de identidades. Aquí, los hackers intentan adivinar manualmente o usan el método de prueba y error, con respecto a las credenciales de inicio de sesión del usuario sin usar ningún software y, por lo tanto, este método requiere mucho tiempo y recursos. Los hackers intentan generar todos los caracteres, números y caracteres especiales posibles. Este método solo es efectivo para contraseñas cortas, pero no sirve para contraseñas un poco más largas.

Ataque de fuerza bruta inversa:

La pulverización de contraseñas es una forma de ataque de fuerza bruta inversa en la que el atacante de fuerza bruta inicia sesión en la aplicación en función de una lista de nombres de usuario con contraseñas predeterminadas. Este ataque normalmente se usa en áreas donde el administrador establece una contraseña predeterminada para los nuevos usuarios. Normalmente, los atacantes intentan adivinar las contraseñas. Sin embargo, a diferencia de un ataque de fuerza bruta, que se centra en una sola cuenta, en este caso, los ataques de pulverización de contraseñas se dirigen a varias cuentas a la vez. Aquí, los atacantes obtienen acceso a una gran cantidad de cuentas (nombres de usuario) con algunas contraseñas comunes.

Ataques de diccionario:

Por el nombre en sí, es obvio: básicamente se utiliza una gran cantidad de frases o términos populares predefinidos que normalmente se encuentran en un diccionario. En general, una buena lista de contraseñas puede mejorar la tasa de éxito de los atacantes, pero aquí a menudo requieren múltiples intentos contra objetivos potenciales. El inconveniente de este tipo de ataque es que requiere mucho tiempo y tiene una probabilidad baja en comparación con los métodos de ataque más nuevos y potentes.

Ataque híbrido de fuerza bruta:

En este tipo de ataque, los hackers informáticos combinan un método de ataque de diccionario con un simple ataque de fuerza bruta. Los hackers informáticos normalmente conocen el nombre de usuario, por lo que realizan un ataque de diccionario y métodos simples de fuerza bruta para encontrar la combinación de inicio de sesión de la cuenta. Este procedimiento consiste en elegir palabras comunes de un diccionario y reemplazarlas con números o caracteres aleatorios. Este enfoque combinado es más efectivo.

Ataque de reutilización de credenciales robadas:

Un ataque de "relleno" de credenciales implica la reutilización de contraseñas que han sido robadas o expuestas de otro modo por los ciberdelincuentes y que se utilizan en los campos de inicio de sesión de varios sitios web. Este ataque tiene éxito cuando los usuarios usan la misma combinación de nombre de usuario y contraseña o reutilizan contraseñas para diferentes perfiles y cuentas de redes sociales. Las credenciales robadas se venden e intercambian entre ciberdelincuentes en la web oscura.

Cómo investigar un ataque de fuerza bruta:

Un atacante siempre puede encontrar la contraseña mediante un ataque de fuerza bruta. Según la longitud y la complejidad de la contraseña, puede haber billones de combinaciones posibles y, por lo tanto, puede llevar años descifrar las contraseñas de destino.

Se intentaron numerosos intentos fallidos de inicio de sesión desde la misma dirección IP

Intentos de inicio de sesión con diferentes nombres de usuario

Patrón inusual de intentos fallidos de inicio de sesión

Ancho de banda unusual

Cómo prevenir un ataque de fuerza bruta:

El éxito de un ataque de fuerza bruta se calcula en relación con el tiempo necesario para descifrar con éxito una contraseña. A medida que aumenta la longitud de la contraseña, el tiempo necesario para descifrarla también aumenta exponencialmente. Se estima que 15 millones de empresas clave necesitarían 9 minutos por segundo para descifrar una contraseña de siete dígitos. Una contraseña de 13 dígitos tomaría más de 350.000 años.

Siempre se recomienda no usar contraseñas estándar, pero es mejor que uses tus propias contraseñas creadas. Lo mejor es crear contraseñas únicas que contengan al menos 15 números y varias palabras clave. Las contraseñas largas que consisten en palabras/caracteres aleatorios son más seguras y fáciles de descifrar.

Muchos sitios web permiten un número infinito de intentos de inicio de sesión. Se recomienda que el administrador del sitio instale un complemento que limite la cantidad de intentos de conexión al dominio, evitando aún más los ataques de fuerza bruta. Incluso un usuario raíz puede permitir ataques de fuerza bruta en conexiones sólidas (SSH), por lo tanto, es mejor evitar que los usuarios accedan a SSH habilitando "DenyUsers root" y "PermitRootLogin no".

Se recomienda contar con autenticación de dos factores o multifactor, donde el usuario debe verificar su autenticidad antes de otorgar acceso al sistema. Si se activa la verificación de dos factores, se le pedirá al usuario que ingrese un código único asignado a un número de teléfono móvil para verificar su autenticidad, antes de obtener acceso a la red.

El beneficio de usar CAPTCHA es que protege contra apropiaciones de cuentas, compras ilegales y otros escenarios similares. Los CAPTCHA prefieren una respuesta de seguridad del 100 %.

Un firewall de aplicaciones web (web application firewalls, WAF) limita la cantidad de solicitudes que un recurso puede realizar a un espacio de URL en un período determinado. Además de los ataques de fuerza bruta para robar tokens de sesión, WAF también protege contra ataques por denegación de servicio (denial-of-service, DOS) que consumen recursos del servidor y bloquean las herramientas de exploración de vulnerabilidades que verifican la red informática en busca de errores.

Conclusión!

Las organizaciones no pueden prevenir los ataques de contraseña pero es posible evitarlos. Manteniéndote alerta, practicando una buena higiene de contraseñas y protegiendo tu red, puedes detener los ataques de fuerza bruta, sin importar cuántos intentos de amenazas se intenten. Lo que es más importante, las contraseñas seguras y los cambios regulares de contraseña también son una contramedida eficaz contra este tipo de ataques de fuerza bruta en ciberseguridad.

Nosotros en AxCrypt siempre estamos alerta cuando se trata de seguridad de datos. Nuestro sistema de seguridad es realmente sólido, ya que proporcionamos AES-128 y el cifrado AES-256 más potente, por lo que un atacante tarda una eternidad en descifrar la contraseña. Debido al proceso de cifrado más fuerte que usamos, actúa como un escudo y protege todos los datos de los ataques de fuerza bruta.

Nuestros clientes nos aman porque nunca comprometemos la filtración de datos y brindamos el mejor sistema de ciberseguridad. Mejora la seguridad de tus datos trabajando con expertos. No esperes a perder tus datos. Ponte en contacto con AxCrypt hoy y descarga nuestra última versión para experimentar lo mejor.

Echa un vistazo a la Página de funciones de AxCrypt para obtener más información sobre cómo AxCrypt puede proteger tus archivos y datos y la Página de precios para conocer los tipos de suscripciones de cifrado que ofrece AxCrypt.

¡Contáctanos a los correos support@axcrypt.net o business@axcrypt.net si tienes alguna pregunta!

Sigue a nuestras cuentas en redes sociales para obtener más información sobre las próximas funciones y ofertas (Facebook, Instagram, Twitter, Linkedin)