¿Qué es un ataque de fuerza bruta?

Un ataque por fuerza bruta es un tipo de ataque cibernético que usa un programa para "adivinar" credenciales. Mediante un proceso de ensayo y error, estos ataques introducen palabras de diccionario, frases, contraseñas usadas habitualmente o combinaciones de letras y números específicas hasta que consiguen una coincidencia. Los ataques por fuerza bruta son sorprendentemente efectivos debido a que el 56 % de las personas reutiliza las contraseñas. Reusar contraseñas es una práctica común y peligrosa, ya que basta con vulnerar una sola contraseña reutilizada para exponer un sistema completo o un grupo de credenciales.

Tipos de ataques por fuerza bruta

Ataques por fuerza bruta simples

Ataques por fuerza bruta simples

Los ataques por fuerza bruta simples utilizan el método de prueba y error para probar diferentes combinaciones y así adivinar las credenciales de acceso. El atacante utiliza una computadora potente para probar todas las combinaciones de letras, números y símbolos posibles. Aunque pueda parecer ineficiente, algunas computadoras son capaces de procesar trillones de combinaciones a la vez.

Ataques de diccionario

Ataques de diccionario

Los ataques de diccionario aprovechan las sencillas palabras o frases de diccionario para averiguar las credenciales de los usuarios. Es aconsejable no utilizar palabras o frases que se puedan encontrar en un diccionario, ya que los ataques por fuerza bruta de diccionario pueden utilizarlas para averiguar sus contraseñas.

Ataques por fuerza bruta híbridos

Ataques por fuerza bruta híbridos

Utilizando una lógica externa, el atacante usa un programa para adivinar qué contraseñas tendrán más éxito y luego utiliza la fuerza bruta para aplicar cada combinación.

Ataques por fuerza bruta inversos

Ataques por fuerza bruta inversos

Este método depende de contraseñas conocidas. Las listas de contraseñas comunes son fáciles de encontrar en la web. Aquí tiene una lista de 10 000. Los ataques por fuerza bruta inversos utilizan listas como esta para introducir contraseñas comunes en varias cuentas esperando una coincidencia.

Completado de credenciales

Completado de credenciales

El completado de credenciales es uno de los métodos de fuerza bruta más efectivos. Se pueden comprar listas con contraseñas violadas anteriormente en la dark web. Después, los cibercriminales las usan para completar las credenciales en docenas de sitios web buscando una coincidencia.

A veces, los usuarios no cambian las contraseñas de todas sus cuentas, incluso aunque se hayan visto vulneradas con anterioridad.

Cómo evitar los ataques por fuerza bruta

Asegúrese de que sus contraseñas sean seguras y exclusivas

Al asegurarse de que utiliza contraseñas seguras y exclusivas en todas sus cuentas, consigue que para los cibercriminales sea más difícil adivinarlas. Use siempre contraseñas complejas con un mínimo de 16 caracteres que incluyan letras, números y símbolos. Cuanto más larga y compleja, mejor.

Puede utilizar un generador de contraseñas para que le ayude a crear contraseñas únicas y seguras para todas sus cuentas.

Eliminar las cuentas inactivas

Cuando un empleado deja la empresa, es importante eliminar su cuenta por completo para evitar inicios de sesión no autorizados. Aunque la cuenta de un empleado esté desactivada, sigue siendo un potencial punto de entrada para los cibercriminales. Las cuentas inactivas deben eliminarse lo antes posible y sus credenciales deben borrarse del sistema.

Limitar los intentos de acceso

Los ataques por fuerza bruta dependen de varios intentos de acceso. Estos ataques son mucho menos efectivos cuando el número de intentos está restringido. Tres intentos es un buen punto de partida: deja espacio a quien realmente se esté equivocando con su información de acceso y, a la vez, es un número de intentos lo suficientemente bajo como para bloquear los potenciales actores de amenazas antes de que adivinen la contraseña. Tras tres intentos fallidos, bloquea la cuenta por completo y requiere que un administrador del sistema restablezca el acceso tras verificar la identidad del usuario.

Habilite la MFA en sus cuentas

La autenticación multifactor (MFA) puede ser la salvación en un ataque por fuerza bruta. Cuando se utiliza una contraseña desde un dispositivo extraño o no reconocido, se activa un paso de autenticación adicional. Esto puede ser un enlace de verificación por mensaje o correo electrónico, un acceso biométrico o algún otro método. Es decir, se añade una capa adicional de protección a sus cuentas.

Ralentizar los inicios de sesión

También se pueden ralentizar los intentos de acceso exigiendo una cuenta atrás entre inicios de sesión fallidos. Combinado con un límite de accesos, este método puede detener un ataque por fuerza bruta tras tres intentos y limitar la rapidez con la que el cibercriminal puede introducir información de nuevo. Esto también puede ayudar al administrador al señalarle la existencia de actividad sospechosa.

Use herramientas automatizadas

Puede evitar los ataques por fuerza bruta con herramientas automatizadas sofisticadas. Las empresas ya se están enfrentando a los ataques por fuerza bruta y otras amenazas de malware utilizando estas herramientas. A medida que la detección de amenazas se vuelve más sofisticada, se utiliza cada vez más la tecnología de la IA para detectar, prevenir y eliminar las amenazas antes de que causen daños.

La protección con bots puede ayudar a supervisar el tráfico web en busca de actividades sospechosas y bloquear a los usuarios cuando se intuya algún ataque. Los bots también pueden predecir actividades sospechosas, como varios intentos de inicio de sesión, y alertar a la víctima antes de que se complete el ataque.

Los ataques por fuerza bruta son sencillos, pero a menudo también eficaces, sobre todo si el particular o la empresa no cuentan con las protecciones adecuadas.

Evite los ataques por fuerza bruta con un gestor de contraseñas

Los gestores de contraseñas como Keeper® pueden prevenir los ataques por fuerza bruta ayudando a los usuarios a generar contraseñas seguras y a almacenarlas de forma segura. Estos ya no tendrán que depender de sí mismos para crearlas, lo que significa que ya no usarán más contraseñas no seguras o repetidas en sus cuentas en línea.

Los gestores de contraseñas ayudan tanto a particulares como a empresas a proteger sus cuentas en línea. Compruébelo con una prueba gratuita.

Español (LAT) Llámenos