Cuando leemos noticias acerca de intrusiones no autorizadas en redes corporativas o acceso a cuentas de usuarios en algún servicio online, suele aparecer el término “ataque de fuerza bruta”. Si bien podría parecer que estamos ante un tipo de ataque en el cual los atacantes destinan muchos recursos para conseguir su objetivo sin preocuparse en optimizarlos o en intentar pasar desapercibidos, cuando hablamos de ataque de fuerza bruta hacemos referencia a una metodología muy concreta.
Qué es un ataque de fuerza bruta
Un ataque de fuerza bruta ocurre cuando el atacante emplea determinadas técnicas para probar combinaciones de contraseñas con el objetivo de descubrir las credenciales de una potencial víctima y así lograr acceso a una cuenta o sistema. Existen diferentes tipos de ataque de fuerza bruta, como el “credential stuffing”, el ataque de diccionario, el ataque de fuerza bruta inverso o el ataque de password spraying. Generalmente, los ataques de fuerza bruta tienen mayor éxito en los casos en los que se utilizan contraseñas débiles o relativamente fáciles de predecir.
Probando diferentes contraseñas
El término “fuerza bruta” relacionado con incidentes de seguridad informática está asociado a los intentos por conseguir averiguar una o varias contraseñas. Estas pueden estar vinculadas a accesos a servicios online o a ficheros y mensajes cifrados. En cualquier caso, el atacante va probando diversas combinaciones hasta dar con la correcta. Para ello se apoya en el uso de software, hardware, así como también en algoritmos y diccionarios de palabras.
En cuanto al hardware que se utiliza, cuanta más potencia se tenga más combinaciones por segundo se podrán evaluar, mientras que en lo que respecta el software, existen programas que son utilizados desde hace tiempo para aplicar la fuerza bruta en el descifrado de contraseña. Un software clásico sería John the Ripper, que permite ser usado para tratar de romper varios algoritmos de cifrado o hash como DES SHA-1 y otros. También son muy usadas las herramientas que permiten averiguar contraseñas de redes Wi-Fi como Aircrack-ng.
Existen distintos tipos de ataques de fuerza bruta. Uno de ellos es el que se conoce como “ataque de diccionario”, que consiste en el uso de una técnica mediante la cual el atacante intenta averiguar la contraseña probando todas las palabras posibles que almacena en un diccionario. Estas palabras pueden ser de todo tipo y pueden incluir nombres, lugares y otras combinaciones, muchas de ellas obtenidas por filtraciones previas y que los usuarios empleaban porque eran fáciles de recordar.
Además, un atacante puede utilizar bases de datos de correos y contraseñas para conseguir su objetivo realizando lo que se conoce como un “ataque de fuerza bruta inverso”. Aprovechando los millones de credenciales filtradas a lo largo del tiempo, se prueban en distintos servicios online combinación de diferentes nombres de usuarios y contraseñas hasta dar con alguna combinación que permita un acceso.
Otro tipo de ataque de fuerza bruta es el que se conoce como “credential stuffing” o relleno de credenciales. Si bien es similar al de fuerza bruta inverso, la diferencia es que en estos casos, con el objetivo de acceder a un sistema el atacante utiliza combinaciones de nombres de usuario/contraseña que tiene en su poder y que se filtraron en alguna brecha, sobre todo teniendo en cuenta que muchos usuarios suelen reutilizar las contraseñas en más de una cuenta; una práctica no recomendada.
Lectura relacionada: Cómo saber si la contraseña que utilizas fue filtrada en una brecha
Incremento de ataques de fuerza bruta durante la pandemia
Una de las consecuencias que ha tenido la crisis sanitaria provocada por la COVID-19 ha sido la implementación a marchas forzadas del teletrabajo en empresas de todo el mundo. Por desgracia, la mayoría de esas empresas no han adoptado las medidas de seguridad necesarias para protegerse de posibles ataques de fuerza bruta y han optado por permitir las conexiones remotas desde los equipos de sus trabajadores.
Eso lo podemos comprobar de varias maneras. Ya sea debido al considerable aumento de conexiones mediante el Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés), o por el aumento en el número de ataques que se vienen produciendo desde principios de año sobre estos servidores RDP expuestos.
Lectura relacionada: Teletrabajo: asegurar el acceso remoto y el RDP
Mediante la fuerza bruta, los atacantes intentan averiguar las credenciales usadas por aquellos usuarios que están trabajando en remoto para acceder a la red corporativa. Una vez los ciberdelincuentes han conseguido acceder a uno de los equipos dentro de la red interna, es muy probable que realicen movimientos laterales hasta encontrar algún sistema que contenga información sensible y que puedan usar en su favor. En otros casos, los atacantes recolectan las combinaciones activas para luego comercializarlas.
Los ataques de fuerza bruta suelen dar pie a otros ataques más graves que suelen terminar con el robo de información confidencial, el cifrado de la misma por un ransomware, la solicitud de un rescate para recuperar los archivos cifrados y, como una tendencia en aumento, la filtración de la información sustraída en caso de que la víctima no ceda al chantaje.
En los últimos meses hemos visto numerosos ejemplos de este tipo de ataques que han afectado a empresas de diversos sectores y que van desde el sanitario al educativo, sin olvidar organismos públicos. No obstante, cualquier empresa es susceptible de estar en el punto de mira de los ciberdelincuentes si no adopta las medidas de seguridad necesarias.
Cómo evitar ser víctima de un ataque de fuerza bruta
Como vimos, los ataques de fuerza bruta están en auge y para los atacantes son relativamente sencillos de realizar. Sin embargo, es perfectamente posible defendernos de este tipo de ataques si seguimos unas buenas prácticas en seguridad como las que indicamos a continuación:
- Utiliza contraseñas robustas que sean difíciles de adivinar en caso de que un atacante pruebe distintas combinaciones o que utilice palabras extraídas de un diccionario.
- Implementa el doble factor de autenticación siempre que sea posible para acceder a todo tipo de servicios online, ya sean profesionales o personales.
- Corrobora que en tu empresa se utilice el RDP solo si se está conectado a través de una VPN corporativa y asegúrate de usar la Autenticación a Nivel de RED (NLA)
- En el caso de no utilizar RDP en tu empresa, desactiva este protocolo y cierra el puerto 3389.
- Establece permisos de acceso limitados a aquellos activos importantes de la empresa que se encuentren accesibles desde la red corporativa.
- Mantén copias de seguridad actualizadas de todos los activos críticos de la empresa.
Esperamos que estos consejos sirvan de ayuda para proteger el acceso a la información sensible y que esta no se vea afectada por este tipo de ataques.
Lectura recomendada: