Los ataques de fuerza bruta y de diccionario son métodos utilizados en auditorías o por ciberatacantes para obtener credenciales de acceso, en particular, para encontrar la contraseña de una cuenta de una red social, de un correo electrónico, de una red wifi, etc.
Y… ¿Cómo funcionan? Pues, en el caso del ataque de fuerza bruta, el programa prueba combinaciones de letras mayúsculas, minúsculas, símbolos y números con el objetivo de obtener la combinación correcta. En el caso del ataque de diccionario el programa prueba automáticamente palabras de diccionarios previamente preparados hasta encontrar una coincidencia. El tiempo que se tarda en encontrar la contraseña mediante este tipo de ataques depende de la capacidad de operación que tiene el ordenador atacante. Además, en el caso del ataque de diccionario, el tiempo que tarde el ordenador en buscar coincidencias también dependerá de la longitud del diccionario.
¿Por qué es importante tener una contraseña robusta?
-
Porque las contraseñas más comunes están incluidas en los diccionarios que se utilizan para estos ataques (ataque de diccionario).
Las contraseñas más comunes son las siguientes: nombres de personas, nombres de lugares, sustantivos (por ejemplo: contraseña, mono, mesa, etc), números (por ejemplo: 1234, 0000, 1234567, etc), palabras repetidas dos veces (por ejemplo: contraseñacontraseña, mesamesa, etc) y contraseñas que coinciden con el usuario (por ejemplo: usuario1 como contraseña del correo usuario1@empresa.com).
-
Porque una contraseña corta (menor a 8 caracteres) podría ser encontrada probando combinaciones de letras, números y símbolos en poco rato (ataque de fuerza bruta).
Dependiendo de la longitud de la contraseña, el equipo que realice el ataque de fuerza bruta puede tardar más o menos tiempo en encontrar coincidencias. Una persona ciberatacante podría hallar contraseñas formadas por 4 números al instante y para una contraseña de 10 dígitos que combine números, mayúsculas, minúsculas y símbolos podría tardar 5 años. Si la contraseña fuese una combinación de 18 caracteres (minúsculas, mayúsculas, símbolos y números) el ciberatacante necesitaría, con la tecnología que existe actualmente, 7 trillones de años (7.000.000.000.000.000.000 años) para encontrarla. Para que se haga una idea, la tierra tiene 45.439.000.000 años aproximadamente.
Por este motivo es importante crear contraseñas que difícilmente puedan estar en diccionarios o que requieran mucho tiempo de cómputo para ser encontradas.
¿Qué podemos hacer para evitar este tipo de ataques?
El objetivo es ponerlo más difícil escogiendo contraseñas robustas y que sea poco probable que puedan aparecer en diccionarios.
-
Utilizar más de 8 caracteres alfanuméricos combinando mayúsculas, minúsculas, símbolos y números.
-
Cambiar periódicamente las contraseñas.
-
No utilizar combinaciones que se puedan adivinar. Por ejemplo: fechas de nacimiento, nombres de familiares, combinaciones como 1234, la palabra “contraseña” o “admin”, etc.
-
No utilice contraseñas comunes.
Además, puede tener en cuenta lo siguiente para su negocio:
-
Tenga una “lista negra” de contraseñas que no se pueden utilizar como: 1234, “contraseña”, fechas de nacimiento, etc.
-
Monitorice los intentos fallidos de iniciar sesión (esto puede ser un indicativo de que está siendo víctima de un ataque de fuerza bruta o de diccionario).
-
No almacene el documento que contiene las contraseñas de la red de su empresa sin cifrar. Personas no autorizadas podrían obtener contraseñas importantes.
-
Cambie las contraseñas que estén configuradas por defecto en sus dispositivos. Por ejemplo: la contraseña de acceso al panel de administración al router de la empresa. Los routers suelen tener una contraseña de acceso muy sencilla y que es común en muchos modelos de router. Estas contraseñas están incluidas en diccionarios o en sitios web y si no las cambia, será fácilmente encontrada por ciberatacantes.
-
Formar a la plantilla para que aprendan a construir contraseñas robustas.
