Hay muchos hacks extremadamente técnicos y sofisticados por ahí. Como puede adivinar por el nombre, un ataque de fuerza bruta no es realmente todo eso. Eso no quiere decir que debas ignorarlos. Por poco sofisticados que sean, pueden ser muy efectivos. Con suficiente tiempo y poder de procesamiento, un ataque de fuerza bruta siempre debería tener una tasa de éxito del 100 %.
Subclases
Hay dos subclases principales: ataques en línea y fuera de línea. Un ataque de fuerza bruta en línea no necesariamente involucra Internet. En cambio, es una clase de ataque que apunta directamente al sistema en ejecución. Se puede realizar un ataque fuera de línea sin necesidad de interactuar con el sistema que está bajo ataque.
Pero, ¿cómo se puede atacar un sistema sin atacar el sistema? Bueno, las violaciones de datos a menudo contienen listas de nombres de usuario y contraseñas filtrados. Sin embargo, los consejos de seguridad recomiendan que las contraseñas se almacenen en formato hash. Estos hashes solo se pueden descifrar adivinando la contraseña correcta. Desafortunadamente, ahora que la lista de hashes está disponible públicamente, un atacante puede simplemente descargar la lista e intentar descifrarla en su propia computadora. Con suficiente tiempo y poder de procesamiento, esto les permite conocer una lista de nombres de usuario y contraseñas válidos con 100% de certeza antes de conectarse al sitio afectado.
En comparación, un ataque en línea intentaría iniciar sesión en el sitio web directamente. Esto no solo es mucho más lento, sino que también lo nota prácticamente cualquier propietario del sistema que quiera mirar. Como tal, los atacantes suelen preferir los ataques de fuerza bruta fuera de línea. A veces, sin embargo, pueden no ser posibles.
Credenciales de fuerza bruta
La clase más fácil de entender y la amenaza más común son los detalles de inicio de sesión de fuerza bruta. En este escenario, un atacante literalmente prueba tantas combinaciones de nombres de usuario y contraseñas como sea posible para ver qué funciona. Como se mencionó anteriormente, en un ataque de fuerza bruta en línea, el atacante puede simplemente intentar ingresar tantas combinaciones de nombre de usuario y contraseña en el formulario de inicio de sesión. Este tipo de ataque genera una gran cantidad de tráfico y errores de intento de inicio de sesión fallidos que pueden ser notados por un administrador del sistema que luego puede tomar medidas para bloquear al atacante.
Un ataque de fuerza bruta fuera de línea gira en torno a descifrar hashes de contraseñas. Este proceso toma literalmente la forma de adivinar todas las combinaciones posibles de caracteres. Con suficiente tiempo y poder de procesamiento, descifraría con éxito cualquier contraseña utilizando cualquier esquema de hashing. Sin embargo, los esquemas de hash modernos diseñados para el hash de contraseñas han sido diseñados para ser "lentos" y, por lo general, se ajustan para tardar decenas de milisegundos. Esto significa que incluso con una gran cantidad de poder de procesamiento, se necesitarán muchos miles de millones de años para descifrar una contraseña decentemente larga.
Para tratar de aumentar las probabilidades de descifrar la mayoría de las contraseñas, los piratas informáticos tienden a utilizar ataques de diccionario. Esto implica probar una lista de contraseñas de uso común o previamente descifradas para ver si ya se ha visto alguna en el conjunto actual. A pesar de los consejos de seguridad de usar contraseñas únicas, largas y complejas para todo, esta estrategia de un ataque de diccionario suele tener mucho éxito al descifrar aproximadamente el 75-95% de las contraseñas. Esta estrategia aún requiere mucho poder de procesamiento y sigue siendo un tipo de ataque de fuerza bruta, solo que es un poco más específico que un ataque de fuerza bruta estándar.
Otros tipos de ataque de fuerza bruta
Hay muchas otras formas de usar la fuerza bruta. Algunos ataques implican intentar obtener acceso físico a un dispositivo o sistema. Por lo general, un atacante intentará ser sigiloso al respecto. Por ejemplo, pueden tratar de hurtar sigilosamente un teléfono, pueden intentar forzar una cerradura o pueden atravesar una puerta con acceso controlado. Las alternativas de fuerza bruta tienden a ser muy literales y usan fuerza física real.
En algunos casos, se puede conocer parte de un secreto. Se puede usar un ataque de fuerza bruta para adivinar el resto. Por ejemplo, a menudo se imprimen algunos dígitos del número de su tarjeta de crédito en los recibos. Un atacante podría probar todas las combinaciones posibles de otros números para calcular el número completo de su tarjeta. Esta es la razón por la que la mayoría de los números están en blanco. Los últimos cuatro dígitos, por ejemplo, son suficientes para identificar su tarjeta, pero no para que un atacante tenga una oportunidad decente de adivinar el resto del número de la tarjeta.
Los ataques DDOS son un tipo de ataque de fuerza bruta. Su objetivo es abrumar los recursos del sistema objetivo. Realmente no importa qué recurso. podría ser la potencia de la CPU, el ancho de banda de la red o alcanzar un límite de precio de procesamiento en la nube. Los ataques DDOS implican literalmente enviar suficiente tráfico de red para abrumar a la víctima. En realidad, no "hackea" nada.
Conclusión
Un ataque de fuerza bruta es un tipo de ataque que implica confiar en la suerte, el tiempo y el esfuerzo. Hay muchos tipos diferentes de ataques de fuerza bruta. Si bien algunos de ellos pueden involucrar herramientas algo sofisticadas para llevar a cabo, como software para descifrar contraseñas, el ataque en sí no es sofisticado. Sin embargo, esto no significa que los ataques de fuerza bruta sean tigres de papel, ya que el concepto puede ser muy efectivo.