Logotipo ORSYS le mag 2025

El medio de la formación y las competencias

Inicio > Glosario de ciberseguridad > Ataque de fuerza bruta 🔴

Ataque de fuerza bruta 🔴

El ataque de fuerza bruta (o "ataque de fuerza bruta" en inglés) es un método de pirateo que consiste en probar un gran número de combinaciones de contraseñas, claves de seguridad y otros datos. codificación o identificadores hasta encontrar el adecuado.

Esta técnica se basa en el método de ensayo y error y puede utilizarse para acceder a cuentas de usuario, sistemas informáticos o datos cifrados. Este método se basa en la potencia de cálculo (humana o automatizada) más que en los fallos del software.

👉 Tipos de ataque de fuerza bruta

Existen varios tipos de ataques de fuerza bruta, entre ellos :

  • Simple ataque de fuerza bruta: el atacante prueba todas las combinaciones posibles de caracteres (letras, números, símbolos) hasta encontrar la contraseña o clave. Este método funciona mejor contra contraseñas débiles o cortas.
  • Ataque de diccionario: En lugar de probar todas las combinaciones posibles, el atacante utiliza una lista preestablecida de contraseñas comunes (a menudo extraídas de filtraciones o diccionarios especializados). Se pueden añadir variantes (números o caracteres especiales) para ampliar las posibilidades.
  • Ataque híbrido: el atacante combina los dos métodos anteriores probando combinaciones de contraseñas comunes y caracteres especiales. Este tipo de ataque es especialmente eficaz cuando el atacante dispone de información sobre el objetivo (cumpleaños, nombres, etc.).
  • Ataque de fuerza bruta inversa : el atacante utiliza una contraseña conocida para intentar encontrar el nombre de usuario o la dirección de correo electrónico asociados. Este método aprovecha el hecho de que muchos usuarios reutilizan las mismas credenciales en varias plataformas.
  • Relleno de credenciales : En lugar de adivinar una contraseña, el atacante explota una base de datos de credenciales comprometidas para probar las mismas combinaciones en otros servicios. Esta técnica aprovecha el hecho de que los usuarios reutilizan con frecuencia los mismos identificadores.
  • Mesa Rainbow utiliza tablas hash precalculadas para descifrar contraseñas cifradas.

Google - Noto Color Emoji 15.0 (Animado)Cómo funciona

Un ataque de fuerza bruta se desarrolla generalmente en varias etapas:

  1. Recogida de información: el atacante recopila información sobre el objetivo, como su nombre de usuario, su dirección de correo electrónico o el tipo de sistema que utiliza.
  2. Elección del método de ataque: el atacante elige el tipo de ataque de fuerza bruta más adecuado en función de la información de que dispone y de sus objetivos.
  3. Preparación para el ataque: el atacante utiliza herramientas de software para automatizar el ataque y generar las combinaciones de contraseñas o claves que se van a probar.
  4. Lanzamiento del ataque: el atacante lanza el ataque y prueba las combinaciones generadas hasta encontrar la correcta.
  5. Acceso al sistema o a los datos: Una vez encontrada la contraseña o la clave, el atacante puede acceder al sistema o a los datos objetivo.

Tendencias 📈

Los ataques de fuerza bruta son una amenaza constante en el mundo de la ciberseguridad. Aunque se consideran un método de ataque "antiguo", siguen siendo eficaces, sobre todo contra contraseñas débiles o sistemas mal protegidos.

Las tendencias actuales son :

  • Uso de IA generación de contraseñas plausibles mediante modelos lingüísticos.
  • Ataques a la IO Explotación de dispositivos conectados mal protegidos (cámaras, routers).
  • Nube y GPU Alquiler de potencia de computación en la nube o tarjetas gráficas para acelerar las pruebas.
  • Fuerza bruta "baja y lenta evita la detección espaciando los intentos.

Ejemplos de ataques de fuerza bruta

  1. Adobe (2013) 38 millones de cuentas pirateadas mediante ataques de fuerza bruta y diccionario.
  2. LinkedIn (2016) 117 millones de contraseñas descifradas.
  3. Botnet Mirai (2016) Hackear cámaras y routers utilizando identificadores por defecto.
  4. Ataques RDP Los ataques a los protocolos de acceso remoto se dispararon durante la pandemia.

💉 Remedios y protección

Hay varias medidas que puede tomar para protegerse contra los ataques de fuerza bruta :  

  • Utilice contraseñas seguras y únicas: elija contraseñas largas (mínimo 12 caracteres) y complejas (combinación de letras/números/símbolos), evite las contraseñas comunes, contraseñas diferentes para cada cuenta.
  • Activar el doble autenticación (2FA) o AMF : Esta medida añade una capa adicional de seguridad al requerir un código de verificación además de la contraseña.
  • Limita el número de intentos: configure sus sistemas para bloquear los intentos de conexión tras un cierto número de intentos fallidos, a ser posible con un retardo creciente entre cada intento, un Captcha o una autenticación IP.
  • Utilizar un gestor de contraseñas : Esta herramienta te permite generar y almacenar contraseñas seguras y únicas para todas tus cuentas.
  • Actualice sus sistemas y programas informáticos: actualizaciones de seguridad correctas vulnerabilidades que podrían ser explotadas por los atacantes.
  • Utilización de un sistema de control en tiempo real

📊 Cifras y estadísticas

  • Mundo :
    • 80% de las violaciones de datos implican contraseñas débiles o robadas (Verizon DBIR 2023).
    • Los ataques RDP (Remote Desktop Protocol) aumentaron en 768 % en 2020 (ESET).
  • Francia :
    • 30 % de ciberataques en relación conANSSI en 2022 utilizaron métodos de fuerza bruta.
    • Sectores más afectados: sanidad, PYME, autoridades locales.
Volver al glosario

ámbito de formación

Ciberseguridad

formación asociada

Seguridad de sistemas y redes, nivel 1

Hacking y seguridad, nivel 1

Seguridad de los sistemas de información, resumen

MEJOR

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad