Ataques de fuerza bruta – Hacking con Kali Linux – Capítulo 18
Tiempo aprox. de lectura:7 Minutos, 13 Segundos

Ataques de fuerza bruta – Hacking con Kali Linux – Capítulo 18

Pasamos a ver los ataques de fuerza bruta. Ataques que utilizan la técnica de ensayo y error.

¿Qué son los ataques de fuerza bruta?

Los ataques de fuerza bruta son una técnica para probar combinaciones de contraseñas (o nombre de usuario) hasta averiguar las credenciales de un supuesto usuario, la contraseña para descifrar algo, etc.

Este es un ataque muy básico que lleva siendo utilizado por la humanidad desde tiempos remotos.

Un ejemplo de fuerza bruta que se puede dar en la vida cotidiana, es que te olvides de la combinación de una maleta de viaje. En ella hay 4 dígitos. Entonces, sabemos que tenemos 10.000 posibilidades para probar (0 – 9.999). Sabemos que la combinación es uno de esos posibles números. Sin embargo, probarlos todos hasta dar con el indicado, podría llevarte horas o incluso algún que otro día si lo haces a ratos.

fuerza bruta

Pues en la informática, ocurre esto mismo. En este caso, se utiliza software para ir probando combinaciones una por una. Esto requiere de un enorme procesamiento de datos y tiempo.

Cuanto más larga sea una contraseña y más tipos de caracteres contenga, más tiempo requerirá obtener una contraseña por fuerza bruta.

No es lo mismo 17840964 que %tY8n_9F. Mientras que en la primera hay que probar combinaciones solo numéricas, en la otra hay que probar números, letras mayúsculas y minúsculas y símbolos. Son bastantes combinaciones más, pese a tener la misma longitud.

Hay diferentes tipos de ataques de fuerza bruta, de momento, te explico dos.

Ataque por diccionario

En este caso, el atacante utilizará una extensa lista, descargada de internet o creada por él o ella mismo/a. Esta lista contendrá contraseñas muy utilizadas o simples palabras como perro o gato.

Este es uno de los motivos por los que cuando te creas una cuenta, casi en todos lados no te dejaría poner scooby (nombre de tu supuesto perro xD), si no, que te obligaría a poner quizás un símbolo y una letra en mayúscula, algo como %Scooby7.

El atacante preparará un programa o lo utilizará y le pasará como parámetro ese o varios diccionarios.

El ataque empieza, va probando cada una de las palabras del diccionario como contraseña. Si hay suerte, el atacante ya sabe la contraseña de la víctima.

También se pueden combinar palabras de diccionario con otros valores. Por ejemplo, el atacante sabe que la víctima tiene una mascota llamada bobby. En este caso, puede que el atacante haga un ataque a partir de esa palabra y vaya probando cosas como bobby1, bobby2, bobby3…

Supongamos que la contraseña es bobby2022. No tardará mucho en averiguarla. Solo tendrá que probar 2022 o 2023 (depende si empieza por el 0 o el 1) combinaciones.

Ataque de fuerza bruta

El ataque por diccionario es mucho más rápido que el de fuerza bruta a secas. Ya especificaré como funcionan estos ataques con mucho más detalle. De momento, quédate con que el programa del atacante va a estar probando una serie de contraseñas letra por letra, número por número, símbolo por símbolo, si hay mayúsculas, si hay minúsculas…

Por ejemplo, el atacante parametriza el ataque para una longitud máxima de 8 caracteres y todo letras en minúsculas (puede que tenga alguna pista de que la contraseña son solo letras en minúsculas).

La contraseña, en este caso, tendrá hasta 8 caracteres, no tiene porqué tenerlos.

Empezaría probando la letra a, la b, la c, etc. como primer carácter. Al llegar a la z, si la contraseña no tiene un solo carácter, empezará a probar con 2, aa, ab, ac, ad…

Como te digo, esto es un poquito de introducción a la fuerza bruta. Le daré mucho más juego a este tema en el curso en futuros capítulos.

Ya puedes imaginar, que una contraseña de 4 caracteres es bastante rápida de averiguar con este método, pero no lo será con una contraseña de 20 caracteres con números, letras mayúsculas y minúsculas y símbolos, ya que tendrá que probar todas las combinaciones. Un PC casero tarda años en conseguir una contraseña así a fuerza bruta.

Si quieres, puedes revisar el capítulo de las contraseñas seguras.

Dejo esta primera parte de tipos de ataques, en el siguiente, veremos unas cuantas más.

Si quieres saber más sobre hacking y sobre Linux, no te pierdas estas categorías.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Entrada anterior Ransomware – Hacking con Kali Linux – Capítulo 17
kali linux logo Entrada siguiente Fases del hacking ético