Mitigación de ataques por fuerza bruta
Ponencia de Juan Antonio González perteneciente al módulo Bases de datos y desarrollo de software seguro de C1b3rWall Academy 22/23
Tiempo de lectura estimado: 7 minutos
¿Qué son los ataques por fuerza bruta?
El ataque por fuerza bruta hace referencia al intento de los ciberatacantes de probar múltiples contraseñas hasta dar con la correcta. Generalmente son combinaciones al azar de determinados elementos o símbolos, así como las palabras y modificaciones posibles. Son ataques que no necesitan muchos recursos ni grandes cantidades de cálculo.
Son ataques que, pese a lo que se puede pensar, siguen en activo y tienen crecimiento en función de ciertas oportunidades como nuevas herramientas de ataque o nuevas vulnerabilidades.
Clasificación de los ataques por fuerza bruta
La clasificación de estos ataques se produce en base a cómo se utilizan los diccionarios o la forma de generar las contraseñas que se prueban.
- Credential stuffing: el atacante tiene una lista de credenciales que ha obtenido de incidentes de seguridad o brechas publicadas.
- Por diccionario: se hace uso de un diccionario que va generando nuevas palabras para ser probadas como contraseña.
- Ataque de fuerza bruta inverso: contraseñas típicas que no varían, y lo que se va variando es el usuario, hasta que se encuentra uno que tiene esa clave típica o habitual.
- Password spraying (pulverización de contraseñas): se conocen ciertas contraseñas y ciertos usuarios, pero no se sabe a cuál corresponde cada una. Se prueban las combinaciones para intentar relacionarlas.
¿Cómo defenderse de estos ataques?
Es fundamental, como habitualmente, la concienciación del usuario, que debe ser capaz de no exponer públicamente información personal. También se deben utilizar contraseñas robustas y no compartirlas, de forma que se tarde más tiempo en averiguarlas mediante fuerza bruta. Lo conveniente es un mínimo de 12 caracteres y combinar mayúsculas, minúsculas, números y símbolos. También ayuda la combinación de palabras que no tengan relación o sentido lógico. Pueden utilizarse captchas o pruebas difíciles de resolver para un ordenador, minimizando así las posibilidades de ser hackeado. Así mismo, es muy recomendable el uso del doble factor de autenticación, necesitando así algo en posesión del usuario además de la contraseña.
Defensas desde la arquitectura
Las arquitecturas de los sistemas tienen varios mecanismos para evitar los ataques de fuerza bruta.
Defensas desde el aplicativo
Dentro del aplicativo o servicio web/aplicación se pueden también limitar los ataques, principalmente a través de limitaciones de abuso y bloqueo temporal de la cuenta. Una herramienta útil es Fail2ban, un sistema que busca en los logs de distintos servicios intentos de ataque por fuerza bruta. El análisis de logs, tráfico, comportamiento y pautas se realiza mediante detección por machine learning, y el sistema logra obtener patrones de ataque, lo que resulta fundamental.
Herramientas de ataque
Conclusiones
- Es importante tomarse en serio la robustez de las contraseñas y no usar datos de vida personal en ellas.
- Añadir nuevos métodos que proporcionen mayor seguridad, como el doble factor de autenticación.
- No utilizar siempre la misma contraseña.
- No confiarse a nivel de infraestructura, ya que los ataques por fuerza bruta siguen en alza y se realizarán cada vez de forma más sencilla.
- Securizar aplicaciones, servidores y la red.
- Incorporar nuevas tecnologías para la detección de ataques.
¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras miles de personas desde este enlace.
Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.
Ponente: Juan Antonio González Ramos
Juan Antonio es ingeniero informático y analista de los Servicios Informáticos de la Universidad de Salamanca desde 1996. Colabora en diversos másteres y ponencias sobre Seguridad Informática.
- Redes sociales: LinkedIn.
¿Cuál es tu reacción?