¡No te pierdas nuestro canal en Youtube!

Nuestras otras creaciones:
La-biblioteca.com | Cineactual.es | Mundofriki.es


Ataques de fuerza bruta: Cómo funcionan, pros y contras  Ataques de fuerza bruta: Cómo funcionan, pros y contras

Valoración de éste post
4.25 / 5 de 372 votos



Mensajes: 951


Puntos totales:

Enhorabuena!

34




En este artículo, explicaremos cómo funcionan los ataques de fuerza bruta y discutiremos las ventajas y desventajas de utilizarlos.

Los ataques de fuerza bruta consisten en probar todas las combinaciones posibles de caracteres, aplicarles un hash con la función unidireccional adecuada y compararla con la contraseña con hash hasta encontrar la correcta. 

La ventaja de un ataque de fuerza bruta es que la contraseña acabará siendo encontrada, incluso si se trata de un montón de caracteres aleatorios. Por el contrario, los ataques de diccionario y de tabla arco iris nunca podrían encontrar esas contraseñas porque no estarán en ninguna lista de palabras.

Es bastante fácil y un ataque directo, que es también la razón por la que lo cubriremos como nuestro primer método. Sólo necesitas un descifrador de contraseñas para llevarlo a cabo; no necesitarás datos adicionales, como una lista de palabras o una tabla arco iris. 

Teóricamente, es posible descifrar todas las contraseñas por fuerza bruta aplicando todos los algoritmos de hashing, si tienes suficiente tiempo. Sin embargo, en la práctica, esto no suele ocurrir.

Las desventajas de los ataques de fuerza bruta son que pueden llevar mucho tiempo y se necesitan muchos recursos de hardware. Al fin y al cabo, estarás probando todas las combinaciones posibles. 

Técnicas para optimizar los ataques de fuerza bruta:

Puedes reducir el tiempo necesario para romper una contraseña si tienes alguna información sobre la estructura de la misma. Si no hay información sobre la contraseña, tendrás que probar todas las combinaciones posibles de caracteres y longitudes. Esto significa muchas más combinaciones y una mayor entropía. 

En primer lugar, tendrías que probar todas las combinaciones formadas por letras minúsculas, luego todas las formadas por letras mayúsculas, y luego todas las combinaciones formadas por números y carácteres especiales.

Debes combinar cada combinación con cada una de ellas. Además, no te olvides de los símbolos y caracteres especiales. Esto aumentará enormemente las posibles combinaciones.

Los sitios web y las empresas suelen tener una política de contraseñas o requisitos. Por ejemplo, las contraseñas sólo pueden estar formadas por letras minúsculas, mayúsculas y números, y deben tener una longitud de entre 8 y 32 caracteres.

Estos parámetros pueden reducir el tiempo necesario para descifrar una contraseña porque sólo tendrás que probar combinaciones dentro de los requisitos. No es necesario probar combinaciones con caracteres especiales o combinaciones de menos de ocho caracteres o de más de 32 caracteres, ya que no son un requisito ni están permitidas. 

Los humanos son perezosos y a menudo sólo intentan utilizar los requisitos mínimos. Por lo tanto, podría incluso probar sólo combinaciones de ocho o nueve caracteres con una letra mayúscula, un número y de seis a siete letras minúsculas.

Esto podría incluso conducir a un patrón. Si podemos encontrar el patrón, romper la contraseña será mucho más fácil. Por ejemplo, los patrones de los PIN de las tarjetas de crédito suelen tener de cuatro a seis caracteres y sólo están formados por números.

Recuerda que nuestro objetivo es utilizar la información para disminuir la entropía desde nuestra perspectiva y reducir el número de combinaciones posibles para una contraseña. 

Un ejemplo de entropía de la contraseña:

En este ejemplo, la contraseña que intentamos descifrar es P862. Si no tenemos información sobre la contraseña, debemos probar muchas combinaciones. Nuestra entropía será de unos 25 bits, y tendremos que probar unos 60 millones de combinaciones sólo para todas las posibles contraseñas de uno, dos, tres y cuatro caracteres.

Pero si nos dan alguna información (como que tiene una letra mayúscula y tres números), podemos reducir el número de combinaciones posibles a menos de mil. Eso nos dará una entropía de 10 bits. 

Para mostrar algunos números más, en el ejemplo anterior, podríamos reducir a menos de la mitad de la entropía original utilizando información sobre la estructura de la contraseña.
Esto nos permite romper la contraseña en aproximadamente la mitad de tiempo, dependiendo del algoritmo. 

En resumen, los ataques de fuerza bruta son simples y fáciles de usar, y pueden descifrar cualquier contraseña y algoritmo, pero también pueden necesitar tiempo y recursos. También hemos visto que podemos reducir el tiempo para descifrar la contraseña si tenemos alguna información sobre su estructura.

Investiga y comparte: Un ataque de fuerza bruta intenta todas las combinaciones posibles hasta encontrar la combinación correcta. ¿Cuáles crees que podrían ser las desventajas de este enfoque? Comparte tus ideas en la sección de comentarios más abajo.



No te pierdas el tema anterior: SQL injection: Definición, tipos y cómo defenderse

Salta al siguiente tema: John the Ripper password cracker: Definición, pros y contras

Quizás también te interese:

Volver a Seguridad y redes


cron