¿Qué son los ataques de fuerza bruta?

Hoy dedicamos algunas palabras a esta temida forma de atacar sistemas.

Tal vez no exista persona en el mundo que no se haya planteado vulnerar, de alguna forma, la seguridad de un lugar, una persona, o un sistema. Cada vez que comento que soy hacker, las personas suelen poner cara de desconfianza, como si mentalmente pudiera acceder a su información o si fuera una mina peligrosa. Bueno, las multinacionales se han esforzado en perseguir y encarcelar a las hackers y plantear que somos delincuentes, realmente no lo somos. Somos gente a la que le gustan los desafíos y a la que le gusta ir un poquito más allá, siempre. Pero con el ánimo de aprender, no de hacerle daño a alguien, ésas se llaman crackers, y nosotras no lo somos.

Algunas personas, luego de charlar un rato, pero nunca más de 5 o 10 minutos, me dicen: ¿le podés hackear el mail a alguien? ¿y el facebook? otros siguen con cosas del tipo: ¿y podés hackear una cuenta bancaria? Suelo contestar que puedo, pero no hago ese tipo de estupideces, porque no es ético, porque no comparto que nadie le hurguetee la vida a la gente. No me gusta que me espíen. Algunos insisten, ofrecen dinero a cambio de la contraseña (en algunos casos lo que ganaría en más de un año). Suele pasar en los momentos más absurdos. El que más risa me dio fue cuando me lo pidió una profesora en la facultad de Ciencias Políticas y Sociales de la UNCuyo pero en pleno examen.

En fin, yo no hago esas cosas pero hay mucha gente que sí y existen distintos tipos de ataques para lograrlo. Los ataques de fuerza bruta tienen otro nombre, más marketinero, que es el de búsqueda exhaustiva de llaves (exhaustive key search, no es la traducción justa, pero se acerca). Estos ataques se basan en algo muy simple: de manera automatizada se van probando cada determinado período de tiempo y en determinados lugares, distintas palabras hasta “adivinar” la contraseña.

Esto tiene origen en prácticas sociales. Hay una gran cantidad de contraseñas coincidentes en la vida de las personas. Por ejemplo, chupetin (sin acento), caramelo o amelie son contraseñas de las más utilizadas, además del famoso 123456, pero las coincidencias de passwords entre las personas son realmente muchas. Esto ha dado origen a colecciones de estas palabras, de estos passwords más comunes, que son utilizados para ataques de fuerza bruta que van combinando términos, alternando palabras, números y símbolos. El ataque, como te decía, es muy simple y se trata de un programa que va probando distintas contraseñas y combinando diccionarios hasta que logra dar con una contraseña correcta.

Cuando se trata de passwords cortos y simples, del estilo de “caramelo”, estos ataques dan resultados muy rápidamente, pero cuando se trata de contraseñas alfanuméricas (por ejemplo: c4r4M3l0! aunque en esta palabra sólo el “!” aporta seguridad) encontrar una contraseña correcta puede demandar miles de años.

Un ataque de fuerza bruta te puede ayudar, por ejemplo, a recuperar tu email en caso de que hayas olvidado la contraseña y no puedas restablecerla.

Cuando olvidamos la contraseña de nuestro email, del router o alguna cuenta, y no podemos restablecer la contraseña ni recuperarla, utilizar software de fuerza bruta puede hacernos más simple la vida. Tomamos un archivo de texto, escribimos allí todas las alternativas posibles, y el software se encarga de probarlas hasta recuperarla.

Existe una gran diversidad de software para ataques de fuerza bruta y depende de qué o quién sea nuestra víctima. Lo crucial en realidad son los diccionarios y los recursos del hardware conque vayas a realizar el ataque. Un buen diccionario puede llegar a tener más de 10gb sólo en archivos de texto plano (imaginate un archivo.txt de 10gb de tamaño), por lo que para procesarlo y ejecutar el programa con que estás atacando al mismo tiempo vas a necesitar bastante hardware.

Otras de las desventajas son el tiempo y el método

Un buen diccionario, como decía antes, es muy pesado y además muy caro. Esto es porque contiene millones de términos y mucho tiempo de desarrollo y mantenimiento. De ese tiempo, de su tamaño, y del mantenimiento depende nuestro éxito. Si tu diccionario no contiene la contraseña que estás tratando de encontrar, jamás vas a poder acceder.

Por otra parte, los ataques de fuerza bruta llevan realmente mucho tiempo, incluso años. Para que te des una idea, descifrar una clave de 256-bit puede llevarle a miles de años a 50 súper computadoras trabajando en simultáneo.

Como en todo, tu seguridad depende de vos. Una mala contraseña o una contraseña común se descifra muy fácilmente y con muy poco hardware.

¿Alguien te dijo que te haría un ataque de fuerza bruta? Poné una buena contraseña y preguntale que a cuánto la entrada.

¡Happy Hacking!

-Share this page-
submit to reddit Hire a Professional Programmer

Periodista, ex directora de algunos medios, ex docente, ex trabajadora, ex uberante. Productora musical, militante social, murguera, programadora, diseñadora. Hacker. @PabloLozano13

compartí, discutí, comentá

3 Comments to ¿Qué son los ataques de fuerza bruta?

Deja un comentario

Loading Facebook Comments ...