Hace unos días hemos hablado sobre los ataques MitM. Se trata de un tipo de ataque mucho más complejo, sobre todo si tenemos en cuenta el que nos ocupa en este artículo. Vamos a explicar en qué consiste el ataque de fuerza bruta (en inglés Brute Force) y cómo nos podemos proteger.

A nivel técnico, tal vez sea el tipo de ataque más básico. No requiere de ningún tipo de automatismo software ni lógica. Es decir, simplemente el atacante prueba combinaciones hasta encontrar con la cadena de texto buscada.

Cuentas de redes sociales, correos electrónicos, servicios de banca en línea, dispositivos móviles, servicios FTP o SSH, y así hasta completar un largo listado de servicios, dispositivos o situaciones en los que se puede aplicar este tipo de ataque.

Los ciberdelincuentes lo utilizan como primer recurso, y es algo que aún continúa funcionando. El motivo no es otro que la sencillez de las contraseñas que utilizan los usuarios para proteger las cuentas o servicios. De ahí que expertos en seguridad siempre recomienden utilizar contraseñas basadas en datos que puedan resultar triviales de cara a los ciberdelincuentes.

Ataque de fuerza bruta y probabilidad

La utilización de este tipo de ataque está ligado directamente a la probabilidad. En este caso, el espacio muestral de claves posibles que se podrían probar está definido por 10^n-1, donde n  es el número de caracteres que componen la contraseña que se está intentando averiguar.

Esto quiere decir que se trata de un procedimiento costoso en lo que se refiere a tiempo empleado para conocer el dato, empeorando si incrementamos el número de caracteres que forman parte de la contraseña

¿Por qué lo siguen utilizando?

Obviamente se trata del tipo de ataque más básico. Sus resultados no son excesivamente buenos. Sin embargo, la selección poco acertada de contraseñas por parte de los usuarios ayuda a que los ciberdelincuentes aún puedan hacer uso de esta técnica.

Cómo puedo protegerme de este tipo de ataque

La primera respuesta tiene como protagonista las contraseñas. La utilización de contraseñas más complejas y con un número de caracteres superior a 10 pondremos las cosas realmente complicadas.

Si nos encontramos ante servicios SSH, FTP o similares, además de utilizar una contraseña adecuada, debemos limitar el número de intentos fallidos para una determinada IP. De lo contrario, aunque necesiten emplear mucho tiempo, acabarán obteniendo la contraseña de acceso.

La verificación en dos pasos, una pieza importante

Aunque muchos usuarios hayan rechazado su activación en las cuentas de los servicios de Internet, se trata de un gran aliado.

Tal y como su propio nombre indica, se trata de un inicio de sesión en dos pasos. El primero de ellos implica la verificación de las credenciales de acceso. Si son correctas, se pasa a un segundo paso. O lo que es lo mismo, el usuario recibirá un código que deberá introducir para completar el proceso. Este se envía tanto a número de telefonía móvil o direcciones de correo electrónico facilitados por el usuario.

Sí, es cierto que esto no evita que el ciberdelincuente aplique la fuerza bruta y consiga la contraseña, pero no tiene acceso al segundo elemento que permite el inicio de sesión en la cuenta del servicio.