What is a brute force attack?

Los ataques por fuerza bruta descifran datos al intentar todas las combinaciones posibles, como un ladrón que abre una caja fuerte al intentar todos los números de la combinación.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Diferenciar los ataques por fuerza bruta de los ataques más sofisticados
  • Definir las fortalezas y las debilidades de los ataques por fuerza bruta
  • Explicar las mejores maneras de protegerse contra los ataques por fuerza bruta

Copiar el enlace del artículo

¿Qué es un ataque por fuerza bruta?

Un ataque por fuerza bruta es un método de prueba y error que se utiliza para decodificar datos confidenciales. Las aplicaciones más frecuentes de los ataques por fuerza bruta son descifrar contraseñas y claves de encripción (siga leyendo para obtener más información sobre las claves de encripción). Otros objetivos comunes de los ataques por fuerza bruta son las claves API y los inicios de sesión SSH. Los ataques de las contraseñas por fuerza bruta se suelen hacer mediante scripts o bots que se dirigen a la página de inicio de sesión de un sitio web.

Lo que diferencia los ataques por fuerza bruta de otros métodos de craqueo es que los ataques por fuerza bruta no emplean una estrategia intelectual; simplemente, intentan usar diferentes combinaciones de caracteres hasta encontrar la combinación correcta. Esto es algo así como un ladrón que intenta abrir una caja fuerte con combinación intentando todas las combinaciones posibles de números hasta que la caja fuerte se abre.

¿Cuáles son las fortalezas y debilidades de los ataques por fuerza bruta?

Las mayores ventajas de los ataques por fuerza bruta es que son relativamente simples de realizar y, con el tiempo suficiente y la falta de una estrategia de mitigación del objetivo, siempre funcionan. Todos los sistemas basados en contraseña y las clave de encripción pueden ser descifrados mediante un ataque por fuerza bruta. De hecho, el tiempo que lleva el ataque por fuerza bruta en entrar a un sistema es una medida útil para medir el nivel de seguridad de ese sistema.

Por otro lado, los ataques por fuerza bruta son muy lentos, ya que pueden tener que atravesar todas las combinaciones posibles de caracteres antes de lograr su objetivo. Esta lentitud se agrava a medida que aumenta el número de caracteres en la cadena objetivo (una cadena es solo una combinación de caracteres). Por ejemplo, una contraseña de cuatro caracteres le lleva mucho más a un ataque por fuerza bruta que una contraseña de tres caracteres, y una contraseña de cinco caracteres le lleva mucho más tiempo que una contraseña de cuatro caracteres. Una vez que el recuento de caracteres supera un cierto punto, el ataque por fuerza bruta para forzar una contraseña aleatorizada de forma correcta se vuelve poco realista.

Tiempo de descifrado de los ataques for fuerza bruta

If the target string is sufficiently long, then it could take a brute force attacker days, months, or even years to decode a properly randomized password. As a result of the current trend of requiring longer passwords and encryption keys, brute force attacks are quite a bit more difficult. When good passwords and encryption are utilized, attackers typically try other methods of code breaking such as social engineering or on-path attacks.

Cómo protegerse contra los ataques por fuerza bruta

Los desarrolladores que administran sistemas de autorización pueden tomar medidas, como el bloqueo de direcciones IP que han generado demasiados inicios de sesión fallidos y la incorporación de un retraso en el software de verificación de contraseña. Una demora de incluso unos pocos segundos puede afectar enormemente la efectividad de un ataque por fuerza bruta.

Users of web services can decrease their vulnerability to brute force attacks by choosing longer, more complex passwords. It is also recommended to enable two-factor authentication and use unique passwords for each service. If an attacker is able to brute force a user’s password for one service, that attacker may try recycling the same login and password on many other popular services. This is known as credential stuffing.

Users should also avoid entering passwords or personal information such as credit card numbers or banking information with any web service that doesn’t protect their data with strong encryption keys.

¿Qué es una clave de encripción?

Las claves de encripción son cadenas aleatorias de bits generados para codificar y descifrar los datos. Una vez que los datos se han codificado, aparecen como una cadena de caracteres aleatorios mezclados hasta que se descifran con la clave de encripción correcta. Al igual que las contraseñas, las claves de encripción se pueden descifrar mediante ataques por fuerza bruta, pero hoy en día hay claves de encripción en uso que tomarían tanto tiempo descifrar usando computadoras modernas que se consideran indescifrables.

¿Cuál es la diferencia entre la encripción de 128 bits y la encripción de 256 bits?

Una clave de encripción más larga es exponencialmente más segura que una más corta. Por ejemplo, en una clave de encripción de 128 bits, hay 2128 combinaciones posibles que un atacante por fuerza bruta tendría que intentar. Para la encripción de 256 bits, un atacante tendría que probar 2256 combinaciones diferentes, lo que requeriría 2128 veces más potencia de cálculo para descifrar que una clave de 128 bits. (2128 = 340,282,366,920,938,463,463,374,607,431,768,211,456 combinaciones posibles).

Para darle una idea de lo que significan estos números, una computadora poderosa que podría verificar billones de combinaciones por segundo, aún requeriría mucho más de un sexdecillón de años para descifrar una clave de encripción de 256 bits (un sexdecillón es uno seguido de 96 ceros).

Dado que las claves de encripción de muchos bit son prácticamente inmunes a los ataques por fuerza bruta actuales, se recomienda que todos los servicios web que recopilan información del usuario encripten sus datos y comunicaciones utilizando claves de encripción de 256 bits. Cloudflare usa la mejor encripción TLS para evitar los ataques por fuerza bruta y trabaja para la protección futura contra la computación cuántica.