Seguridad Informática para Empresas – Servicios de Ciberseguridad

Ataque de Fuerza de Bruta y Ataque de Diccionario

14 cibercrímenes más comunes

Luis Antoraz // 02 de Enero de 2019

ataques informáticos

PARTE 8

Los 14 cibercrímenes más comunes

Desde R3 Cybersecurity te hablaremos de los cibercrímenes más recurrentes a las que las organizaciones y usuarios se enfrentan y cómo pueden prevenirlas. Para ello, hemos recopilado los 14 ciberataques más frecuentes y de los cuáles debes estar al tanto para poder prevenirlos. Estos estarán divididos en dos partes, cada una compuesta por 7 ciberdelitos.  Podrás ver la publicación de dicho contenido todas las semanas.

Ataque de fuerza de bruta

Ataque de Diccionario

Es el método para averiguar un usuario y/o contraseña probando todas las combinaciones posibles hasta dar con la correcta.

Esto quiere decir que se trata de un procedimiento costoso en lo que se refiere a tiempo empleado para conocer el dato, empeorando si incrementamos el número de caracteres que forman parte de la contraseña.

Es el método para averiguar un usuario y/o contraseña probando una gran cantidad de palabras contenidas en archivos de texto conocidos como diccionarios de claves.

Este tipo de ataque suele ser eficiente, y menos costoso que el de fuerza bruta, ya que mucha gente suele utilizar, como contraseñas, palabras de uso común y combinaciones de palabras fáciles de recordar.

¿Dónde vamos a encontrar un ataque de fuerza bruta o de diccionario?

En sistemas de autenticación.

¿POR QUÉ LO SIGUEN UTILIZANDO?

Este tipo de ataques se siguen utilizando por lo siguiente:

Los ataques por fuerza bruta son una de las técnicas más habituales de robo de contraseñas en Internet dado que no es necesario tener grandes conocimientos en seguridad informática para realizar uno y existen programas que realizan de forma automática todo el trabajo.

Además la selección poco acertada de contraseñas por parte de los usuarios ayuda a que los ciberdelincuentes aún puedan hacer uso de esta técnica.

El ataque de diccionario se realiza comprobando con combinaciones automáticas de tipo, por ejemplo:

Si no se conoce la contraseña, pero si el usuario, se crea el archivo correspondiente a esta y se comprueba el usuario conocido por cada palabra creada en el correspondiente archivo de contraseña.

 

Si no se conoce ninguna de las dos cosas, entonces se crean dos archivos uno de usuarios y otro de contraseñas; de tal forma que lo primero que hará es escoger el primer usuario y lo probará con todas las palabras o letras, si fuera el caso, hasta llegar la correcta y así, sucesivamente con cada uno de los usuarios.

Para hacer este proceso con mayor rapidez se utilizan unas herramientas que facilitan el proceso en cuestión; como el CRUNCH (para crear archivos de usuarios y password) e HYDRA (para realizar el ataque).

¿Cómo podemos protegernos

 de este tipo de ataques?

 

La mejor manera de protegerse contra ese tipo de ataque es emplear contraseñas fuertes.

Es recomendable implementar alguna (o varias) de las siguientes medidas para aumentar la seguridad de las contraseñas:

CON ESTAS MEDIDAS DE PROTECCIÓN:

Se aumenta la seguridad sin embargo debemos recordar que ningún sistema informático es invulnerable en relación a la seguridad por lo que acciones generales como rotar las claves, cambiar las claves periódicamente y nunca compartir la información de acceso a nuestras cuentas (ni por correo ni mensajes) ayudará a minimizar aún más las posibilidades de crackeo de nuestras claves.

También se suele optar por establecer un número máximo de tentativas, es decir, fijar un número de intentos de acceso permitidos y en caso de superar ese valor, se procede a bloquear la cuenta del usuario que está intentando acceder. Aunque, la verdad, no es una práctica recomendada, puesto que al bloquear una cuenta se genera una denegación de servicios.

En esta solución se tendrá en cuenta una nueva opción; bloquear por periodos cortos de tiempo o aumentar el intervalo de tiempo entre intentos de acceso, así, se evita que se pueda automatizar el intento de login y en consecuencia, bloquea un posible ataque de fuerza bruta.

Se aumenta la seguridad sin embargo debemos recordar que ningún sistema informático es invulnerable en relación a la seguridad por lo que acciones generales como rotar las claves, cambiar las claves periódicamente y nunca compartir la información de acceso a nuestras cuentas (ni por correo ni mensajes) ayudará a minimizar aún más las posibilidades de crackeo de nuestras claves.

También se suele optar por establecer un número máximo de tentativas, es decir, fijar un número de intentos de acceso permitidos y en caso de superar ese valor, se procede a bloquear la cuenta del usuario que está intentando acceder. Aunque, la verdad, no es una práctica recomendada, puesto que al bloquear una cuenta se genera una denegación de servicios.

 

En esta solución se tendrá en cuenta una nueva opción; bloquear por periodos cortos de tiempo o aumentar el intervalo de tiempo entre intentos de acceso, así, se evita que se pueda automatizar el intento de login y en consecuencia, bloquea un posible ataque de fuerza bruta.

MEDIDAS DE PROTECCIÓN

BLOQUEOS:
Existen varios tipos, pero por lo general se trata de una medida de seguridad que bloquearía temporalmente una cuenta o una IP después de haber introducido varias contraseñas erróneas.

CAPTCHAS
Debido a la popularidad de estos ataques podemos encontrarnos en multitud de sitios web los llamados “captchas” que lo que intentan es detectar si la personas que está intentando acceder al servicio es humana es un software informático tratando de reventar una contraseña. los captchas son esas pestañas obligatorias con una imagen y un texto que por lo general cuesta leerlo hasta para un ser humano, y del que tenemos que reproducir en escritura lo que trae escrito.

Verificación en dos pasos

Tal y como su propio nombre indica, se trata de un inicio de sesión en dos pasos. El primero de ellos implica la verificación de las credenciales de acceso. Si son correctas, se pasa a un segundo paso. O lo que es lo mismo, el usuario recibirá un código que deberá introducir para completar el proceso. Este se envía tanto a número de telefonía móvil o direcciones de correo electrónico facilitados por el usuario.

 

Esto no evita que el ciberdelincuente aplique la fuerza bruta y consiga la contraseña, pero no tiene acceso al segundo elemento que permite el inicio de sesión en la cuenta del servicio.

 

Luis Antoraz  |  Prácticante de Ciberseguridad en R3 CyberSecurity

Comparte el post con tus amigos

CON LA CONFIANZA DE

logos2

ÚNETE AL EQUIPO

Conoce todas las oportunidades profesionales que te permitirán alcanzar tus metas personales.

R3 Ciberseguridad

© R3 CyberSecurity