Un ataque de diccionario es un método para tratar de acceder a un sistema o a un dispositivo protegidos por contraseña que consiste en probar sistemáticamente combinaciones de palabras incluidas en diccionarios hasta dar con la contraseña correcta. Estos diccionarios consisten en ficheros que contienen listados de palabras, que pueden estar en distintos idiomas o tratarse por ejemplo de recopilaciones de las contraseñas más frecuentes.
Es una técnica basada en el hecho de que millones de usuarios utilizan las mismas contraseñas: insisten en usar palabras o secuencias ordinarias porque son fáciles de recordar y, en consecuencia, de adivinar. De hecho, una de las contraseñas más frecuentes en todo el mundo es “123456”.
Los ataques de diccionario rara vez tienen éxito contra los sistemas protegidos por frases de varias palabras, y no funcionan contra los sistemas que emplean combinaciones únicas y aleatorias de letras mayúsculas y minúsculas mezcladas con números y símbolos. En esos sistemas, sería necesario utilizar un ataque de fuerza bruta (en el que se prueban todas las combinaciones posibles de caracteres y espacios hasta una longitud máxima), dificultando mucho la obtención de la contraseña debido al tiempo necesario para descubrir la combinación.
La vulnerabilidad frente a este tipo de ataques puede reducirse limitando el número de intentos permitidos dentro de un periodo de tiempo determinado, y eligiendo contraseñas y claves robustas. Por ejemplo, si sólo se permiten tres intentos, tras lo cual debe transcurrir un período de 15 minutos antes de que se permitan los siguientes tres intentos, y si la contraseña o la clave es una mezcla larga y sin sentido de letras y números, un sistema puede ser inmune a los ataques de diccionario.
Los ataques a las contraseñas, en los que un ciberdelincuente intenta robar una o varias contraseñas, son una de las formas más habituales de compromiso de datos corporativos y personales. El objetivo de los atacantes suele ser acceder al correo electrónico, a cuentas de redes sociales o saltarse la seguridad de redes wifi.
Para proteger nuestras cuentas frente a estos ataques, ante todo conviene utilizar contraseñas robustas, fáciles de recordar pero difíciles de adivinar, diferentes para cada servicio que se utilice y cuantos más largas, mejor: con un mínimo de 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales. No deben tener una relación (más o menos fácil de deducir) con la vida personal del usuario, como fechas de cumpleaños, año de nacimiento o nombres de familiares o mascotas. También se recomienda activar el doble factor de autenticación y usar un gestor de contraseñas.
Una variedad del ataque de diccionario es la que utilizan a menudo los spammers: envían un correo electrónico a cada dirección de correo electrónico que consiste en una palabra del diccionario, seguida del símbolo de la arroba (@) y del nombre de un dominio concreto. Las listas de nombres propios (como ana, beatriz, luis o manuel) pueden producir resultados sorprendentes. Lo mismo ocurre con las letras individuales del alfabeto seguidas de los apellidos (como aperez, bmartin o cserrano).
