Es una técnica de ataque que consiste en probar todas las combinaciones posibles hasta encontrar la combinación correcta y averiguar una contraseña o nombre de usuario para acceder a una cuenta o sistema. Los atacantes aplican el método de prueba y error, por lo que tienen más éxito a la hora de averiguar contraseñas débiles. En el caso de una contraseña compleja y robusta, podrían tardar miles de años en dar con la combinación correcta. Por este motivo, y a fin de maximizar su eficacia, el ataque de fuerza bruta suele combinarse con un ataque de diccionario.
Existen varios tipos de ataque de fuerza bruta:
- Un ataque de fuerza bruta simple no requiere muchos conocimientos técnicos. Se trata de combinar letras y caracteres hasta descubrir la contraseña.
- Un ataque de diccionario consiste en probar sistemáticamente muchas palabras incluidas en diccionarios de distintos idiomas, así como las contraseñas más usadas, hasta dar con la correcta. Se centra en descifrar contraseñas más complejas con el apoyo de diccionarios digitales o listas de palabras. Usar una palabra complicada, o bien una frase con algunos caracteres intercambiados por números, puede protegernos frente a estos ataques, ya que descifrarla requeriría demasiado tiempo.
- Un ataque híbrido de fuerza bruta combina ataques simples y ataques de diccionario. Las contraseñas habituales se mezclan con palabras del diccionario y con caracteres aleatorios para crear una base de datos de combinaciones de contraseñas más amplia. Una contraseña como “m1p4zzw0rd” puede esquivar un ataque de diccionario, pero resulta débil frente a un ataque híbrido.
- El ataque de fuerza bruta inverso aplica la misma estrategia que las modalidades anteriores, pero al revés: empieza con una contraseña conocida (elegida, por ejemplo, entre las contraseñas filtradas que están disponibles en internet) y busca entre millones de usuarios hasta que encuentra una coincidencia: un usuario que tenga esa contraseña.
- En el ataque mediante el relleno de credenciales, el ciberdelincuente obtiene el nombre de usuario y contraseña para acceder a un sitio, e intenta iniciar sesión en otros sitios con las mismas credenciales o similares. En vez de atacar por fuerza bruta la contraseña o el nombre de usuario, ataca los lugares o servicios donde podrían usarse esas mismas credenciales. Por este motivo no debemos usar nunca las mismas contraseñas para distintos sitios.
Aunque mediante un ataque de fuerza bruta se puede lograr el acceso a una cuenta, puede tardar varias horas, días, meses e incluso años en ejecutarse. El tiempo necesario para completar un ataque de este tipo depende de la solidez de la contraseña, el tipo de cifrado, la potencia del ordenador atacante y el conocimiento del sistema objetivo.
Para evitar ser víctimas de este tipo de ataques, ante todo conviene usar contraseñas robustas, fáciles de recordar, pero difíciles de adivinar, diferentes para cada servicio que se utilice y cuanto más largas, mejor: con un mínimo de 12 caracteres y que combinen mayúsculas, minúsculas, números y caracteres especiales. No deben tener una relación (más o menos fácil de deducir) con la vida personal del usuario, como fechas de cumpleaños, año de nacimiento o nombres de familiares o mascotas. También se recomienda activar el doble factor de autenticación en todos los servicios online que lo permitan, y usar un gestor de contraseñas.
