Qué son los ataques de fuerza bruta y cómo evitarlos

1020 690 Prestigia

Este tipo de ataques, bastante usuales, se conocen también como ataques de login o descifrado de contraseñas. Los ataques de fuerza bruta suelen llevarse a cabo con el fin de obtener las credenciales de usuario y permitir el acceso a los sitios web, ya bien sea para el para el robo de información sensible, la alteración del contenido web o la distribución de campañas de phishing o malware. Igualmente, aunque no logren penetrar en el sitio web, los ataques de fuerza bruta pueden saturar los servidores con tráfico dado el alto número de peticiones, lo que podría dar lugar a importantes problemas de consumo de CPU y rendimiento para la web que sufre el ataque.

Cuentas de  correo, redes sociales, banca en línea, servicios de gestión como pueden ser FTP o SSH… podríamos enumerar cientos de servicios susceptibles a sufrir este tipo de ataques.

Los cibercriminales lo utilizan como primeros pasos para realizar el hackeo del sitio, y esta técnica aún continúa funcionando. No existe otro motivo que la simplicidad de las contraseñas que utilizan los usuarios para proteger sus servicios o cuentas. Ante esto, uno de los siguientes pasos podría ser parte de una botnet, tras lograr ingresar en el sitio.

A continuación, comentamos como ejecutarían los cibercriminales estos ataques, principalmente tendríamos:

  • Ataques a formularios acceso: Por una parte, encontramos los ataques de diccionario, es decir, listas de palabras. Su funcionamiento es sencillo, consiste en probar todas las palabras del listado con el fin de intentar ver si son válidas. Aunque pueda parecer que llevaría bastante tiempo, realmente en muchas ocasiones, debido a la facilidad de contraseñas de los usuarios, es cuestión de minutos obtener acceso a las aplicaciones o servicios.
  • Ataques de contraseñas: Por otra parte, encontramos los ataques a contraseñas cifradas. Partimos de un hash obtenido de base de datos por ejemplo o de un sistema comprometido, es decir, una contraseña cifrada. Sin embargo, en este caso no realizaremos peticiones a un sitio web, sino que utilizaremos software con un diccionario de palabras igualmente, para intentar descifrar la contraseña. A este tipo de diccionarios se les llaman Tablas Arcoiris (Rainbow Tables), donde probaremos igualmente combinaciones de forma “offline” hasta obtener el par hash/contraseña.

Conociendo los posibles ataques, vamos a ver posibles mitigaciones para este tipo de ataques.

Mitigar ataques de fuerza bruta con CAPTCHA

Los captchas son controles de seguridad, obligatorios, con una imagen o un texto que necesita interactuación para resolverlo. Al tener múltiples combinaciones, esta es la gran ventaja que tenemos para que un ataque automático no tenga efecto. Este tipo de sistemas evitan con una gran efectividad este tipo de ataques. El método más efectivo, que aúna las ventajas en seguridad contra ataques por fuerza bruta y no molesta a los usuarios, sería implementarlo de forma que solo fuera obligatorio a partir de un número determinado de fallos.

CAPTCHA seguridad ataques de fuerza bruta

Mitigar ataques con doble autenticación

Este servicio es ofrecido por muchos proveedores como servicio adicional de seguridad. Con esta opción se aumenta el nivel de seguridad  contra un ataque de fuerza bruta, ya que el mecanismo para que se autentique el usuario tiene elementos adicionales tal como responder a una pregunta secreta, un numero PIN o un mensaje de texto. Este mecanismo adicional, previene que sea un ataque de fuerza bruta, quien intenta acceder.

autenticación doble factor ataques de fuerza bruta

Mitigar ataques de fuerza bruta en WordPress

Para evitar que con este tipo de ataques accedan a vuestro WordPress, como ya comentamos en el post cómo pueden infectar nuestro WordPress, os comentamos los siguientes consejos.

Es posible realizar el cambio de nombre de usuario. Esto se podría realizar mismamente con usando plugins como iThemes Security. De igual forma, también sería posible realizar el cambio manualmente directamente en base de datos utilizando phpMyAdmin por ejemplo.

Además, usando el plugin iThemes Security o por ejemplo Wordfence Security, será posible limitar los intentos de acceso y ocultar el nombre de usuario utilizado en el campo alias de las preferencias de usuario. Por último, si solo se necesita limitar los intentos de acceso, también es posible usar el plugin Limit Login Attempts.

Por último, desde Prestigia Seguridad, nuestro equipo realiza auditorias de seguridad que contemplan este tipo de pruebas con el fin de mejorar la seguridad de tu sitio web.

Dejar una Respuesta

Tu dirección de correo electrónico no será publicada.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.