Ataques de fuerza bruta, de diccionario y de tablas arcoíris
Las contraseñas rara vez se valoran hasta que ocurre una brecha de seguridad; basta con decir que la importancia de una contraseña segura se vuelve clara solo cuando nos enfrentamos a las consecuencias de una débil.
Sin embargo, la mayoría de los usuarios finales desconocen lo vulnerables que son sus contraseñas a los métodos más comunes de descifrado de contraseñas. A continuación, se presentan las tres técnicas comunes para descifrar contraseñas y cómo defenderse de ellas.
Ataque de fuerza bruta
Los ataques de fuerza bruta son técnicas sencillas pero muy eficaces para descifrar contraseñas. En estos ataques, actores maliciosos utilizan herramientas automatizadas para probar sistemáticamente todas las combinaciones de contraseñas posibles mediante repetidos intentos de inicio de sesión. Si bien estas herramientas existen desde hace años, la llegada de capacidades informáticas y de almacenamiento asequibles las ha vuelto aún más eficientes en la actualidad, especialmente cuando se utilizan contraseñas débiles.
Cómo funciona
Cuando se trata de ataques de fuerza bruta, los actores maliciosos emplean una variedad de tácticas, desde simples ataques de fuerza bruta que prueban todas las combinaciones de contraseñas posibles hasta enfoques más matizados como ataques de fuerza bruta híbridos e inversos. Cada método tiene detrás una estrategia distinta, pero los motivos detrás de los ataques de fuerza bruta son los mismos: obtener acceso no autorizado a datos o recursos protegidos.
Algunas populares herramientas automatizadas para llevar a cabo ataques de fuerza bruta incluyen:
• John the Ripper: un descifrador de contraseñas multiplataforma compatible con 15 sistemas operativos diferentes y cientos de hashes y tipos de cifrado
• L0phtCrack: una herramienta que utiliza tablas de arco iris, diccionarios y algoritmos multiprocesador para descifrar contraseñas de Windows
• Hashcat: una utilidad de recuperación de contraseñas y descifrado de contraseñas que admite cinco modos de ataque únicos para más de 300 algoritmos de hash altamente optimizados
Ejemplos
En agosto de 2018, el operador móvil estadounidense T-Mobile fue víctima de una robo de datos que comenzó con un ataque de fuerza bruta. La vulnerabilidad de seguridad dio como resultado la exposición de más de 37 millones de registros de clientes que contenían datos confidenciales como números de seguridad social, información de licencias de conducir y otros datos de identificación personal.
Medidas de defensa
Los usuarios deben elegir contraseñas seguras y complejas y autenticación multifactor (MFA) para protegerse contra ataques de fuerza bruta. Los administradores deben implementar políticas de bloqueo de cuentas y auditar continuamente sus entornos de Windows para detectar contraseñas débiles o violadas. Herramientas como Specops Password Auditor pueden automatizar estos procesos en extensos entornos de TI.
Ataque de diccionario
En un ataque de diccionario de contraseñas, los atacantes cibernéticos intentan obtener acceso mediante una lista de contraseñas comunes o palabras de un diccionario. Esta lista de palabras predefinidas generalmente incluye las palabras, frases y combinaciones simples más utilizadas (por ejemplo, "admin123"). Los ataques de diccionario de contraseñas subrayan la importancia de las contraseñas complejas y únicas, ya que estos tipos de ataques son especialmente eficaces contra contraseñas débiles o fáciles de adivinar.
Cómo funciona
El proceso comienza con la compilación de una lista de posibles contraseñas provenientes de filtraciones de datos, listas de contraseñas comunes o recursos disponibles públicamente. Mediante una herramienta automatizada, los actores maliciosos realizan un ataque de diccionario y prueban sistemáticamente cada contraseña en una cuenta o sistema objetivo. Si se encuentra una coincidencia, el hacker puede obtener acceso y llevar a cabo ataques o movimientos posteriores.
Ejemplos
Los actores maliciosos utilizaron diccionarios de contraseñas para descifrar contraseñas cifradas en varios incidentes de seguridad de alto perfil, como la filtración de datos de Yahoo en 2013 y la filtración de datos de LinkedIn en 2012. Esto les permitió robar la información de las cuentas de miles de millones de usuarios.
Medidas de defensa
Al crear o restablecer contraseñas, los usuarios deben utilizar una combinación de letras, números y caracteres especiales y evitar utilizar palabras comunes o frases fácilmente adivinables. Los administradores pueden implementar en sus políticas requisitos de complejidad de contraseñas para hacer cumplir estos mandatos en toda la organización.
Ataques de tabla arcoíris
Un ataque de tabla arco iris utiliza una tabla especial (es decir, una "tabla arco iris o Rainbow") compuesta por cadenas precalculadas o contraseñas de uso común y los hashes correspondientes para descifrar los hashes de contraseñas en una base de datos.
Cómo funciona
Los ataques de tabla arco iris funcionan explotando cadenas de operaciones de hash y reducción para descifrar contraseñas en hash de manera eficiente. Las potenciales contraseñas primero se codifican y almacenan junto con sus contrapartes de texto simple en la tabla arco iris, luego se procesan con una función de reducción que las asigna a nuevos valores, lo que da como resultado una cadena de hashes. Este proceso se repite varias veces para crear la tabla arcoíris. Cuando los piratas informáticos obtienen una lista de hash, pueden realizar en la tabla arcoíris una búsqueda inversa de cada valor de hash; una vez que se identifica una coincidencia, se expone la contraseña de texto simple correspondiente.
Ejemplos
Si bien el salado (salting en inglés, un método para agregar caracteres aleatorios a las contraseñas antes del hash) ha reducido la efectividad de los ataques de tabla arco iris, muchos hashes permanecen sin salado; además, los avances en GPU y hardware asequible han eliminado las limitaciones de almacenamiento que alguna vez se asociaron con las tablas arco iris. Como resultado, estos ataques siguen siendo una táctica probable en actuales y futuros ciberataques de alto perfil.
Medidas de defensa
Como se mencionó anteriormente, los hashes salados han reducido significativamente la efectividad de las tablas precalculadas; por lo tanto, las organizaciones deberían implementar algoritmos de hash fuertes (por ejemplo, bcrypt, scrypt) en sus procesos de contraseñas. Los administradores también deben actualizar y rotar periódicamente las contraseñas para reducir la probabilidad de coincidencias o aciertos en el diccionario de la tabla arco iris.
En resumen, las contraseñas no son perfectas, pero las frases de contraseña complejas y suficientemente largas siguen siendo una primera línea de defensa vital contra las técnicas avanzadas de descifrado de contraseñas.
