¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un tipo de ciberataque en el que los hackers intentan obtener acceso no autorizado a una cuenta o datos cifrados a través de prueba y error, intentando varias credenciales de inicio de sesión o claves de cifrado hasta encontrar la contraseña correcta. Los ataques de fuerza bruta a menudo se dirigen a sistemas de autenticación como páginas de inicio de sesión de sitios web, servidores de shell seguro (SSH) o archivos protegidos con contraseña. 
 

A diferencia de otros ciberataques, que aprovechan las vulnerabilidades del software, los ataques de fuerza bruta aprovechan la potencia informática y la automatización para adivinar contraseñas o claves. Los intentos básicos de fuerza bruta utilizan scripts automatizados o bots para probar miles de combinaciones de contraseñas por minuto, como un ladrón que prueba todas las combinaciones posibles en un candado hasta que se abre.

Las contraseñas débiles o simples hacen que el trabajo sea más fácil, mientras que las fuertes pueden hacer que este tipo de ataque requiera mucho tiempo o sea poco práctico. Sin embargo, constantemente se desarrollan técnicas de fuerza bruta más avanzadas.

Para ilustrar la velocidad y la escala de las crecientes ciberamenazas actuales, considere que Microsoft bloquea un promedio de 4000 ataques de identidad por segundo. Sin embargo, los atacantes seguirán superando los límites. Los equipos especializados en descifrado de contraseñas pueden lograr aproximadamente 7,25 billones de intentos de contraseña en ese mismo segundo.

Y ahora, con el surgimiento de la computación cuántica y la necesidad de criptografía poscuántica, los ataques de fuerza bruta ya no están limitados por el hardware actual. Los métodos criptográficos modernos de autenticación, como el cifrado RSA, se basan en la dificultad computacional de factorizar números grandes en números primos.

Factorizar algo más allá de 2048 bits llevaría miles de millones de años con la potencia informática actual. Sin embargo, un ordenador cuántico suficientemente avanzado con unos 20 millones de qubits podría descifrar una clave RSA de 2048 bits en cuestión de horas.

Los ataques de fuerza bruta son una grave amenaza para la ciberseguridad porque se dirigen al eslabón más débil de las defensas de seguridad: las contraseñas elegidas por humanos y las cuentas mal protegidas.

Un ataque de fuerza bruta exitoso puede generar un acceso no autorizado inmediato, lo que permite a los atacantes hacerse pasar por el usuario, robar datos confidenciales o infiltrarse aún más en una red. Además, a diferencia de los hackeos más complejos, los ataques de fuerza bruta requieren relativamente poca habilidad técnica, solo persistencia y recursos.

Uno de los principales riesgos de un ataque de fuerza bruta es que una sola cuenta comprometida puede tener un efecto en cascada. Por ejemplo, si los ciberdelincuentes fuerzan el acceso a las credenciales de un administrador, pueden usarlas para comprometer otras cuentas de usuario.

Incluso una cuenta de usuario normal, una vez accedida, podría revelar información de identificación personal o servir como trampolín para un acceso más privilegiado. Muchas vulneraciones de datos e incidentes de ransomware comienzan con atacantes que utilizan la fuerza bruta para descifrar cuentas de acceso remoto, como el protocolo de escritorio remoto (RDP) o los inicios de sesión de VPN. Una vez dentro, los atacantes pueden implementar malware, ransomware o simplemente bloquear el sistema.

Los ataques de fuerza bruta también son un problema de seguridad de la red , ya que el volumen de intentos de asalto puede ser ruidoso. El ruido significativo de la red puede abrumar los sistemas de autenticación o actuar como una cortina de humo para ciberataques más silenciosos. 

Recientemente, los investigadores observaron una campaña global de fuerza bruta que aprovechaba casi tres millones de direcciones IP únicas para atacar VPN y firewalls, lo que pone de relieve cuán masivos y distribuidos pueden llegar a ser estos ataques. 

Normalmente, una avalancha de intentos fallidos de contraseña de usuario alertaría a los defensores, pero los atacantes tienen formas de enmascarar su actividad. Mediante el uso de bots o botnets (una red de ordenadores comprometidos), los atacantes pueden distribuir los intentos entre varias fuentes, como las cuentas de redes sociales. Esto hace que los intentos de inicio de sesión maliciosos se mezclen con el comportamiento normal del usuario. 

Además de su propia gravedad, es importante tener en cuenta que los ataques de fuerza bruta suelen ir de la mano de otras tácticas. Por ejemplo, un atacante podría utilizar el phishing para obtener las credenciales de una cuenta y la fuerza bruta para otra. O podrían utilizar los resultados de un ataque de fuerza bruta (contraseñas robadas) para realizar estafas de phishing o fraudes en otros lugares.

Para entender cómo funcionan los ataques de fuerza bruta, tenga en cuenta la enorme cantidad de posibles contraseñas que un atacante puede necesitar probar. Los ataques de fuerza bruta se basan en generar y comprobar las credenciales a gran velocidad. El atacante puede empezar con conjeturas obvias (como "contraseña" o "123456") y, después, pasar a generar sistemáticamente todas las combinaciones posibles de caracteres hasta que descubra la contraseña correcta.

Los atacantes modernos aprovechan una potencia informática significativa, desde unidades de procesamiento informático (CPU) multinúcleo hasta clústeres de cloud computing, para acelerar este proceso.

Por ejemplo, una contraseña de seis caracteres que utiliza solo letras minúsculas  tiene 26^6 contraseñas posibles. Es decir, aproximadamente 308 millones de combinaciones. Con el hardware actual, ese número de conjeturas se puede hacer casi al instante, lo que significa que una contraseña débil de seis letras podría descifrarse de inmediato.

Por el contrario, una contraseña más larga con mayúsculas y minúsculas, números y caracteres especiales ofrece exponencialmente más posibilidades, lo que aumenta considerablemente la cantidad de tiempo y esfuerzo necesarios para adivinarla correctamente. 

Las contraseñas no son lo único en riesgo: los métodos de fuerza bruta también pueden descifrar archivos o descubrir claves de cifrado buscando exhaustivamente todo el espectro de claves posibles (también conocido como "espacio de claves"). La viabilidad de este tipo de ataques depende de la longitud de la clave y de la potencia del algoritmo. Por ejemplo, una clave de cifrado de 128 bits tiene un número astronómicamente grande de posibilidades, lo que hace que la fuerza bruta sea prácticamente imposible con la tecnología actual.

En la práctica, los ataques de fuerza bruta a menudo tienen éxito no descifrando cifrados indescifrables, sino explotando factores humanos: adivinar contraseñas comunes, asumir la reutilización de contraseñas o atacar sistemas sin mecanismo de bloqueo.

Las técnicas de fuerza bruta se pueden aplicar en dos contextos: ataques en línea (intentos en tiempo real contra sistemas activos) y ataques fuera de línea (utilizando datos robados, como contraseñas hash, códigos cortos y fijos generados a partir de contraseñas que son casi imposibles de revertir). 

En los ataques en línea, el hacker interactúa con un sistema objetivo, como el inicio de sesión de una aplicación web o un servicio SSH, y prueba las contraseñas en tiempo real. La velocidad de ataque está limitada por los retrasos de la red y los mecanismos de defensa.

Por ejemplo, la limitación de velocidad restringe el número de intentos en un tiempo determinado, y los CAPTCHA son métodos de autenticación que distinguen a los humanos de los bots. Los atacantes a menudo distribuyen sus intentos en línea a través de múltiples direcciones IP o utilizan una red de bots para evitar activar los bloqueos basados en IP.

En los ataques fuera de línea, el atacante ya obtuvo los datos cifrados o los hashes de contraseñas (por ejemplo, de una vulneración de datos) y puede usar sus propias máquinas para intentar millones o miles de millones de conjeturas por segundo sin alertar al objetivo. Existen herramientas especializadas para descifrar contraseñas, generalmente de código abierto,para facilitar estas estrategias de fuerza bruta. 

Por ejemplo, John the Ripper, Hashcat y Aircrack-ng son herramientas populares que automatizan el descifrado de contraseñas por fuerza bruta. Estas herramientas utilizan algoritmos para gestionar la avalancha de conjeturas y unidades de procesamiento gráfico (GPU) para cifrar y comparar contraseñas a velocidades increíbles.

Los ataques de fuerza bruta se presentan de varias formas, cada una de las cuales utiliza diferentes estrategias para adivinar o reutilizar las credenciales para obtener acceso no autorizado.

Este enfoque prueba todas las contraseñas posibles recorriendo de forma incremental cada combinación de caracteres permitidos. Un ataque de fuerza bruta simple (también llamado búsqueda exhaustiva) no utiliza ningún conocimiento previo sobre la contraseña; intentará sistemáticamente contraseñas como "aaaa...", "aaab...", etc. hasta "zzzz...", incluidos dígitos o símbolos según el conjunto de caracteres.

Con el tiempo suficiente, un ataque de fuerza bruta simple acabará por encontrar las credenciales correctas mediante ensayo y error. Sin embargo, puede llevar mucho tiempo si la contraseña es larga o compleja.

En lugar de iterar a ciegas por todas las combinaciones posibles de contraseñas, un ataque de diccionario prueba una lista curada de contraseñas probables (un "diccionario" de términos) para acelerar la adivinación. 

Los atacantes recopilan listas de palabras, frases y contraseñas comunes (como "admin", "letmein" o "password123"). Dado que muchos usuarios eligen contraseñas débiles, sencillas o basadas en palabras que suelen encontrarse en un diccionario, este método puede dar resultados rápidos.

Un ataque híbrido combina el enfoque de ataque de diccionario con métodos simples de fuerza bruta. Los atacantes comienzan con una lista de palabras base probables y luego aplican modificaciones de fuerza bruta a su alrededor. Por ejemplo, la palabra "primavera" podría probarse como "¡Primavera2025!" añadiendo letras mayúsculas, números o símbolos para satisfacer los requisitos de complejidad.

El relleno de credenciales es una variante especializada de los ataques de fuerza bruta en la que el atacante utiliza credenciales de inicio de sesión (pares de nombre de usuario y contraseña) robadas de una vulneración y las prueba en otros sitios web y servicios. En lugar de adivinar nuevas contraseñas, el atacante introduce contraseñas conocidas en múltiples formularios de inicio de sesión, apostando por el hecho de que muchas personas utilizan las mismas credenciales en diferentes cuentas.

Un ataque de tabla arcoíris es una técnica de descifrado de contraseñas fuera de línea que intercambia tiempo de cálculo por memoria mediante el uso de tablas de hashes precalculadas. En lugar de cifrar las contraseñas adivinadas sobre la marcha, los atacantes utilizan una "tabla arcoíris", una tabla de búsqueda gigante de valores hash para muchas contraseñas posibles, para hacer coincidir rápidamente un hash con su contraseña original. 

En un ataque de fuerza bruta inverso, el hacker da la vuelta al método de ataque habitual. En lugar de probar muchas contraseñas con un usuario, prueban una contraseña (o un conjunto pequeño) con muchas cuentas de usuario diferentes.

La pulverización de contraseñas es una versión más sigilosa de la técnica de fuerza bruta inversa. Los atacantes utilizan una pequeña lista de contraseñas comunes (como "¡Verano2025!") a través de varias cuentas. Esto les permite dirigirse a varios usuarios sin activar protecciones de bloqueo en una sola cuenta. 

Las organizaciones pueden implementar múltiples medidas de seguridad para protegerse contra los intentos de fuerza bruta. Las prácticas clave incluyen:

Cada barrera adicional, ya sea una regla de bloqueo o un cifrado, puede ayudar a disuadir la infiltración de fuerza bruta. Al adoptar un enfoque por capas que aborde tanto los factores humanos como los técnicos, las organizaciones pueden protegerse mejor contra los ataques de fuerza bruta.