¿Qué son los ataques de Fuerza Bruta para encontrar contraseñas y claves

Los ataques de fuerza bruta son simples de entender, pero difíciles de contrarrestar.
Incluso un sistema de cifrado complejo puede ser forzado por un ataque de fuerza bruta (o fuerza bruta) llevado a cabo por una serie de ordenadores rápidos.
Estos ataques de Fuerza Bruta pueden ser lanzados contra cualquier tipo de cifrado, y se vuelven más rápidos y efectivos a medida que se producen ordenadores cada vez más potentes.

Ataques de fuerza bruta o “fuerza bruta” en el campo de la informática son bastante simples de entender.
Teniendo un programa protegido por contraseña, un hacker que quiere desencriptarlo comienza a probar, en serie, cualquier combinación de caracteres, símbolos, letras o números hasta que se encuentre la llave correcta.
Obviamente estos intentos no se hacen a mano, pero… automáticamente con un programa de ordenador que es tan rápido como el ordenador utilizado es potente.
El ataque de fuerza bruta comienza con llaves de un personaje, luego dos y así sucesivamente tanto como pueda.
Un “ataque de diccionario” (ataque de diccionario) es similar a la fuerza bruta, pero busca palabras escritas en un diccionario que es un lista de contraseñas comunes.
Básicamente, en lugar de intentar todas las combinaciones posibles de contraseñas, se prueban las palabras más utilizadas por la gente, como nombres propios, nombres de ciudades, nombres de jugadores, años y fechas, etc.

Tengan en cuenta que las contraseñas y las claves de cifrado son cosas diferentes: la clave se genera de forma completamente aleatoria mientras que la contraseña debe ser recordada e introducida manualmente, por lo que es una palabra más simple.
Encontrar la clave de cifrado es difícil y requiere un ataque de Fuerza Bruta mientras que las contraseñas se encuentran con simples ataques de diccionario.

Los ataques de fuerza bruta no funcionan para los sitios web.
Hay una clara diferencia entre un ataque de fuerza bruta en línea y uno fuera de línea.
Por ejemplo, si un usuario malintencionado quería robar mi contraseña de Gmail, no podía encontrarla probando las distintas combinaciones del sitio de Gmail porque Google lo impide.
Después de varios intentos bloquea el acceso pidiéndole que introduzca un código Captcha para evitar que algún programa automático intente acceder.
Los servicios que proporcionan acceso a las cuentas en línea así como a Facebook impiden que la gente intente entrar demasiadas veces perdiendo sus contraseñas.

Por otro lado, si el hacker tuvo acceso a un ordenador que tiene un programa de gestión de contraseñas con una clave cifrada, puede tener tiempo suficiente para lanzar un ataque de fuerza bruta o de diccionario manteniéndolo activo hasta que se encuentre la contraseña.
No hay manera entonces de evitar que un gran número de contraseñas sean probadas en un corto período de tiempo.
Teóricamente, ninguna criptografía es invencible, aunque puede llevar más de un mes romper las resistencias más duras.

Hashing

Los algoritmos de hashing fuertes pueden ralentizar los ataques de fuerza bruta.
Estos algoritmos Hash como SHA1 y MD5 hacen un trabajo matemático adicional en una contraseña antes de almacenarla.
Un ataque de fuerza bruta será mucho más lento con una encriptación hash.

La velocidad de un ataque de fuerza bruta todo depende del hardware utilizado.
Las agencias de inteligencia sólo pueden construir hardware especializado para encontrar claves de cifrado.
Como datos indicativos en el sitio web de Ars Tecnica se informa que un grupo de 25-GPU podría descifrar cualquier contraseña de Windows de hasta 8 caracteres en menos de seis horas. El algoritmo Microsoft NTLM utilizado ya no es lo suficientemente fuerte, pero lo fue en la época en que fue creado.

Proteger nuestros datos de los ataques de fuerza bruta.

No hay forma de protegerse completamente, pero es poco probable que alguien se vuelva contra nosotros, mortales comunes, ataques de fuerza bruta de alto nivel.
Por lo tanto, no es apropiado preocuparse demasiado por sufrir ataques cibernéticos tan complejos.
En cualquier caso, es importante mantener a salvo los datos cifrados tratando de no permitir que nadie acceda a ellos y utilizando contraseñas seguras autogeneradas (es decir, claves de cifrado).
El problema es más bien defenderse de los ataques de ingeniería social para robar datos personales y hacer trampas, que no se basan tanto en la técnica como en el ingenio y la astucia.
Por ejemplo, nunca abra mensajes de correo electrónico que pidan acceder a nuestra cuenta bancaria a través de Internet para asegurarla o para aprobar nuevas reglas.
En segundo lugar, siempre es importante utilizar contraseñas complejas y seguir el consejo de generar una contraseña fuerte para todos los sitios web para que pueda ser recordada.
Siempre puedes usar un programa como LastPass o KeePass para gestionar las contraseñas de forma centralizada, cubriendo todas las contraseñas con una clave de cifrado.