El 93% de las contraseñas utilizadas en ataques de fuerza bruta tienen 8 caracteres o más

Recomendados....   » Ciberseguridad: de barrera a facilitador en la adopción de la nube Ver  » Estrategias de seguridad y ciber resiliencia para tu compañía Webinar  » Informe de ciberamenazas 2023 de SonicWall Leer

Las contraseñas, que protegen datos privados, datos bancarios o archivos confidenciales, son el objetivo de cualquier delincuente, y aunque ninguna contraseña es suficientemente segura, es imprescindible utilizar una contraseña distinta para cada una de las cuentas, optar por frases de contraseña fáciles de recordar, pero difíciles de adivinar y llevar un registro de todas las credenciales que se utilizan.

Según el Informe Specops sobre contraseñas vulnerables de 2022, el 48% de las personas tiene que recordar 11 o más contraseñas para el trabajo y la mayoría (alrededor del 34%) utiliza contraseñas formadas únicamente por letras minúsculas y números. Asimismo, sólo el 1,57% utiliza una contraseña que incluye minúsculas, mayúsculas, caracteres especiales y números a la vez.

Ataques de fuerza bruta en ascenso

Para los ciberdelincuentes, las credenciales de inicio de sesión son un bien muy lucrativo, y las empresas son muy conscientes de ello. Para proteger la privacidad, las empresas deben esforzarse continuamente por hacer más complejas las restricciones de seguridad, por ejemplo, exigiendo a sus empleados contraseñas cada vez más complicadas. Aun así, algunos trabajadores siguen subestimando a los ciberdelincuentes, creyendo que a menos que utilicen contraseñas inseguras, cortas y sencillas, están a salvo de las amenazas, incluidos los ataques de fuerza bruta.

Durante los ataques de fuerza bruta, los ciberdelincuentes intentan adivinar u obtener credenciales de usuario y acceder a las cuentas de sus víctimas y, como muestran las estadísticas, en estos incidentes se suelen utilizar contraseñas sorprendentemente complejas. De hecho, el 93% de las contraseñas utilizadas en ataques de fuerza bruta tienen 8 caracteres o más, el 41% tienen 12 caracteres o más y el 68% incluyen al menos dos tipos de caracteres.

ESET ha listado los distintos tipos existentes de esta amenaza con el objetivo de reducir las posibilidades de convertirnos en víctima.

 1) Ataque simple de fuerza bruta. Los ciberdelincuentes intentan adivinar la contraseña sin utilizar ningún software o base de datos especializados. Pueden, por ejemplo, probar las combinaciones de contraseñas más comunes, o hacer uso de la información accesible en línea, por ejemplo, en las redes sociales de la víctima.

 2) Pulverización de contraseñas. Los ciberdelincuentes utilizan una lista de las contraseñas y frases de contraseña más frecuentes y, empleando un software especial de pulverización o un conjunto de herramientas, prueban una contraseña en muchas cuentas diferentes. Como resultado, las políticas de bloqueo pueden no advertir el ataque y, además, un ataque puede llevar a los hackers a obtener acceso a decenas o incluso cientos de cuentas diferentes.

3) Ataque de diccionario. Durante un ataque de diccionario, los hackers prueban diferentes combinaciones y variaciones de palabras de uso común. Los ataques no suelen ejecutarse manualmente: los hackers suelen utilizar un programa que trabaja con extensas listas y diccionarios de contraseñas comunes e introducen las numerosas combinaciones de contraseñas posibles en el sistema seleccionado.

4) Relleno de credenciales. Si un atacante posee una lista de credenciales filtradas o comprometidas, puede utilizar un software especial para introducir las combinaciones de nombre de usuario y contraseña en muchos sitios web diferentes. En caso de que el usuario afectado haya reciclado sus datos de acceso para varios sitios diferentes, los delincuentes pueden obtener acceso a varias cuentas con una sola combinación de credenciales.

5) Ataque de fuerza bruta inverso. A veces, los ciberdelincuentes ya tienen la contraseña y lo único necesitan es encontrar al usuario adecuado. Haciendo uso de las listas de contraseñas filtradas en anteriores filtraciones de datos, los delincuentes pueden buscar en diferentes plataformas y bases de datos, probando las credenciales comprometidas en varias cuentas.

6) Ataque híbrido de fuerza bruta. Los ataques de fuerza bruta híbridos combinan las técnicas de ataque descritas anteriormente. Comúnmente, los criminales optan por un ataque de diccionario en combinación con un simple ataque de fuerza bruta.

“Para los propios empleados, la principal medida que deben adoptar es mantener una gestión adecuada de las contraseñas. Esto puede consistir en utilizar una contraseña única para cada una de sus cuentas, optar por frases de contraseña más largas que contengan una variedad de caracteres y utilizar un administrador de contraseñas de confianza para almacenar sus credenciales” recalca Josep Albors, director de Investigación y Concienciación de ESET España. “También es imprescindible utilizar la autenticación multifactor, gracias al cual, si adivinan la contraseña, los ciberdelincuentes no accederán inmediatamente a sus datos”.