Ataques de Fuerza Bruta

Ataque de Fuerza Bruta | BruteForce

¿Qué es un Ataque de Fuerza Bruta?

Los ataques de fuerza bruta tienen la finalidad de identificar las credenciales de acceso (user/pass) correctas para acceder a una cuenta. Para esto los atacantes utilizan diversas técnicas y herramientas con las cuales prueban un conjunto de combinaciones de contraseñas hasta logran identificar la contraseña correcta.

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. - WikiPedia

Diferentes tipos de ataques de fuerza bruta

Existe una gran variedad de ataques y herramientas para fuerza bruta, esto dependerá del escenario en el cual se realice el ataque. Existen ataques como:

• Ataque de Fuerza Bruta por Diccionario
• Ataque de Fuerza Bruta Inverso
• Credential Stuffing

Herramientas y Recursos

Fail2ban | Framework de prevención de intrusiones que protege los servidores de la computadora de ataques de fuerza bruta.

Denyhosts | frustra los ataques basados en el diccionario SSH y los ataques de fuerza bruta.

Enumdb | Es una herramienta de fuerza bruta y post explotación de bases de datos relacionales para MySQL y MSSQL

Patator | Fue escrito por frustración por usar módulos Hydra, Medusa, Ncrack, Metasploit y scripts Nmap NSE para ataques de adivinación de contraseñas. Opté por un enfoque diferente para no crear otra herramienta de fuerza bruta y evitar repetir las mismas deficiencias. Patator es una herramienta multiproceso escrita en Python, que se esfuerza por ser más fiable y flexible que sus compañeros predecesores.

WPForce | Es un conjunto de herramientas de wordpress Attack. Actualmente contiene 2 scripts : WPForce, que fuerza los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. Yertle también contiene una serie de módulos post-explotación.

Como evitar ser victima

Los ataques de este tipo tiene éxito cuando las contraseñas empleadas en sistemas son completamente sencillas o "fáciles de adivinar" por eso el siempre realizar un conjunto de buenas practicas puede evitar que un atacante tenga éxito.

☑️ Usa contraseñas robustas. Aquellas donde este presente la combinación de números, letras minúsculas y mayúsculas, caracteres especiales y que esta puede ser superior a los 12 caracteres.

✖️ No uses contraseñas con un menos de 8 caracteres.

☑️ Recuerda cambiar las contraseñas por lo menos 1 o 2 veces por mes.

✖️ Evita usar contraseñas las cuales incluyan información personal como fechas, cumpleaños, nombres, lugares, apodos, etc.

☑️ Implementa siempre de ser posible el doble factor de autenticación.

✖️ Nunca uses la misma contraseña para todas tus cuentas.