Ataque de Fuerza Bruta | BruteForce
¿Qué es un Ataque de Fuerza Bruta?
Los ataques de fuerza bruta tienen la finalidad de identificar las credenciales de acceso (user/pass) correctas para acceder a una cuenta. Para esto los atacantes utilizan diversas técnicas y herramientas con las cuales prueban un conjunto de combinaciones de contraseñas hasta logran identificar la contraseña correcta.
En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso. - WikiPedia
Diferentes tipos de ataques de fuerza bruta
Existe una gran variedad de ataques y herramientas para fuerza bruta, esto dependerá del escenario en el cual se realice el ataque. Existen ataques como:
- Ataque de Fuerza Bruta por Diccionario
- Ataque de Fuerza Bruta Inverso
- Credential Stuffing
Herramientas y Recursos
Fail2ban | Framework de prevención de intrusiones que protege los servidores de la computadora de ataques de fuerza bruta.
Denyhosts | frustra los ataques basados en el diccionario SSH y los ataques de fuerza bruta.
Enumdb | Es una herramienta de fuerza bruta y post explotación de bases de datos relacionales para MySQL y MSSQL
Patator | Fue escrito por frustración por usar módulos Hydra, Medusa, Ncrack, Metasploit y scripts Nmap NSE para ataques de adivinación de contraseñas. Opté por un enfoque diferente para no crear otra herramienta de fuerza bruta y evitar repetir las mismas deficiencias. Patator es una herramienta multiproceso escrita en Python, que se esfuerza por ser más fiable y flexible que sus compañeros predecesores.
WPForce | Es un conjunto de herramientas de wordpress Attack. Actualmente contiene 2 scripts : WPForce, que fuerza los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. Yertle también contiene una serie de módulos post-explotación.
Como evitar ser victima
Los ataques de este tipo tiene éxito cuando las contraseñas empleadas en sistemas son completamente sencillas o "fáciles de adivinar" por eso el siempre realizar un conjunto de buenas practicas puede evitar que un atacante tenga éxito.
☑️ Usa contraseñas robustas. Aquellas donde este presente la combinación de números, letras minúsculas y mayúsculas, caracteres especiales y que esta puede ser superior a los 12 caracteres.
✖️ No uses contraseñas con un menos de 8 caracteres.
☑️ Recuerda cambiar las contraseñas por lo menos 1 o 2 veces por mes.
✖️ Evita usar contraseñas las cuales incluyan información personal como fechas, cumpleaños, nombres, lugares, apodos, etc.
☑️ Implementa siempre de ser posible el doble factor de autenticación.
✖️ Nunca uses la misma contraseña para todas tus cuentas.
0 Comentarios