Lo cierto es que acceder a las contraseñas de los usuarios no es fácil, puesto que se guardan de forma encriptada, y la única forma “manual” es adivinándolo. Una técnica para obtener contraseñas es mediante el uso de «sniffers» es decir programas que interceptan nuestras comunicaciones y registran las contraseñas. Hay maneras de agilizar este proceso, mediante un keylogger. Sin embargo, cuando estas herramientas del hacker fallan, puede recurrir a la fuerza bruta.
WIKIPEDIA define fuerza bruta como: “La forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso.”
A pesar de lo que pudiera parecer, es uno de los métodos más empleados por los hackers, que explota la vulnerabilidad más recurrente en la seguridad de la información: el factor humano. Los usuarios no disponen de contraseñas lo suficientemente robustas, como distintos tipos de caracteres y de números que impliquen una cierta complejidad. Por el contrario, para evitar olvidarse de su clave de acceso, prefieren contraseñas fáciles de recordar, pero al mismo tiempo de adivinar.
Con este fin, los hacker, utilizan herramientas que disponen de diccionarios de contraseñas, cuya función es ir probando contraseñas una por una.
No obstante, como usuarios, sabemos que únicamente con la contraseña, no es posible acceder a un puesto, puesto que es necesario contar con un código de usuario.
Para conseguir tanto el código de usuario como la contraseña, a través de este tipo de ataque, existe diferente herramientas como BrutusAET 2 para fuerza bruta a contraseñas de FTP, Essential Net Tools para fuerza bruta a contraseñas de servicio de red (NetBIOS), o John the Ripper – Windows, Linux para fuerza bruta a contraseñas “hasheadas” de Windows.
Una forma sencilla de proteger un sistema contra los ataques de fuerza bruta o los ataques de diccionario es establecer un número máximo de tentativas. De esta forma se bloquea el sistema automáticamente después de un número de intentos fallidos predeterminados. Sin embargo, aún cuando exista un Directiva de bloqueo de cuenta, o de complejidad de las contraseñas que obligue a cambiarla cada cierto tiempo, también son fácilmente predecibles porque a menudo consisten en agregarle cortas secuencias de números a una misma raíz original. Por tanto, lo más recomendable sería establecer Directivas de contraseñas lo suficientemente robustas, por una empresa especializada.
Desde Áudea queremos recordamos que la mejor forma de prevenir una sanción o un daño a nuestro sistemas de información, es cumplir con todas las exigencias técnicas y legales de la seguridad de la información.
Áudea Seguridad de la Información
Eduardo de Miguel Cuevas
Departamento Legal
www.audea.com