® 
Ataque de Fuerza Bruta
Definicion
En un ataque de fuerza bruta, un atacante prueba sistemáticamente todas las combinaciones posibles de contraseñas o claves hasta encontrar la correcta. Es uno de los métodos más directos para obtener acceso.
Un ataque de fuerza bruta es un metodo donde un atacante prueba sistematicamente todas las combinaciones posibles de contrasenas, claves de cifrado o codigos PIN hasta encontrar la correcta. La fuerza bruta es una de las tecnicas de ataque mas antiguas pero sigue siendo efectiva contra contrasenas debiles. Segun Verizon DBIR 2024, el abuso de credenciales esta implicado en mas del 40% de todas las brechas de datos.
Como funciona un ataque de fuerza bruta?
El atacante utiliza software automatizado que ejecuta miles a millones de intentos de inicio de sesion por segundo. La fuerza bruta simple prueba todas las combinaciones posibles. Los ataques de diccionario usan listas de contrasenas comunes. El credential stuffing reutiliza pares de credenciales filtrados. Los ataques hibridos combinan diccionarios con variaciones. Los ataques de rainbow tables usan tablas de hash precalculadas.
Tipos de fuerza bruta
Fuerza bruta online ataca sistemas de autenticacion en vivo. Fuerza bruta offline descifra hashes de contrasenas robados y es mucho mas rapida. Password spraying prueba unas pocas contrasenas comunes contra muchas cuentas para evitar el bloqueo. Fuerza bruta inversa comienza con una contrasena conocida y prueba diferentes usuarios.
Impacto para las organizaciones
Los ataques de fuerza bruta son una amenaza constante. NIS2 exige medidas de autenticacion adecuadas. PCI DSS establece requisitos de politica de contrasenas y bloqueo de cuentas.
Proteccion
Implemente MFA en todas las cuentas. Configure bloqueo de cuenta tras intentos fallidos limitados. Utilice CAPTCHA para formularios online. Implemente limitacion de velocidad en endpoints de autenticacion. Exija contrasenas fuertes de minimo 12 caracteres.
Como ayuda DEFION
DEFION prueba la resiliencia contra fuerza bruta como parte de pentests externos y de aplicaciones web.