En seguridad informtica, fuerza bruta hace referencia un tipo ataque en el que un actor malicioso utiliza distintas tcnicas para descubrir la contrasea de un tercero.

Cuando leemos noticias acerca de intrusiones no autorizadas en redes corporativas o acceso a cuentas de usuarios en algn servicio online, suele aparecer el trmino ataque de fuerza bruta. Si bien podra parecer que estamos ante un tipo de ataque en el cual los atacantes destinan muchos recursos para conseguir su objetivo sin preocuparse en optimizarlos o en intentar pasar desapercibidos, cuando hablamos de ataque de fuerza bruta hacemos referencia a una metodologa muy concreta.

Qu es un ataque de fuerza bruta

Un ataque de fuerza bruta ocurre cuando el atacante emplea determinadas tcnicas para probar combinaciones de contraseas con el objetivo de descubrir las credenciales de una potencial vctima y as lograr acceso a una cuenta o sistema. Existen diferentes tipos de ataque de fuerza bruta, como el credential stuffing, el ataque de diccionario, el ataque de fuerza bruta inverso o el ataque de password spraying. Generalmente, los ataques de fuerza bruta tienen mayor xito en los casos en los que se utilizan contraseas dbiles o relativamente fciles de predecir.

Probando diferentes contraseas


El trmino fuerza bruta relacionado con incidentes de seguridad informtica est asociado a los intentos por conseguir averiguar una o varias contraseas. Estas pueden estar vinculadas a accesos a servicios online o a ficheros y mensajes cifrados. En cualquier caso, el atacante va probando diversas combinaciones hasta dar con la correcta. Para ello se apoya en el uso de software, hardware, as como tambin en algoritmos y diccionarios de palabras.

En cuanto al hardware que se utiliza, cuanta ms potencia se tenga ms combinaciones por segundo se podrn evaluar, mientras que en lo que respecta el software, existen programas que son utilizados desde hace tiempo para aplicar la fuerza bruta en el descifrado de contrasea. Un software clsico sera John the Ripper, que permite ser usado para tratar de romper varios algoritmos de cifrado o hash como DES SHA-1 y otros. Tambin son muy usadas las herramientas que permiten averiguar contraseas de redes Wi-Fi como Aircrack-ng.

Existen distintos tipos de ataques de fuerza bruta. Uno de ellos es el que se conoce como ataque de diccionario, que consiste en el uso de una tcnica mediante la cual el atacante intenta averiguar la contrasea probando todas las palabras posibles que almacena en un diccionario. Estas palabras pueden ser de todo tipo y pueden incluir nombres, lugares y otras combinaciones, muchas de ellas obtenidas por filtraciones previas y que los usuarios empleaban porque eran fciles de recordar.

Adems, un atacante puede utilizar bases de datos de correos y contraseas para conseguir su objetivo realizando lo que se conoce como un ataque de fuerza bruta inverso. Aprovechando los millones de credenciales filtradas a lo largo del tiempo, se prueban en distintos servicios online combinacin de diferentes nombres de usuarios y contraseas hasta dar con alguna combinacin que permita un acceso.
Otro tipo de ataque de fuerza bruta es el que se conoce como credential stuffing o relleno de credenciales. Si bien es similar al de fuerza bruta inverso, la diferencia es que en estos casos, con el objetivo de acceder a un sistema el atacante utiliza combinaciones de nombres de usuario/contrasea que tiene en su poder y que se filtraron en alguna brecha, sobre todo teniendo en cuenta que muchos usuarios suelen reutilizar las contraseas en ms de una cuenta; una prctica no recomendada.

Incremento de ataques de fuerza bruta durante la pandemia

Una de las consecuencias que ha tenido la crisis sanitaria provocada por la COVID-19 ha sido la implementacin a marchas forzadas del teletrabajo en empresas de todo el mundo. Por desgracia, la mayora de esas empresas no han adoptado las medidas de seguridad necesarias para protegerse de posibles ataques de fuerza bruta y han optado por permitir las conexiones remotas desde los equipos de sus trabajadores.
Eso lo podemos comprobar de varias maneras. Ya sea debido al considerable aumento de conexiones mediante el Protocolo de Escritorio Remoto (RDP, por sus siglas en ingls), o por el aumento en el nmero de ataques que se vienen produciendo desde principios de ao sobre estos servidores RDP expuestos.

Mediante la fuerza bruta, los atacantes intentan averiguar las credenciales usadas por aquellos usuarios que estn trabajando en remoto para acceder a la red corporativa. Una vez los ciberdelincuentes han conseguido acceder a uno de los equipos dentro de la red interna, es muy probable que realicen movimientos laterales hasta encontrar algn sistema que contenga informacin sensible y que puedan usar en su favor.

En otros casos, los atacantes recolectan las combinaciones activas para luego comercializarlas.


Los ataques de fuerza bruta suelen dar pie a otros ataques ms graves que suelen terminar con el robo de informacin confidencial, el cifrado de la misma por un ransomware, la solicitud de un rescate para recuperar los archivos cifrados y, como una tendencia en aumento, la filtracin de la informacin sustrada en caso de que la vctima no ceda al chantaje.


En los ltimos meses hemos visto numerosos ejemplos de este tipo de ataques que han afectado a empresas de diversos sectores y que van desde el sanitario al educativo, sin olvidar organismos pblicos. No obstante, cualquier empresa es susceptible de estar en el punto de mira de los ciberdelincuentes si no adopta las medidas de seguridad necesarias.


Cmo evitar ser vctima de un ataque de fuerza bruta


Como vimos, los ataques de fuerza bruta estn en auge y para los atacantes son relativamente sencillos de realizar. Sin embargo, es perfectamente posible defendernos de este tipo de ataques si seguimos unas buenas prcticas en seguridad como las que indicamos a continuacin:

  • Utiliza contraseas robustas que sean difciles de adivinar en caso de que un atacante pruebe distintas combinaciones o que utilice palabras extradas de un diccionario.
  • Implementa el doble factor de autenticacin siempre que sea posible para acceder a todo tipo de servicios online, ya sean profesionales o personales.
  • Corrobora que en tu empresa se utilice el RDP solo si se est conectado a travs de una VPN corporativa y asegrate de usar la Autenticacin a Nivel de RED (NLA)
  • En el caso de no utilizar RDP en tu empresa, desactiva este protocolo y cierra el puerto 3389.
  • Establece permisos de acceso limitados a aquellos activos importantes de la empresa que se encuentren accesibles desde la red corporativa.
  • Mantn copias de seguridad actualizadas de todos los activos crticos de la empresa.


Esperamos que estos consejos sirvan de ayuda para proteger el acceso a la informacin sensible y que esta no se vea afectada por este tipo de ataques.


Josep Albors en https://www.welivesecurity.com/la-es/2020/06/24/que-es-ataque-fuerza-bruta-como-funciona/