Página principal » cómo » Los ataques de fuerza bruta explicaron cómo toda la encriptación es vulnerable

    Los ataques de fuerza bruta explicaron cómo toda la encriptación es vulnerable

    Los ataques de fuerza bruta son bastante simples de entender, pero difíciles de proteger. El cifrado es matemático, y a medida que las computadoras se vuelven más rápidas en matemáticas, se vuelven más rápidas al probar todas las soluciones y ver cuál encaja..

    Estos ataques se pueden usar contra cualquier tipo de cifrado, con diversos grados de éxito. Los ataques de fuerza bruta se vuelven más rápidos y más efectivos con cada día que pasa a medida que se lanza el hardware más nuevo y más rápido.

    Fundamentos de la fuerza bruta

    Los ataques de fuerza bruta son fáciles de entender. Un atacante tiene un archivo cifrado, por ejemplo, la base de datos de contraseñas de LastPass o KeePass. Saben que este archivo contiene datos que desean ver y saben que hay una clave de cifrado que la desbloquea. Para descifrarlo, pueden comenzar a probar todas las contraseñas posibles y ver si eso resulta en un archivo descifrado..

    Lo hacen automáticamente con un programa de computadora, por lo que la velocidad a la que alguien puede usar el cifrado de fuerza bruta aumenta a medida que el hardware de la computadora disponible se hace más y más rápido, capaz de hacer más cálculos por segundo. El ataque de fuerza bruta probablemente comenzaría con contraseñas de un dígito antes de pasar a contraseñas de dos dígitos y así sucesivamente, probando todas las combinaciones posibles hasta que una funcione.

    Un "ataque de diccionario" es similar e intenta palabras en un diccionario, o una lista de contraseñas comunes, en lugar de todas las contraseñas posibles. Esto puede ser muy efectivo, ya que muchas personas usan contraseñas tan débiles y comunes.

    ¿Por qué los atacantes no pueden servicios web de fuerza bruta?

    Hay una diferencia entre los ataques de fuerza bruta en línea y fuera de línea. Por ejemplo, si un atacante quiere forzar su acceso bruscamente a su cuenta de Gmail, puede comenzar a probar todas las contraseñas posibles, pero Google las cortará rápidamente. Los servicios que brindan acceso a dichas cuentas limitarán los intentos de acceso y prohibirán las direcciones IP que intentan iniciar sesión tantas veces. Por lo tanto, un ataque contra un servicio en línea no funcionaría demasiado bien porque se pueden hacer muy pocos intentos antes de detener el ataque..

    Por ejemplo, después de algunos intentos fallidos de inicio de sesión, Gmail le mostrará una imagen de CATPCHA para verificar que no es una computadora que intenta contraseñas automáticamente. Es probable que detengan sus intentos de inicio de sesión por completo si logra continuar el tiempo suficiente..

    Por otro lado, digamos que un atacante atrapó un archivo cifrado de su computadora o logró comprometer un servicio en línea y descargar dichos archivos cifrados. El atacante ahora tiene los datos cifrados en su propio hardware y puede probar tantas contraseñas como desee en su tiempo libre. Si tienen acceso a los datos encriptados, no hay forma de evitar que intenten una gran cantidad de contraseñas en un corto período de tiempo. Incluso si está utilizando un cifrado sólido, le conviene mantener sus datos seguros y asegurarse de que otros no puedan acceder a ellos..

    Hash

    Los algoritmos de hash fuertes pueden ralentizar los ataques de fuerza bruta. Esencialmente, los algoritmos de hashing realizan un trabajo matemático adicional en una contraseña antes de almacenar un valor derivado de la contraseña en el disco. Si se usa un algoritmo de hashing más lento, se requerirá miles de veces más trabajo matemático para probar cada contraseña y ralentizar drásticamente los ataques de fuerza bruta. Sin embargo, cuanto más trabajo se requiera, más trabajo tendrá que hacer un servidor u otra computadora cada vez que el usuario inicie sesión con su contraseña. El software debe equilibrar la resistencia frente a los ataques de fuerza bruta con el uso de recursos.

    Velocidad de fuerza bruta

    La velocidad de todo depende del hardware. Las agencias de inteligencia pueden construir hardware especializado solo para ataques de fuerza bruta, al igual que los mineros de Bitcoin construyen su propio hardware especializado optimizado para la minería de Bitcoin. Cuando se trata de hardware de consumo, el tipo de hardware más efectivo para ataques de fuerza bruta es una tarjeta gráfica (GPU). Como es fácil probar muchas claves de cifrado diferentes a la vez, muchas tarjetas gráficas que funcionan en paralelo son ideales.

    A fines de 2012, Ars Technica informó que un clúster de 25 GPU podría descifrar todas las contraseñas de Windows con menos de 8 caracteres en menos de seis horas. El algoritmo NTLM que Microsoft usó simplemente no era lo suficientemente resistente. Sin embargo, cuando se creó NTLM, habría tomado mucho más tiempo probar todas estas contraseñas. Esto no se consideró una amenaza suficiente para que Microsoft hiciera el cifrado más fuerte..

    La velocidad está aumentando y, en unas pocas décadas, podremos descubrir que incluso los algoritmos criptográficos más fuertes y las claves de cifrado que utilizamos hoy en día pueden ser rápidamente resquebrajados por las computadoras cuánticas o cualquier otro hardware que utilicemos en el futuro..

    Protegiendo sus datos de ataques de fuerza bruta

    No hay manera de protegerse completamente. Es imposible decir con cuánta rapidez obtendrá el hardware de la computadora y si alguno de los algoritmos de cifrado que utilizamos hoy tiene puntos débiles que se descubrirán y explotarán en el futuro. Sin embargo, aquí están los conceptos básicos:

    • Mantenga sus datos cifrados seguros donde los atacantes no puedan acceder a ellos. Una vez que tienen sus datos copiados en su hardware, pueden intentar ataques de fuerza bruta contra ellos en su tiempo libre.
    • Si ejecuta cualquier servicio que acepte inicios de sesión a través de Internet, asegúrese de que limita los intentos de inicio de sesión y bloquea a las personas que intentan iniciar sesión con muchas contraseñas diferentes en un corto período de tiempo. El software del servidor generalmente está configurado para hacer esto de inmediato, ya que es una buena práctica de seguridad.
    • Use algoritmos de encriptación fuertes, como SHA-512. Asegúrese de que no está usando algoritmos de cifrado antiguos con debilidades conocidas que son fáciles de descifrar.
    • Use contraseñas largas y seguras. Toda la tecnología de encriptación en el mundo no lo ayudará si está usando una “contraseña” o el siempre popular “hunter2”.

    Los ataques de fuerza bruta son algo de lo que debe preocuparse cuando protege sus datos, elige algoritmos de cifrado y selecciona contraseñas. También son una razón para seguir desarrollando algoritmos criptográficos más potentes: el cifrado debe mantenerse al día con la rapidez con la que el nuevo hardware deja de ser efectivo..

    Crédito de la imagen: Johan Larsson en Flickr, Jeremy Gosney