En el mundo del hacking web, hay un conocido ataque de fuerza bruta que sirve para descubrir el usuario y la contraseña de un administrador de la página web.
La manera para hacerlo es simple, probar y probar combinaciones hasta que demos con la correcta. Podréis llegar a pensar que eso es una burrada, ya que no tenemos el tiempo de vida suficiente cómo para estar probando y probando, pero pensad que no seremos nosotros manualmente quienes probaremos las combinaciones sino que serán los ordenadores (o servidores) quienes lo harán.
En el tiempo que nos pasamos en comprobar tres simples combinaciones, un ordenador ya podría llegar a comprobar hasta 100, y los Crackers (también mal llamados hackers) se aprovechan de ello.
Tipos de ataques de Fuerza Bruta
Ataque de Fuerza bruta de diccionario:
Un ataque de fuerza bruta de diccionario, es cuando un ordenador (o servidor) se pone a probar todas las palabras de una lista que el cracker haya preparado anteriormente. Esta lista (normalmente nombrada «diccionario») puede ser una lista general o bien incluso ser una creada o modificada por el mismo cracker para que así tenga términos que suele utilizar la víctima.
Este puede dar con la contraseña, siempre y cuando esté dentro del diccionario por lo que puede fallar muy fácilmente.
Ataque de Fuerza Bruta Arcoíris:
La contraparte del ataque de diccionario es el ataque arcoíris. Este literalmente se pone a probar todas las combinaciones posibles que el propio ordenador (o servidor) crea en el mismo momento.
Este no fallará, pero aparte de que tardaría mucho tiempo en encontrarla, se necesitaría mucha potencia en la máquina.
Ataques de fuerza bruta en red
Los ataques de hacking web que utilizan la fuerza bruta de red, pueden ser tanto de diccionario cómo de arcoíris, pero estos se diferencian con los anteriores que los atacantes son una red inmensa de ordenadores «zombie» controlados por un servidor central:
¿Qué se consigue con esto? Pues que se hagan miles y miles de pruebas simultáneamente y se reduzca así el tiempo de «búsqueda».
¿Qué hacer para evitar ser atacados?
Pues para evitar ser atacados hay varios métodos, pero lo mejor es modificar el enlace de login y después crear una protección que bloquee a los bots y a los usuarios que hagan demasiados intentos.
Entradas Relacionadas: La Seguridad Web y su importancia
