Los ataques de fuerza bruta son ataques de acceso en los que alguien prueba repetidamente diferentes contraseñas hasta que una de ellas funciona. El atacante suele probar combinaciones aleatorias, contraseñas comunes, contraseñas filtradas o pequeñas variaciones de datos fáciles de adivinar, como nombres, fechas de nacimiento o patrones sencillos del teclado.
Estos ataques pueden dirigirse a cuentas de correo electrónico, bancos, redes sociales, almacenamiento en la nube, cuentas de trabajo y casi cualquier otro servicio protegido con contraseña. Están estrechamente relacionados con el relleno de credenciales, pero no son lo mismo. Los ataques de fuerza bruta se basan en adivinar o probar posibles contraseñas. El relleno de credenciales utiliza nombres de usuario y contraseñas que ya se han visto expuestos en otra filtración de datos.
Fuerza bruta simple
El atacante prueba muchas combinaciones de posibles contraseñas en una cuenta. Las contraseñas seguras lo hacen mucho más difícil, pero las contraseñas cortas u obvias pueden seguir adivinándose.
Ataques de diccionario
En lugar de probar caracteres aleatorios, el atacante utiliza listas de contraseñas comunes, nombres, frases y variaciones predecibles. Estos ataques son especialmente eficaces contra contraseñas simples.
Relleno de credenciales
Los atacantes utilizan nombres de usuario y contraseñas expuestos en filtraciones anteriores o robados mediante ataques de phishing, y luego los prueban en otros sitios. Esto funciona cuando los usuarios reutilizan contraseñas en diferentes cuentas.
Rociado de contraseñas
El atacante prueba una contraseña común en muchas cuentas. Esto puede ayudar a los atacantes a evitar bloqueos provocados por demasiados intentos fallidos en una sola cuenta.
La mayoría de los ataques de fuerza bruta siguen un patrón sencillo: encontrar una página de inicio de sesión, probar posibles contraseñas y buscar una que funcione. La automatización hace que esto sea mucho más rápido que si una persona escribiera las posibilidades a mano.
01
Se elige el objetivo
El atacante elige una cuenta, una página de inicio de sesión, un portal de empresa o una lista de nombres de usuario. Las direcciones de correo electrónico públicas y los nombres de usuario de empleados expuestos pueden facilitar esta tarea.
02
Se elaboran las conjeturas
Los atacantes recopilan posibles contraseñas a partir de listas de palabras comunes, datos filtrados, datos personales y patrones predecibles, como estaciones, años, nombres o combinaciones de cifras sencillas.
03
Se ejecutan los intentos
Las herramientas automatizadas prueban las posibles contraseñas a gran velocidad. Algunos ataques se producen rápidamente, mientras que otros se ralentizan deliberadamente para evitar bloqueos o avisos de seguridad.
04
Se comprueba el acceso
Cuando una contraseña funciona, el atacante puede verificar si la autenticación multifactorial (MFA) está habilitada, guardar los datos de la cuenta o buscar cuentas vinculadas y datos confidenciales.
05
Uso de la cuenta
El atacante puede restablecer contraseñas, robar archivos, cometer estafas, acceder a servicios vinculados o utilizar la cuenta para llegar a otras cuentas, personas o sistemas.
¿Cuáles son algunos ejemplos reales de ataques de fuerza bruta?
Los ataques de fuerza bruta no solo afectan a grandes empresas o sistemas altamente técnicos. Muchos ataques reales comienzan con contraseñas débiles, credenciales reutilizadas o datos de inicio de sesión expuestos que permiten a los atacantes probar el acceso a cuentas cotidianas y servicios empresariales.
Ataques a cuentas de Roku (2024)
Roku dio a conocer dos ataques de relleno de credenciales que afectaron a más de 590 000 cuentas de clientes. Los atacantes utilizaron nombres de usuario y contraseñas expuestos en filtraciones anteriores para probar inicios de sesión en cuentas de Roku con credenciales reutilizadas. Algunas cuentas se utilizaron para hacer compras no autorizadas antes de que se detectara la actividad y se pidiera a los usuarios que restablecieran sus contraseñas.
Relleno de credenciales de 23andMe (2023)
Los atacantes utilizaron técnicas de relleno de credenciales para acceder a miles de cuentas de 23andMe con información procedente de filtraciones anteriores. Una vez dentro, accedieron a datos confidenciales de los perfiles conectados a través de la función «Parientes de ADN» de la empresa. Este incidente demostró cómo las contraseñas reutilizadas pueden exponer datos altamente personales, incluso cuando la filtración original se produjo en otro lugar.
Ataque de rociado de contraseñas a Microsoft (2024)
El grupo de amenazas Midnight Blizzard empleó el rociado de contraseñas para atacar cuentas de la empresa Microsoft y probar credenciales débiles o reutilizadas en múltiples servicios. Esta campaña puso de relieve cómo los atacantes recurren a la automatización y a contraseñas predecibles para obtener acceso sin desencadenar bloqueos inmediatos.
¿Cuáles son los riesgos y las repercusiones de los ataques de fuerza bruta?
El mayor riesgo es el acceso no autorizado a sus cuentas. Una vez que un atacante logra entrar, el impacto puede extenderse rápidamente si la cuenta está vinculada al correo electrónico, a pagos, a archivos de trabajo u otros servicios.
Apropiación de la cuenta
Un atacante puede cambiar su contraseña, añadir nuevos datos de recuperación, bloquearle el acceso o utilizar la cuenta para acceder a servicios más confidenciales.
Exposición de datos privados
Los mensajes, documentos, fotos, facturas, direcciones guardadas y datos de pago pueden quedar al descubierto dependiendo de qué cuenta se vea comprometida.
Fraude financiero
Una cuenta comprometida puede utilizarse para realizar compras, redirigir pagos, restablecer el acceso bancario o enviar estafas convincentes a sus contactos.
Más ataques a cuentas
Si reutiliza contraseñas, un solo inicio de sesión exitoso puede dar lugar a ataques contra su correo electrónico, almacenamiento en la nube, cuentas de compras y herramientas de trabajo.
¿Quién corre mayor riesgo de sufrir ataques de fuerza bruta?
Cualquiera puede ser objeto de un ataque, pero ciertos hábitos de inicio de sesión y configuraciones de cuenta facilitan los ataques de fuerza bruta.
Usuarios que reutilizan contraseñas
Los usuarios que reutilizan la misma contraseña en cuentas de correo electrónico, bancos, tiendas online y redes sociales corren un mayor riesgo si esa contraseña se filtra o alguien la adivina.
Usuarios con contraseñas débiles
Las contraseñas cortas, los nombres de mascotas, las fechas de nacimiento, los equipos deportivos, las secuencias de teclas y las combinaciones numéricas predecibles facilitan a los atacantes la tarea de adivinar las contraseñas.
Pequeñas empresas
Las pequeñas empresas que utilizan cuentas compartidas, contraseñas repetidas o inicios de sesión temporales débiles pueden ser un objetivo más fácil sin una supervisión rigurosa de los inicios de sesión o la autenticación multifactorial (MFA).
Teletrabajadores
Quienes inician sesión en herramientas de trabajo, correo electrónico y aplicaciones en la nube desde diferentes ubicaciones pueden correr un mayor riesgo de exposición de sus cuentas si no tienen habilitada la MFA.
¿Cómo puede protegerse de los ataques de fuerza bruta?
La mejor protección consiste en hacer que las contraseñas sean más difíciles de adivinar y en reducir el impacto si se filtra una contraseña. Estos hábitos son sencillos, pero pueden reducir significativamente su riesgo.
Utilice contraseñas únicas
Cree una contraseña segura diferente para cada cuenta importante. Un gestor de contraseñas puede ayudarle a almacenar de forma segura contraseñas largas sin tener que memorizarlas todas.
Active la MFA
La autenticación multifactorial añade un paso adicional de inicio de sesión después de introducir su contraseña. Puede impedir muchas apropiaciones de cuentas, incluso si se adivina o se roba una contraseña.
Evite patrones obvios
No utilice nombres, fechas de nacimiento, estaciones del año, equipos deportivos ni ligeras variaciones de contraseñas antiguas. Los atacantes suelen probarlas primero.
Preste atención a las alertas de inicio de sesión
Esté atento a correos electrónicos de inicio de sesión inesperados, mensajes de restablecimiento de contraseña, solicitudes de MFA o avisos de ubicación. Estos pueden ser indicios tempranos de intentos de acceso no autorizado.
Proteja su Mac
Mantenga actualizados macOS y los navegadores, evite descargas sospechosas y utilice herramientas de seguridad de confianza para Mac con el fin de reducir los riesgos de malware que pueden provocar el robo de contraseñas.
Cómo contribuye Intego ONE a una mayor seguridad de las cuentas en su Mac
Los ataques de fuerza bruta se producen en la fase de inicio de sesión de la cuenta, por lo que ningún software antivirus puede bloquear directamente todos los intentos de adivinar la contraseña de un servicio online. Sin embargo, su Mac sigue desempeñando un papel importante. Intego ONE para Mac ayuda a proteger las contraseñas, el correo electrónico, la banca, los archivos y los inicios de sesión diarios en el dispositivo que utiliza.
El cortafuegos de Intego le avisa cuando las aplicaciones intentan establecer conexiones nuevas o inusuales, para que pueda permitir o bloquear actividades que no reconozca.
Hábitos más seguros en Internet
Un Mac protegido puede ayudar a reducir la exposición a descargas fraudulentas, instaladores falsos y otras amenazas que pueden provocar el robo de contraseñas o la vulneración de cuentas.
Protección más completa para Mac
Intego ONE combina antivirus, cortafuegos, VPN y herramientas de limpieza en un solo lugar, lo que le ayuda a gestionar la seguridad diaria de su Mac con mayor confianza y visibilidad.
Un ataque de fuerza bruta es un ataque de inicio de sesión en el que alguien adivina contraseñas repetidamente hasta que una funciona. Los atacantes pueden utilizar herramientas automatizadas, listas de contraseñas comunes, datos filtrados o variaciones predecibles.
Los ataques de fuerza bruta suelen comenzar con una cuenta objetivo o una página de inicio de sesión, y luego utilizan intentos automatizados para probar posibles contraseñas. Algunos ataques se producen rápidamente, mientras que otros se ralentizan para evitar bloqueos. Muchos siguen un proceso paso a paso similar, desde la elección de un objetivo hasta la comprobación de contraseñas y la verificación del acceso.
No. Los ataques de fuerza bruta suelen implicar adivinar o probar posibles contraseñas, mientras que el relleno de credenciales utiliza nombres de usuario y contraseñas expuestos en filtraciones anteriores. Ambos tienen como objetivo iniciar sesión en cuentas, pero los métodos son diferentes. Los ataques de relleno de credenciales y de rociado de contraseñas están estrechamente relacionados con los ataques de fuerza bruta, ya que también se basan en un gran número de intentos de inicio de sesión.
Entre las señales de alerta se pueden incluir alertas de inicio de sesión inesperadas, correos electrónicos repetidos para restablecer la contraseña, solicitudes inusuales de autenticación multifactorial (MFA), bloqueos de cuentas o inicios de sesión desde ubicaciones desconocidas. Estas señales no siempre confirman un ataque de fuerza bruta, pero vale la pena verificarlas rápidamente. Preste atención a las alertas de inicio de sesión y a las advertencias de MFA, ya que esto puede ayudarle a detectar actividades sospechosas antes.
Intego no puede detener directamente todos los intentos de adivinar contraseñas contra una cuenta en Internet, ya que esos ataques se producen en el propio servicio en el que se inicia sesión. Sin embargo, Intego puede ayudar a proteger el Mac que utiliza para sus contraseñas, correo electrónico, operaciones bancarias y archivos. Las funciones como la detección de malware y la supervisión de conexiones pueden ayudar a reducir los riesgos de seguridad relacionados en su dispositivo.
Intego
Fiable. Acreditado. Potente.
Impulsado por la innovación durante más de 25 años, Intego ha proporcionado soluciones avanzadas de ciberseguridad diseñadas para proteger lo que más importa: sus datos, su privacidad y sus dispositivos.
Con sus galardonadas herramientas antivirus, cortafuegos, VPN y de optimización del sistema, Intego combina una potente defensa con la sencillez y la fiabilidad que esperan los usuarios de Mac y PC.