Llegamos a ustedes gracias a:



Reportajes y análisis

Qué es un ataque de diccionario y cómo detenerse fácilmente

[22/08/2020] El ataque de diccionario, conocido en inglés como dictionary attack, es una técnica de fuerza bruta en la que los atacantes repasan palabras y frases comunes, como las de un diccionario, para adivinar las contraseñas. El hecho de que la gente a menudo utilice contraseñas simples y fáciles de recordar en varias cuentas, hace que este tipo de ataques sean exitosos y requieran menos recursos para ejecutarse.

"Un ataque de diccionario es un tipo de ataque de fuerza bruta, pero utiliza una lista predefinida de contraseñas que tendrían una mayor probabilidad de éxito", comenta Deral Heiland, jefe de investigación de IoT, Rapid7. "Esta lista de diccionario podría contener los nombres de los equipos deportivos regionales, los nombres de los miembros del equipo, los nombres relacionados con la organización atacada, las contraseñas comúnmente usadas que, en la mayoría de los casos, contienen palabras como 'primavera', 'verano', 'invierno' y 'otoño', y variaciones de todas ellas modificadas para cumplir con los requisitos de las contraseñas".

¿Cuál es la diferencia entre un ataque de diccionario y los ataques de fuerza bruta?

Mientras que los ataques tradicionales de fuerza bruta intentan sistemáticamente todas las combinaciones posibles para romper los controles de autenticación, los de diccionario utilizan un número grande, pero limitado de palabras y frases preseleccionadas. El hecho de no pasar por todas las combinaciones posibles reduce la probabilidad de que una contraseña difícil sea correctamente adivinada, pero un ataque de diccionario requiere menos tiempo y recursos para ser ejecutado.

"Una lista de contraseñas de diccionario normalmente es construida específicamente para el objetivo que se está atacando", anota Heiland. "Por ejemplo, si la organización objetivo se llamara London Widgets y estuviera ubicada en Londres, la lista predefinida contendría variaciones de palabras potencialmente relacionadas con la empresa y el área de Londres, o el tema regional como 'Westminster', 'ChelseaFC1990', 'SouthBank2020' o 'CityOfLondon2020'".

Muchas de las herramientas utilizadas para los ataques de diccionario incluyen contraseñas comunes tomadas de brechas de seguridad que se filtraron en línea, y variantes comunes de ciertas palabras y frases, como la sustitución de "a" por "@" o la adición de números al final de las contraseñas.

Lo que los atacantes hacen una vez que acceden a una cuenta depende de su objetivo previsto y del grado de acceso que esa cuenta pueda proporcionar, pero podría incluir el robo de datos personales, de información sobre los pagos y de propiedad intelectual, o la realización de nuevos ataques contra una organización. "El objetivo del juego es violar la seguridad de la organización, priorizar los derechos y moverse lateralmente para eventualmente comprometer información crítica como la de identificación personal (PII) y los datos financieros", anota Heiland.

¿Qué tan exitosos son los ataques de diccionario?

El hecho de que la gente a menudo reutilice las contraseñas, varíe ligeramente las preferidas y no las cambie tras las violaciones de seguridad, significa que este tipo de ataque puede ser fácil de ejecutar y que probablemente tenga éxito si se le da el tiempo y los intentos suficientes. El informe de investigación de violación de datos de Verizon de 2019 (DBIR) señala que las credenciales robadas y reutilizadas están implicadas en el 80% de las violaciones relacionadas con la piratería informática.

Las contraseñas "Contraseña", "12345" y "QWERTY" han permanecido en los primeros puestos de las listas de contraseñas filtradas durante años, mostrando que a pesar de que se les advierte repetidamente, la gente está contenta de usar contraseñas pobres que los atacantes pueden adivinar fácilmente. Las secuencias de teclas contiguas, los nombres comunes, los animales y las frases simples como "teamo" y "dejameentrar" también aparecen regularmente en estas listas. El Centro Nacional de Ciberseguridad (NCSC) del Reino Unido publicó recientemente un blog en el que se pide a los aficionados al fútbol que no utilicen el nombre de sus equipos favoritos como contraseña, ya que suelen aparecer en las listas.

Según el Balbix State of Password Use Report 2020, alrededor del 99% de los usuarios reutilizan las contraseñas, y el usuario promedio tiene alrededor de ocho contraseñas compartidas entre distintas cuentas, tanto de trabajo como personales y dentro de varias cuentas internas de la empresa. La encuesta Online Password Strategies de Security.org encontró que casi el 70% de las personas modifican las contraseñas existentes al crear nuevas. El informe 2019 State of Password and Authentication Security Behaviors Report de Yubico y Ponemon encontró que el 69% de las personas comparten sus contraseñas con otras en el lugar de trabajo, y que un poco más de la mitad no cambia su comportamiento después de un incidente.

"Sé que he comprometido a cientos de empresas utilizando [ataques de diccionario] mientras realizaba evaluaciones de seguridad pagadas", comenta Heiland.

Cómo defenderse de los ataques de diccionario

Dado que los ataques de diccionario se basan en palabras comúnmente usadas como contraseñas, una gran defensa contra ellas es tener una buena política de contraseñas. Anime a los usuarios a crear contraseñas únicas, idealmente una combinación de palabras al azar con símbolos y números, a no reutilizarlas ni compartirlas, y a cambiarlas si ocurre algún incidente. Los administradores de contraseñas proporcionan una forma más automatizada de mantener contraseñas fuertes sin necesidad de que los usuarios las recuerden.

"Uno de los mejores métodos para reducir el éxito de este tipo de ataque es entrenar a las personas para que se alejen de las contraseñas cortas y comiencen a usar frases", aconseja Heiland. "Estas son fáciles de recordar y virtualmente imposibles de adivinar. Por ejemplo, elegir una contraseña como 'Quiero jugar al cricket para Inglaterra' y alterarla al azar con mayúsculas, números o caracteres especiales: 'Qu!3ro jug4r 4l cr1cket p4r4 Ingl4t3rr4'".

"Otra mejora adicional que recomiendo es asegurarse de que los nombres de usuario no coincidan con la sintaxis de la dirección de correo electrónico", señala Heiland.

Otros controles de mitigación incluyen:

  • Configurar la autenticación multifactor donde sea posible.
  • Utilizar la biometría en lugar de las contraseñas.
  • Limitar el número de intentos permitidos dentro de un periodo de tiempo determinado.
  • Forzar el restablecimiento de la cuenta después de un cierto número de intentos fallidos.
  • Limitar la velocidad de aceptación de contraseñas para aumentar el tiempo y los recursos necesarios para que los atacantes adivinen la contraseña.
  • Incluir Captchas para prevenir intentos de ingreso automatizados.
  • Asegurarse de que las contraseñas estén cifradas para que sea menos probable que se filtren.
  • Restringir el uso de palabras o contraseñas comunes. El NCSC publica una lista de contraseñas comunes que no deberían ser permitidas.