¿Cómo hacer un ciberataque de fuerza bruta?

Autor: | Última modificación: 10 de octubre de 2022 | Tiempo de Lectura: 3 minutos
Temas en este post: ,

Algunos de nuestros reconocimientos:

Premios KeepCoding

El siguiente tutorial sobre cómo hacer un ciberataque de fuerza bruta está realizado con fines académicos. El propósito de la técnica, que explicaremos a continuación, es poner a prueba la seguridad de los sistemas informáticos y solo debe hacerse con la autorización de sus dueños.

El pentesting o hacking ético consiste en usar las mismas técnicas que emplea un ciberdelincuente para obtener acceso al sistema de un usuario. Para ello, uno de los ciberataques más utilizados es el ataque de fuerza bruta.

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta consiste en adivinar la contraseña y/o el nombre de usuario de una persona por medio de la automatización de pruebas de ensayo y error. Algunas herramientas permiten realizar estas pruebas y simular que cada una de ellas proviene de un host diferente. De ese modo, algunos de los sistemas no bloquean la cantidad de intentos que se pueden hacer.

Otra técnica que utilizan los ciberatacantes para optimizar el rendimiento de un ataque de fuerza bruta es el uso de diccionarios de contraseñas. Estos son archivos de texto que contienen listas de palabras usualmente utilizadas por los usuarios para «proteger» sus cuentas. Cuanto más sencilla sea la contraseña, con más facilidad podrá encontrarse a través de la fuerza bruta. Sin embargo, una contraseña lo suficientemente robusta es imposible de adivinar por este medio.

En este post, veremos un método para ejecutar este tipo de ataques, con el fin de probar lo seguras que son las contraseñas que ha elegido un usuario para su sistema. De este modo, se puede detectar si son demasiado débiles y, por ende, deben ser cambiadas. A continuación, te explicaremos cómo hacer un ciberataque de fuerza bruta para ejercicios de hacking ético.

¿Cómo hacer un ciberataque de fuerza bruta?

Para aprender cómo hacer un ciberataque de fuerza bruta, te explicaremos el paso a paso para llevar a cabo un ejercicio de laboratorio y observar cómo funciona.

  1. Crea dos máquinas virtuales. Una de ellas, con el sistema operativo para pentesters, Kali Linux; la otra, con un sistema operativo Windows 7 (la versión más antigua posible). También puedes optar por una máquina virtual desarrollada intencionalmente con vulnerabilidades, como Metasploitable 1, 2 o 3.
  2. Crea dos diccionarios: uno para usuarios y otro para contraseñas. Los puedes descargar en internet o construirlos tú mismo por medio de generadores de diccionarios de contraseñas.
  3. Abre Hydra en tu máquina con Kali Linux, por medio del comando «xhydra», que puedes ejecutar en una terminal del sistema.
  4. Al ejecutar el comando «xhydra», se abrirá la interfaz gráfica de Hydra, el programa estándar para hacer ataques de fuerza bruta en auditorías de seguridad.
  5. Para usar Hydra y entender cómo hacer un ciberataque de fuerza bruta debes:
    1. Establecer la dirección IP de tu máquina Windows 7 o Metasploitable. Para conocer la dirección IP de tus máquinas, ejecuta el comando «ipconfig» desde sus consolas.
    2. Ahora, escoge el puerto donde se encuentre el servicio que deseas poner a prueba. Por ejemplo, si quieres dirigir el ataque al protocolo SSH, elige el puerto 22.
    3. Escoge el protocolo al que desees dirigir el ataque. Si has elegido el puerto 22, selecciona el protocolo correspondiente, que es el SSH.
    4. Habilita la opción SSL para que el sistema no detecte el ataque.
    5. Habilita la opción «Show attempts» si deseas ver los intentos hechos por el programa.
    6. Dirígete a la pestaña «Password«.
    7. Elige el archivo de texto con el diccionario de nombres de usuario en el campo «Username list«.
    8. Elige el archivo de texto con el diccionario de contraseñas en el campo «Password list«.
    9. En la opción «Tuning«, reduce el número de tareas «Number of tasks» a 5, para que el sistema soporte las peticiones.
    10. Finalmente, ejecuta el proceso con el botón «Start«.

¿Cómo aprender más?

Ya hemos visto cómo hacer un ciberataque de fuerza bruta. Si quieres aprender más técnicas de hacking ético, en KeepCoding te ofrecemos nuestro Ciberseguridad Full Stack Bootcamp, una formación intensiva e íntegra en la que te formarás con la guía de expertos para impulsar tu carrera y destacar en el mercado laboral. ¡Solicita información e impulsa tu perfil profesional!

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado