¿Cómo usar Hydra?

| Última modificación: 18 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

¿Sabes cómo usar Hydra Kali Linux, la herramienta de ciberseguridad para ejecutar ataques de fuerza bruta?

En el pentesting, también conocido como hacking ético, es necesario poner a prueba lo fácil que es acceder al sistema de un usuario sin su autorización. Es pertinente aclarar que un test de penetración solo se puede ejecutar cuando:

  1. Se cuenta con la autorización expresa del propietario del sistema.
  2. Se practica en juegos de Capture The Flag (CTF).
  3. Se utiliza para programas de Bug Bounty.
  4. Se utiliza en laboratorios hechos con máquinas virtuales.

En este post, te enseñaremos a practicar una técnica de hacking ético en un laboratorio con máquinas virtuales. Veremos cómo realizar uno de los ciberataques más comunes: el ataque de fuerza bruta. Esta técnica consiste en adivinar la contraseña de un usuario, cuando esta es débil, por medio de la automatización de pruebas aleatorias y el uso de diccionarios de contraseñas.

Antes de ver cómo usar Hydra Kali Linux, una herramienta estándar para probar ataques de fuerza bruta en auditorías de ciberseguridad, veremos qué son los diccionarios de contraseñas, cómo se construyen y cómo deben utilizarse.

¿Qué es un diccionario de contraseñas?

Un diccionario de contraseñas es una lista de palabras que contiene las contraseñas más comúnmente elegidas por los usuarios. Estas listas pueden utilizarse para optimizar el funcionamiento de un programa de fuerza bruta, ya que reduce la cantidad de opciones que pone a prueba durante el ataque. Los diccionarios de contraseñas pueden descargarse de internet o construirse de manera automática por medio de generadores especiales.

Dicho esto, procederemos a explicar cómo usar Hydra Kali para encontrar la contraseña de un software o servicio en cualquier ordenador.

¿Cómo usar Hydra Linux?

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Para este laboratorio práctico de cómo usar Hydra Kali Linux, primero crearemos dos máquinas virtuales: una con la versión más antigua posible de Windows 7 y otra con el sistema operativo para hacking ético Kali Linux. Recuerda configurar ambas con un modo de conexión a la red tipo NAT, para que no utilicen la dirección IP real de tu router.

Ahora, en tu máquina de Kali, tendrás que crear un diccionario con nombres de usuarios y otro con contraseñas. Puedes descargarlos de internet directamente o construirlos con los comandos Hydra:

// usar hydra kali linux
nano usuarios.txt
nano pass.txt

Al ejecutar dichos comandos hydra pentest , podrás crear archivos de texto llamados “ususarios.txt” y “pass.txt” con las listas de usuarios y contraseñas que desees. Puedes ponerles los nombres que prefieras a los archivos.

Ahora, para abrir el programa Hydra en tu máquina con Hydra Kali Linux, todo lo que tienes que hacer es abrir una terminal en cualquier directorio y ejecutar uno de los comandos Hydra:

// como utilizar hydra en kali linux
xhydra

Se abrirá una interfaz gráfica, donde, para ejecutar el ataque de fuerza bruta, debes configurar las siguientes opciones en el programa Hydra Linux.

  1. Establece la IP de la máquina objetivo. Para averiguar la dirección IP de la máquina Windows 7, abre una consola en ella y ejecuta el comando “ipconfig”.
  2. Establece el puerto con el servicio donde desees realizar el ataque. Por ejemplo, puede ser el puerto 22, donde se encuentra el protocolo SSH.
  3. Después, selecciona el protocolo al que quieres dirigir el ataque. En este caso, escoge la opción SSH.
  4. Habilita la opción SSL, debido al tipo de protocolo que intentaremos hackear.
  5. Habilita la opción “Show attempts” para ver cada intento que hace y el resultado.
  6. Abre la pestaña “Passwords”.
  7. En el campo “Username list”, elige el archivo de texto con la lista de usuarios.
  8. En el campo “Password list”, elige el archivo de texto con la lista de contraseña.
  9. En Tuning, puedes reducir el número de tareas simultáneas del programa para que el servidor pueda atender todas las peticiones. En la opción “Number of tasks“, selecciona un valor de 5 para obtener un mejor rendimiento.
  10. Finalmente, pulsa el botón Start.

El programa puede necesitar bastante tiempo para hacer el ataque, dependiendo de la extensión de los diccionarios y el nivel de dificultad de la contraseña. El programa Hydra Kali es una herramienta ideal para estos ataques, ya que simula que las peticiones se hacen desde diferentes hosts.

¿Cómo aprender más?

Si quieres seguir aprendiendo sobre cómo usar Hydra Linux y programas similares, te interesará la formación intensiva que ofrece nuestro Ciberseguridad Full Stack Bootcamp. Con la guía continua de profesionales, te convertirás en un experto en pocos meses. ¡Inscríbete e impulsa tu vida profesional!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado