¿Cómo usar Hydra?

Autor: | Última modificación: 10 de octubre de 2022 | Tiempo de Lectura: 3 minutos

¿Sabes cómo usar Hydra, la herramienta de ciberseguridad para ejecutar ataques de fuerza bruta?

En el pentesting, también conocido como hacking ético, es necesario poner a prueba lo fácil que es acceder al sistema de un usuario sin su autorización. Es pertinente aclarar que un test de penetración solo se puede ejecutar cuando:

  1. Se cuenta con la autorización expresa del propietario del sistema.
  2. Se practica en juegos de Capture The Flag (CTF).
  3. Se utiliza para programas de Bug Bounty.
  4. Se utiliza en laboratorios hechos con máquinas virtuales.

En este post, te enseñaremos a practicar una técnica de hacking ético en un laboratorio con máquinas virtuales. Veremos cómo realizar uno de los ciberataques más comunes: el ataque de fuerza bruta. Esta técnica consiste en adivinar la contraseña de un usuario, cuando esta es débil, por medio de la automatización de pruebas aleatorias y el uso de diccionarios de contraseñas.

Antes de ver cómo usar Hydra, una herramienta estándar para probar ataques de fuerza bruta en auditorías de ciberseguridad, veremos qué son los diccionarios de contraseñas, cómo se construyen y cómo deben utilizarse.

¿Qué es un diccionario de contraseñas?

Un diccionario de contraseñas es una lista de palabras que contiene las contraseñas más comúnmente elegidas por los usuarios. Estas listas pueden utilizarse para optimizar el funcionamiento de un programa de fuerza bruta, ya que reduce la cantidad de opciones que pone a prueba durante el ataque. Los diccionarios de contraseñas pueden descargarse de internet o construirse de manera automática por medio de generadores especiales.

Dicho esto, procederemos a explicar cómo usar Hydra para encontrar la contraseña de un software o servicio en cualquier ordenador.

¿Cómo usar Hydra?

Para este laboratorio práctico de cómo usar Hydra, primero crearemos dos máquinas virtuales: una con la versión más antigua posible de Windows 7 y otra con el sistema operativo para hacking ético Kali Linux. Recuerda configurar ambas con un modo de conexión a la red tipo NAT, para que no utilicen la dirección IP real de tu router.

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

Ahora, en tu máquina de Kali, tendrás que crear un diccionario con nombres de usuarios y otro con contraseñas. Puedes descargarlos de internet directamente o construirlos con los comandos:

nano usuarios.txt
nano pass.txt

Al ejecutar dichos comandos, podrás crear archivos de texto llamados «ususarios.txt» y «pass.txt» con las listas de usuarios y contraseñas que desees. Puedes ponerles los nombres que prefieras a los archivos.

Ahora, para abrir Hydra en tu máquina con Kali Linux, todo lo que tienes que hacer es abrir una terminal en cualquier directorio y ejecutar el comando:

xhydra

Se abrirá una interfaz gráfica, donde, para ejecutar el ataque de fuerza bruta, debes configurar las siguientes opciones.

  1. Establece la IP de la máquina objetivo. Para averiguar la dirección IP de la máquina Windows 7, abre una consola en ella y ejecuta el comando «ipconfig».
  2. Establece el puerto con el servicio donde desees realizar el ataque. Por ejemplo, puede ser el puerto 22, donde se encuentra el protocolo SSH.
  3. Después, selecciona el protocolo al que quieres dirigir el ataque. En este caso, escoge la opción SSH.
  4. Habilita la opción SSL, debido al tipo de protocolo que intentaremos hackear.
  5. Habilita la opción «Show attempts» para ver cada intento que hace y el resultado.
  6. Abre la pestaña «Passwords».
  7. En el campo «Username list», elige el archivo de texto con la lista de usuarios.
  8. En el campo «Password list», elige el archivo de texto con la lista de contraseña.
  9. En Tuning, puedes reducir el número de tareas simultáneas del programa para que el servidor pueda atender todas las peticiones. En la opción «Number of tasks«, selecciona un valor de 5 para obtener un mejor rendimiento.
  10. Finalmente, pulsa el botón Start.

El programa puede necesitar bastante tiempo para hacer el ataque, dependiendo de la extensión de los diccionarios y el nivel de dificultad de la contraseña. Hydra es una herramienta ideal para estos ataques, ya que simula que las peticiones se hacen desde diferentes hosts.

¿Cómo aprender más?

Si quieres seguir aprendiendo sobre cómo usar Hydra y programas similares, te interesará la formación intensiva que ofrece nuestro Ciberseguridad Full Stack Bootcamp. Con la guía continua de profesionales, te convertirás en un experto en pocos meses. ¡Inscríbete e impulsa tu vida profesional!

[email protected]

¿Trabajo? Aprende a programar y consíguelo.

¡No te pierdas la próxima edición del Aprende a Programar desde Cero Full Stack Jr. Bootcamp!

 

Prepárate en 4 meses, aprende las últimas tecnologías y consigue trabajo desde ya. 

 

Solo en España hay más de 120.400 puestos tech sin cubrir, y con un sueldo 11.000€ por encima de la media nacional. ¡Es tu momento!

 

🗓️ Próxima edición: 13 de febrero

 

Reserva tu plaza descubre las becas disponibles.