Ataques Híbridos, Filtrado de Contraseñas y Credential Stuffing

#hybrid-attacks #password-cracking #credential-stuffing #seclists #wordlists

🧩 ¿Qué son los ataques híbridos?

Un ataque híbrido combina lo mejor de:

Ataques de diccionario (rápidos, dirigidos)
Ataques de fuerza bruta (cobertura total)

La clave está en modificar palabras del diccionario con patrones frecuentes que usan las personas:

Añadir números → Summer2023
Añadir símbolos → Summer2023!
Incrementar años → Summer2024
Reemplazos comunes → P@ssword, S3gur0

😩 El problema de los cambios de contraseña

Muchos usuarios, cuando se ven forzados a cambiar la contraseña, solo la modifican ligeramente, creando patrones predecibles:

Summer2023 → Summer2023!
Winter2022 → Winter2023

Warning

Estos patrones hacen que un ataque híbrido sea extremadamente eficaz, porque reduce enormemente el espacio que el atacante necesita probar.

🔧 Ataque híbrido en acción

Se comienza con un ataque de diccionario usando contraseñas comunes o específicas del objetivo.
Cuando fallan:
Se modifican automáticamente todas las palabras del diccionario:
- Agregar números
- Agregar símbolos
- Reemplazar letras
- Añadir años
Se prueban las nuevas variantes → éxito más rápido que con fuerza bruta completa.

🎯 ¿Por qué son tan eficaces?

Aprovechan patrones humanos repetidos
Reducen el espacio de búsqueda
Son mucho mejores que fuerza bruta pura, pero más amplios que solo un diccionario.

⚙️ Filtrado de contraseñas según políticas (ejemplo práctico)

Objetivo:
Extraer contraseñas que cumplan la política:

Min. 8 caracteres
Al menos:
- 1 mayúscula
- 1 minúscula
- 1 número

Usaremos:

📁 Lista: darkweb2017_top-10000.txt

1️⃣ Descargar la lista

wget https://raw.githubusercontent.com/danielmiessler/SecLists/refs/heads/master/Passwords/Common-Credentials/darkweb2017_top-10000.txt

2️⃣ Filtrar por longitud mínima

gorosolea@htb[/htb]$ grep -E '^.{8,}

---

## 3️⃣ Filtrar por mayúsculas

```shell-session
gorosolea@htb[/htb]$ grep -E '[A-Z]' darkweb2017-minlength.txt > darkweb2017-uppercase.txt

4️⃣ Filtrar por minúsculas

 grep -E '[a-z]' darkweb2017-uppercase.txt > darkweb2017-lowercase.txt

5️⃣ Filtrar por números

 darkweb2017-lowercase.txt > darkweb2017-number.txt

Resultado final

gorosolea@htb[/htb]$ wc -l darkweb2017-number.txt

89 darkweb2017-number.txt

89 contraseñas cumplen la política 🔥

Info

Esto reduce el espacio de ataque de 10.000 → 89 contraseñas.
📉 Menos tiempo, menos recursos.
📈 Más probabilidad de éxito.

🟪 Relleno de credenciales (Credential Stuffing)

😱 ¿Qué es?

Es un ataque donde se reutilizan credenciales filtradas (usuario/contraseña) en otros servicios, aprovechando que mucha gente usa la misma contraseña en todas partes.

💀 Proceso de ataque

Obtener listas de credenciales filtradas
- Brechas de datos
- Malware
- Phishing
- SecLists (rockyou.txt, etc.)
Elegir servicios objetivo
- Email
- Redes sociales
- Bancos
- Tiendas en línea
Automatizar intentos masivos de login
- Scripts
- Herramientas como OpenBullet, Sentry MBA, etc.
Acceder a cuentas reales
- Robo de identidad
- Robo de dinero
- Acceso a datos sensibles
- Movimiento lateral

Danger

La reutilización de contraseñas es el principal motivo por el que estos ataques funcionan.
Una sola filtración puede comprometer todas las cuentas de una persona.

🟢 Cómo mitigarlo

Contraseñas únicas
Gestor de contraseñas
MFA obligatoria
Alertas de login sospechoso darkweb2017-top10000.txt > darkweb2017-minlength.txt


---

## 3️⃣ Filtrar por mayúsculas

{{CODE_BLOCK_2}}

---

## 4️⃣ Filtrar por minúsculas

{{CODE_BLOCK_3}}

---

## 5️⃣ Filtrar por números

{{CODE_BLOCK_4}}

---

## Resultado final

{{CODE_BLOCK_5}}

> 89 contraseñas cumplen la política 🔥

> [!info]  
> Esto reduce el espacio de ataque de **10.000 → 89** contraseñas.  
> 📉 Menos tiempo, menos recursos.  
> 📈 Más probabilidad de éxito.

---

# 🟪 Relleno de credenciales (Credential Stuffing)

---

## 😱 ¿Qué es?

Es un ataque donde se reutilizan **credenciales filtradas** (usuario/contraseña) en otros servicios, aprovechando que mucha gente usa **la misma contraseña en todas partes**.

---

## 💀 Proceso de ataque

1. **Obtener listas de credenciales filtradas**
    
    - Brechas de datos
        
    - Malware
        
    - Phishing
        
    - SecLists (`rockyou.txt`, etc.)
        
2. **Elegir servicios objetivo**
    
    - Email
        
    - Redes sociales
        
    - Bancos
        
    - Tiendas en línea
        
3. **Automatizar intentos masivos de login**
    
    - Scripts
        
    - Herramientas como OpenBullet, Sentry MBA, etc.
        
4. **Acceder a cuentas reales**
    
    - Robo de identidad
        
    - Robo de dinero
        
    - Acceso a datos sensibles
        
    - Movimiento lateral
        

---

> [!danger]  
> La **reutilización de contraseñas** es el principal motivo por el que estos ataques funcionan.  
> Una sola filtración puede comprometer **todas** las cuentas de una persona.

---

## 🟢 Cómo mitigarlo

- Contraseñas únicas
    
- Gestor de contraseñas
    
- MFA obligatoria
    
- Alertas de login sospechoso