Introducción al Brute Forcing
Las llaves y contraseñas son los candados del mundo digital.
Un ataque de fuerza bruta consiste en probar combinaciones hasta encontrar la correcta.
❓ ¿Qué es el Brute Forcing?
Es un método basado en prueba y error, donde un atacante prueba:
-
Todas las combinaciones posibles
-
O combinaciones predefinidas (listados, patrones, etc.)
Es como probar todas las llaves en una cerradura hasta que una abra.
⚙️ Factores que afectan el éxito
-
Complejidad de la contraseña
-
Poder computacional disponible
-
Medidas de seguridad del sistema (CAPTCHAs, timeouts, lockouts)
🔁 Cómo funciona un ataque de Fuerza Bruta
-
Start – se inicia el proceso.
-
Generar combinación – según reglas (charset, longitud…).
-
Probar combinación – contra login, hash, etc.
-
Evaluar – ¿coincide?
-
Acceso concedido – si es correcto.
-
Repetir – si no, generar una nueva clave.
🧩 Tipos de Ataques de Fuerza Bruta
📘 Tabla Resumida
| Método | Descripción | Ejemplo | Ideal cuando… |
|---|---|---|---|
| 🔐 Fuerza bruta simple | Prueba todas las combinaciones posibles. | Todas las letras a–z para claves de 4–6 chars. | No se sabe nada de la contraseña. |
| 📚 Ataques de Diccionario | Usa listas de palabras frecuentes. | rockyou.txt |
Contraseñas débiles o comunes. |
| Hybrid Attack | Diccionario + combinaciones adicionales. | password + 123 | Modificaciones típicas de usuarios reales. |
| Credential Stuffing | Usa credenciales filtradas. | Listas de leaks. | Usuarios reutilizan contraseñas. |
| Password Spraying | Pocas contraseñas contra muchos usuarios. | password123 → todos | Hay lockouts por intentos repetidos. |
| Rainbow Tables | Tablas precalculadas para romper hashes. | Hash → Tabla → Password | Se tienen muchos hashes y espacio de disco. |
| Reverse Brute Force | Un password contra muchos usuarios. | "Password1" → todos | Se sospecha reutilización de clave común. |
| Distributed Brute Force | Divide el ataque en muchas máquinas. | Cluster cracking | La clave es muy compleja. |
📌 Notas importantes
Los ataques de fuerza bruta pueden ser offline (hashes) o online (formularios web).
Los ataques online son más lentos y suelen activar defensas.
En un test real, usar fuerza bruta sin permiso es ilegal.
🛡️ Brute Forcing en Pentesting
Se utiliza cuando:
✔️ 1. Se agotaron otras vías
Si no hay exploits ni vectores claros → brute force es una opción.
✔️ 2. Las políticas de contraseña son débiles
Contraseñas cortas, simples o repetidas.
✔️ 3. Hay cuentas concretas de interés
Admin, soporte, IT, etc.