Servicios

Inicio Seguridad Consejos
Seguridad

Cuida tu contraseña - Tipos de ataque

Indice del artículo
Cuida tu contraseña
Descuidos
Tipos de ataque
Todas las páginas

Tipos de ataque

Desde el punto de vista de un atacante, uno de los objetivos mas simples para comenzar un ataque es aún la contraseña. En muchos casos las contraseñas utilizadas son muy fáciles de adivinar. En otros casos son fáciles de probar.

Contraseña predeterminada

Es el método mas simple, y consiste en intentar la ingresar en algun sistema con una contraseña predeterminada. Ejemplo: admin/admin o usuario/123456. Muchas veces básta con saber cual es el patron de elegido para establecer contraseñas predeterminadas, por ejemplo: usuario/XXXX donde XXXX son los 4 primeros dígitos del rut.

Obtención de contraseña por deducción o simple adivinanza

Este método consiste básicamente en intentar acertar a la contraseña correcta conociendo algo de información relativa a su dueño. Por ejemplo, al conocer el nombre completo y la fecha de nacimiento es posible intentar con unas cuantas contraseñas como:

  • juan1990
  • andres13

Hoy en día es habitual que exista información personal expuesta en Internet, ya sea voluntariamente a traves de Twitter, Facebook, blogs, foros, etc. A esto se le llama la huella digital de una persona y es muy útil para probar contraseñas o generar phishing a medida (Spear phishing).

Ataque de diccionario

Un diccionario corresponde a una lista de palabras seleccionadas probables de ser contraseña. Ejemplo:

  • 123456
  • amorcito
  • qwerty
  • password

Ataques de fuerza bruta

Este tipo de ataques consiste en intentar todas las contraseñas posibles según el sistema. Este método siempre logra encontrar la contraseña pues las prueba todas. La dificultad está en la cantidad de caracteres posibles de utilizar en la contraseña.

Ejemplo:

Supongamos una contraseña que sólo contenga números, es decir, 10 posibilidades para cada caracter y con largo de 8:

4 5 8 2 9 4 8 5

Un ataque de fuerza bruta contra este tipo de contraseñas, requiere probar 100 millones (10⁸)  de posibles valores. Si consideramos que un procesador puede realizar millones de operaciones por segundo, encontrar esta contraseña sólo tardaría 45 segundos.

Si agregamos la posibilidad de incluir letras minúsculas sin acento, tenemos 36 posibles caracteres. Eso da un espacio de claves de 36⁸ = 2.8 billones de contraseñas. Si suponemos la misma capacidad del procesador anterior, este ataque tarde 32 días en recorrer todo el espacio de claves posibles.

Si agregamos signos de puntuación o exclamación como, $%&/()=?¡-.:,!"#,el tiempo necesario crecería a mas de 300 días para recorrer el espacio de contraseñas posibles completo.

En muchos casos, la cantidad de pruebas que se puede realizar, es mucho mayor a 1 millon por segundo, por lo tanto se recomienda aumentar el largo de la contraseña.

Supongamos un largo de 10 con el mismo set de caractéres (48, incluyendo los signos, letras minúsculas y números) pero ahora con una capacidad mayor (100 millones de contraseñas por segundo).

El atacante tardaría aproximadamente 20 años en recorrer todo el espacio de contraseñas, por lo tanto, si cambiamos la contraseña cada 10 años, la probabilidad de que el atacante acierte, disminuye bastante.

El problema es que en algunos sistema no es posible establecer claves de este tipo, por lo tanto se recomienda el cambio frecuente de contraseña.



 

Mapa del sitio
Campus San Joaquín - Edificio Centro Desarrollo Docente - Teléfono: (56 2) 2 354 5555 - Correo: 5555@uc.cl
2014 Pontificia Universidad Católica de Chile - Avda. Vicuña Mackenna 4860, Macul - Santiago, Chile