Aquí vengo con otro artículo relacionado con el mantenimiento, la seguridad y protección de tu sitio web.
Según pudiste ver en el gráfico que pusimos en 4 razones por las que necesitas un plan de mantenimiento WordPress el ataque de fuerza bruta es el segundo ataque más ejecutado en un sitio web con WordPress.
Este artículo pretende mostrarte en qué consiste este ataque y por qué es tan importante estar bien “fortificado”. También te explico qué busca un atacante, generalmente, para querer violentar tu sitio web y cómo protegerte. ¡Vamos allá!
¿Qué es un ataque de fuerza bruta?
De manera resumida, un ataque de fuerza bruta es un intento de descifrar una contraseña o nombre de usuario, de buscar una página web oculta o de descubrir la clave utilizada para cifrar un mensaje. Consiste en aplicar el método de “ensayo y error” infinidad de veces, con la esperanza de dar con la combinación correcta finalmente.
Generalmente, en el caso de WordPress, donde más se produce este ataque es en la página de entrada a la administración. En el wp-admin y en el wp-login es donde los atacantes envían infinidad de consultas para obtener acceso no autorizado al sistema. Pueden probar millones de combinaciones y credenciales de inicio de sesión o claves de cifrado hasta que se les devuelve una respuesta válida.
Con tantas amenazas por ahí sueltas, es importante saber cómo puedes mantener tu información segura. Sigue leyendo para descubrir cómo los ciberdelincuentes usan los ataques de fuerza bruta y aprende consejos y tácticas para crear una contraseña a prueba de hackeos.
Tipos de ataque de fuerza bruta
En un ataque de fuerza bruta básico, el ciberdelincuente utiliza herramientas de automatización para probar combinaciones aleatorias y exhaustivas de números y letras con el fin de adivinar tus credenciales de acceso. Sin embargo, esta no es la única modalidad que se usa. A continuación te muestro 6 tipos de ataques de fuerza bruta:
1. Ataque de fuerza bruta simple
En un simple ataque de contraseña de fuerza bruta, un atacante intenta adivinar lógicamente una contraseña. Puede probar contraseñas comunes o hacer un trabajo de reconocimiento mínimo para descubrir información personal, como la fecha de tu cumpleaños, nombres de familiares, hijos o padres, nombres de mascota, etc.
Suele ser el ataque más usado dado que es sorprendente la cantidad de personas que usan contraseñas simples y rudimentarias, del tipo “1111” o “1234“, “contraseña“, “password” y combinaciones del estilo. Si usas este tipo de contraseñas, te auguro un futuro incierto en tu WordPress.
2. Ataque de diccionario
Los ataques de diccionario implican que el atacante pruebe palabras, frases o contraseñas comunes en combinaciones muy exhaustivas. Estas palabras pueden ser equipos deportivos, estaciones, colores, , ciudades, etc. Dado que los usuarios a menudo usan contraseñas simples y fáciles de recordar, los ataques de diccionario pueden ser más eficientes para encontrar credenciales de inicio de sesión.
3. Ataque de fuerza bruta híbrido
Los ataques híbridos de fuerza bruta combinan técnicas de ataques de diccionario y ataques simples de fuerza bruta. Los hackers prueban combinaciones que involucran tanto palabras comunes como caracteres aleatorios. Esto puede permitir a los atacantes descifrar contraseñas como “madrid123” o “antonio2021”
4. Ataque de fuerza bruta inversa
Generalmente, los ataques de fuerza bruta implican probar muchas contraseñas y muchos nombres de usuario o emails en combinaciones ilimitadas. En un ataque de fuerza bruta inversa, los piratas informáticos prueban una contraseña común como “123456” contra una lista de posibles nombres de usuario. También al contrario, prueban un sólo nombre de usuario contra posibles contraseñas de todo tipo.
5. Ataque de fuerza bruta tipo Rainbow Table (tabla arcoiris)
Cuando los ordenadores almacenan contraseñas, a menudo no almacenan los datos reales (por ejemplo, 12345678). En su lugar, almacenan la contraseña como un cifrado, llamado hash (por ejemplo, 459kgju340jdvk4000sderfhdcv398defhrndf324jnfghtkvg). Los ataques de este tipo rompen las contraseñas probando montones de hashes. Lo hacen a través de tablas pre-generadas de contraseñas comunes con su hash correspondiente.
6. Relleno de credenciales
En el relleno de credenciales, en inglés llamado “credential stuffing“, los atacantes usan credenciales que ya han sido robadas. Pueden encontrar estas credenciales a través de la búsqueda en la Internet Oscura o Dark Web o incluso a través del phishing. Los bots luego prueban una lista de credenciales de inicio de sesión robadas contra infinidad de sitios web.
Se estima que alrededor de un 65% de los usuarios de Internet reutilizan sus contraseñas en diferentes sitios. Por tanto, el relleno de credenciales puede permitir a los atacantes usar una credencial robada para obtener acceso a aún más datos u otros sitios.
Objetivos de un ataque de fuerza bruta
Imagina el destrozo que un intruso podría hacer en tu WordPress si lograra entrar en él. Desde el borrado y modificación de usuarios, el borrado de contenido, la infección con virus… Los ciberdelincuentes tienen muchas razones para querer violentar la seguridad de tu sitio web. Desde potenciar sus ganancias económicas hasta simplemente la pura diversión. Por desgracia es así.
He aquí algunas de las motivaciones y objetivos que persiguen:
Ganancias económicas
Si el objetivo es ganar dinero, el atacante cambia las claves de tu WordPress de manera que NO podrás entrar en él. Pondrá un mensaje en la página Inicio o Home informando de que tu sitio web está hackeado. Procurará eliminar todo vestigio de copias de seguridad que pueda ver en algún plugin dedicado a ello. Y finalmente, enviará un correo electrónico a todos los usuarios del sitio, principalmente los administradores, informando de la situación y pidiendo dinero a cambio de “liberar tu web”.
Robo de datos personales
Esto está a la orden del día. Un atacante que obtenga acceso a tu sitio web podrá usar las credenciales violentadas para intentar el acceso en otros sitios en los que puedas tener cuenta de usuario, robar tu identidad, acceder a tu cuenta bancaria o cometer fraude con tu tarjeta de crédito.
Si, lo sé, los bancos usan una buena seguridad hoy en día con códigos enviados al móvil, etc. Pero créeme, la seguridad 100% no existe. Como siempre digo yo, basta que se alineen todos los planetas y que ocurran 2 o 3 errores juntos que uno ni piensa, para que te hagan un estropicio con las credenciales robadas.
Propagación de código maligno (malware)
Los atacantes pueden colocar software malicioso en sitios hackeados que pueden propagarse a los ordenadores de los visitantes. Lo hacen en forma de archivos descargables, enlaces, etc. Una vez descargado, el malware puede recopilar aún más datos privados, retener archivos para pedir rescate, secuestrar tu sesión, hacerse pasar por usuarios a través de números o direcciones IP suplantados y causar estragos en las víctimas.
Jugar con la reputación de tu sitio web
Una instalación limpia de WordPress tiene alrededor de 5.000 archivos. Si tu sitio web tiene mucho contenido y plugins con muchas funcionalidades, fácilmente se pueden superar los 10.000. Una infección de código puede ocurrir en muchísimos de esos ficheros. Imagínate buscar una aguja en un pajar… Pues eso. Mejor que no entren.
Los atacantes, una vez dentro de tu sitio, pueden optar por jugar con él. Yo he llegado a ver pelotas rebotando en la pantalla y piezas de Tetris moviéndose por la pantalla, créeme. También pueden incluir material ofensivo, enlaces a sitios de pornografía, etc…
Lo peor de estas cosas es que a veces pasan meses y no te enteras de que está pasando, hasta que un cliente o visitante de tu web tiene la deferencia de avisarte y tú te haces la pregunta: ¿pero cómo es posible? Imagina dónde queda la reputación de tu sitio web si pasa mucho tiempo y cientos o miles de usuario han sido “derivados” a sitios pornográficos…
Cómo protegerte de un ataque de fuerza bruta
Existen muchos métodos para detener o prevenir un ataque de fuerza bruta. La más obvia y que los informáticos nunca pararemos de recomendar es una política de contraseñas seguras. Por norma, vamos a lo fácil y con excusas de “es que luego no me acuerdo”, “es que esa contraseña es muy difícil”, es que no puedo tener tantas contraseñas diferentes”…
Aproximadamente el 80% de las violaciones de datos confirmadas se deben a contraseñas débiles o robadas. Por tanto, éste debe ser el punto más importante en tu seguridad.
Cada aplicación web o servidor público debería exigir el uso de contraseñas seguras. Por ejemplo, las cuentas de usuario estándar deben tener contraseñas de al menos ocho letras, un número, letras mayúsculas y minúsculas y un carácter especial. Además, los servidores deberían requerir cambios frecuentes de contraseña.
Al margen de lo comentado respecto a las contraseñas, te comento de forma breve cómo evitar estos ataques en gran medida:
Limita los intentos de inicio de sesión fallidos
Es recomendable bloquear las cuentas con retrasos progresivos durante un periodo de tiempo determinado después de un número (por ti designado) de intentos fallidos de inicio de sesión. De esta manera se lo ponemos más difícil a los atacantes. También es recomendable hacerlo con las IP desde donde se efectúan dichos intentos fallidos de sesión.
En Wordketing, por ejemplo, tenemos configurada la seguridad en este aspecto de la siguiente forma:
Como puedes ver, cada 5 intentos fallidos a lo largo de 30 minutos, se bloquea la IP durante 1 hora. Y si detectamos 2 bloqueos de 1 hora en menos de 4 horas, entonces el bloqueo pasa a ser de 1 día entero.
Usa CAPTCHA
Ese requisito único de ingresar una palabra, una combinación de caracteres o el número de gatos en una imagen generada, es altamente efectivo contra los bots , aunque los piratas informáticos han comenzado a utilizar herramientas de reconocimiento óptico de caracteres para superar este mecanismo de seguridad.
Todos nos hemos acostumbrado a esta dinámica, en mayor o menor medida, ciertamente un poco molesta. Es algo que impacta negativamente en la experiencia de usuario. Pero por suerte ahora tenemos el llamado Captcha Invisible que es transparente para el usuario y no causa ese efecto tan negativo.
En definitivo, es un sistema que no es siempre certero y exacto, pero es otro escalón más que el atacante tendría que superar.
Emplea la autenticación de dos factores (2FA)
Muchos consideramos que la autenticación de dos factores es la primera línea de defensa contra los ataques de fuerza bruta. La implementación de una solución de este tipo reduce en gran medida el riesgo de una posible filtración de datos.
Lo mejor de 2FA es que la contraseña por sí sola no es suficiente. Incluso si un atacante descifra la contraseña, tendría que tener acceso a tu teléfono móvil o cliente de correo electrónico. Los atacantes muy persistentes pueden intentar superar este obstáculo (prácticamente imposible), pero la mayoría dará la vuelta y buscará un objetivo más fácil.
Utiliza direcciones URL de inicio de sesión únicas
Crea direcciones URL de inicio de sesión únicas para diferentes grupos de usuarios. Esto no detendrá un ataque de fuerza bruta, pero la introducción de esta variable adicional hará que las cosas sean un poco más desafiantes y requieran más tiempo y dedicación para un atacante. Como siempre, se trata de ponérselo aún más complicado.
Resumen
Siempre digo lo mismo. La seguridad al 100% no existe. Siempre estamos expuestos. Nada es infalible. De lo que se trata es de poner las cosas difíciles a los amigos de lo ajeno. De buscar herramientas que nos permitan crear barreras infranqueables y que al menos esas barreras, de ser tumbadas, tengan detrás otras tantas que hagan desistir la mayoría de los ataques y vulnerabilidades.
En 2020 Cisco ya hizo un informe muy exhaustivo de la situación de Internet y sus conexiones y ya vaticinaba que los ataques se duplicarían de los 7,9 millones en 2018/2019 a los 15,4 millones en 2023.
