Para el sistema informático de su empresa, necesita una prueba concreta que demuestre que su negocio en línea es sólido frente a diversos tipos de ciberataques, especialmente los ataques de fuerza bruta.
¿Qué es un ataque por fuerza bruta?
Un ataque de fuerza bruta es uno de los ciberataques más peligrosos al que puede que no tenga ningún truco para enfrentarse Un ataque de fuerza bruta apunta al corazón de la seguridad de su sitio web o de su dispositivo, la contraseña de acceso o las claves de cifrado. Utiliza el método continuo de ensayo y error para explorarlas con decisión.
Las formas de ataque de fuerza bruta son variadas, principalmente en:
- Ataques de fuerza brutahíbridos: Probando o enviando miles de palabras esperadas y del diccionario, o incluso palabras aleatorias.
- Ataques de fuerza brutainversa: Intentando obtener la clave de derivación de la contraseña mediante una investigación exhaustiva.
Independientemente del tipo de ataque de fuerza bruta al que se enfrente, lo mejor es asegurarse de que su sistema está a salvo de todos los casos.
Principales herramientas de ataque de fuerza bruta en 2024
En esta lista, encontrará algunas de las mejores herramientas de ataque de fuerza bruta que puede utilizar para su pentest (prueba de penetración). Y, si no ha utilizado ninguna antes o no está convencido de su utilidad, puede desplazarse hasta el final de la lista, donde he comentado por qué las pruebas de penetración son un aspecto importante del sistema informático de su organización y de su seguridad.
Pero antes, echemos un vistazo a las herramientas de ataque de fuerza bruta que puede utilizar.
Nota: Las siguientes herramientas pueden generar muchas peticiones que debería realizar sólo contra el entorno de su aplicación.
Gobuster
Gobuster es una de las herramientas de fuerza bruta más potentes y rápidas que no necesita tiempo de ejecución. Utiliza un escáner de directorios programado en lenguaje Go; es más rápido y flexible que un script interpretado.
Características
- Gobuster es conocido también por su increíble soporte para concurrencia, que le permite manejar múltiples tareas y extensiones, manteniendo su velocidad de procesamiento.
- Es una herramienta ligera sin interfaz gráfica de usuario Java que funciona sólo en la línea de comandos en muchas plataformas.
- Ayuda incorporada
Modos
- dir – el modo de directorio clásico
- dns – Modo subdominio DNS
- s3 – Enumera cubos S3 abiertos y busca existencia y listados de cubos
- vhost – modo de host virtual
Sin embargo, adolece de un fallo, la pobreza para la búsqueda recursiva de directorios, lo que reduce su eficacia para directorios de varios niveles.
BruteX
BruteX es una gran herramienta todo en uno de fuerza bruta basada en shell y de código abierto para todas sus necesidades de alcanzar el objetivo.
- Puertos abiertos
- Nombres de usuario
- Contraseñas
Utiliza el poder de enviar un gran número de posibles contraseñas de forma sistemática.
Incluye muchos servicios que se recogen de algunas otras herramientas como Nmap, Hydra y DNS enum. Esto le permite escanear puertos abiertos, iniciar fuerza bruta FTP, SSH y determinar automáticamente el servicio en ejecución del servidor objetivo.
Lea también: Escáneres de puertos en línea para encontrar puertos abiertos en el servidor y la IP
Dirsearch
Dirsearch es una herramienta avanzada de fuerza bruta basada en una línea de comandos. Es un escáner de rutas web y puede realizar fuerza bruta en directorios y archivos de servidores web.
Dirsearch se convirtió recientemente en parte de los paquetes oficiales de Kali Linux, pero también funciona en Windows, Linux y macOS. Está escrito en Python para ser fácilmente compatible con los proyectos y scripts existentes.
También es mucho más rápido que la herramienta DIRB tradicional y contiene muchas más funciones.
- Soporte de proxy
- Multihilo
- Aleatorización del agente de usuario
- Soporte para múltiples extensiones
- Escáner arena
- Retraso de solicitudes
Para el rastreo recursivo, Dirsearch es el ganador. Vuelve atrás y rastrea, buscando cualquier directorio adicional. Junto a su velocidad y sencillez, es de las mejores salas de fuerza bruta para todo pentester.
Callow
Callow es una herramienta de fuerza bruta de login fácil de usar y personalizable escrita en Python 3. Está diseñada para satisfacer las necesidades y circunstancias de los novatos.
Proporciona experimentos de usuario flexibles para una fácil gestión de errores, especialmente para que los principiantes la entiendan e intuyan fácilmente.
SSB
Secure Shell Bruteforcer (SSB) es una de las herramientas más rápidas y sencillas para realizar fuerza bruta en servidores SSH.
El uso del shell seguro de SSB le proporciona una interfaz adecuada, a diferencia de otras herramientas que descifran la contraseña de un servidor SSH.
Thc-Hydra
Hydra es una de las herramientas más famosas para crackear inicios de sesión utilizada tanto en Linux como en Windows/Cygwin. Además, para Solaris, FreeBSD/OpenBSD, QNX (Blackberry 10) y macOS. Soporta muchos protocolos, como AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY, y más.
Instalado por defecto en Kali Linux, Hydra está diseñado con versiones de línea de comandos y gráficas. Puede descifrar un único nombre de usuario/contraseña o una lista de ellos mediante el método de fuerza bruta.
Además, es paralelizado, muy rápido, y una herramienta flexible que le permite tienda la posibilidad de acceso no autorizado a su sistema de forma remota.
Algunas otras herramientas de pirateo de inicios de sesión se utilizan para la misma función, pero sólo Hydra soporta muchos protocolos diferentes y conexiones paralelizadas.
Suite Burp
Burp Suite Professional es un conjunto de herramientas esencial para los probadores de seguridad web, y viene con funciones rápidas y fiables. Además, puede automatizar tareas de comprobación monótonas. Además, está diseñado por las características de pruebas de seguridad manuales y semiautomatizadas de los expertos. Muchos expertos lo utilizan para probar las diez principales vulnerabilidades de OWASP.
Burp ofrece muchas características únicas, desde aumentar la cobertura del escaneado hasta poder personalizarlo para el modo oscuro. Puede probar/escanear aplicaciones web modernas ricas en funciones, JavaScript y API de prueba.
Es una herramienta diseñada realmente para probar servicios, no para piratear, como muchas otras. Así pues, registra secuencias de autenticación complejas y redacta informes para que los usuarios finales puedan utilizarlos y compartirlos directamente.
También tiene la ventaja de realizar pruebas de seguridad de aplicaciones fuera de banda (OAST) que llegan a muchas vulnerabilidades invisibles que otros no pueden. Además, es el primero en beneficiarse del uso de PortSwigger Research, lo que le sitúa por delante.
Patator
Patator es una herramienta de fuerza bruta de uso polivalente y flexible dentro de un diseño modular. Aparece como un reflejo de frustración al utilizar algunas otras herramientas y scripts de ataques de obtención de contraseñas. Patator selecciona un nuevo enfoque para no repetir viejos errores.
Escrito en Python, Patator es una herramienta multihilo que quiere servir a las pruebas de penetración de una manera más flexible y fiable que sus antepasados. Soporta muchos módulos, incluyendo los siguientes
- FTP
- SSH
- MySQL
- SMTP
- Telnet
- DNS
- SMB
- IMAP
- LDAP
- rlogin
- Archivos Zip
- Archivos Java Keystore
Con tantos módulos soportados por esta herramienta de ataque de fuerza bruta, definitivamente vale la pena probarla.
Pydictor
Pydictor es otra gran herramienta de ataque por diccionario. Cuando se trata de pruebas de fuerza bruta y de contraseñas, puede asombrar tanto a novatos como a profesionales. Es una herramienta que los atacantes no pueden prescindir en su arsenal. Además, cuenta con un exceso de funciones que le permitirán disfrutar de un sólido rendimiento en cualquier situación de prueba.
- Asistente permanente: Le permite crear una lista de palabras general, una lista de palabras de ingeniería social, una lista de palabras especial utilizando el contenido de la web, etc. Además, contiene un filtro que le ayudará a centrar su lista de palabras.
- Altamente personalizable: Puede personalizar los atributos de la lista de palabras según sus necesidades mediante el filtro por longitud, el modo leet y otras funciones.
- Flexibilidad y compatibilidad: es capaz de analizar el archivo de configuración, con la capacidad de funcionar sin problemas tanto en Windows como en Linux o Mac.
Los diccionarios de Pydictor incluyen los siguientes:
- Diccionario numérico
- Diccionario alfabético
- Diccionario Alfabético Mayúsculas
- Numérico acoplado con alfabeto en mayúsculas
- Alfabeto mayúsculas acoplado a minúsculas
- Numeral acoplado a minúscula alfabética
- Combinación de mayúsculas, minúsculas y numeral
- Añadir cabeza estática
- Manipulación del filtro de complejidad del diccionario
Como puede ver, Pydictor es bastante completo y merece su consideración.
Ncrack
Ncrack es un tipo de herramienta de cracking de red con un rendimiento de alta velocidad. Está diseñada para ayudar a las empresas a probar sus dispositivos de red en busca de contraseñas débiles. Muchos profesionales de la seguridad recomiendan utilizar Ncrack para auditar la seguridad de las redes de sistemas. Se lanzó como herramienta independiente o como parte de Kali Linux.
Mediante un enfoque modular y un motor dinámico, Ncrack diseñado con una línea de comandos puede conformar su comportamiento de acuerdo con la retroalimentación de la red. Además, puede realizar auditorías amplias fiables para muchos hosts al mismo tiempo.
Las características de Ncrack no se limitan a una interfaz flexible, sino que aseguran al usuario el control total de las operaciones de red. Eso permite asombrosos y sofisticados ataques de fuerza bruta, interacción en tiempo de ejecución y plantillas de tiempo para facilitar el uso, como Nmap.
Los protocolos soportados incluyen SSH, RDP, FTP, Telnet, HTTP(S), WordPress, POP3(S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA y DICOM, lo que lo cualifica para una amplia gama de industrias.
Hashcat
Hashcat es una herramienta de recuperación de contraseñas. Puede funcionar en Linux, OS X y Windows y es compatible con muchos algoritmos Hashcat como MD4, MD5, SHA-family, hashes LM y formatos Unix Crypt.
Hashcat se ha hecho muy conocido debido a sus optimizaciones que dependen en parte del software que el creador de Hashcat ha descubierto.
Hashcat tiene dos variantes:
- Herramienta de recuperación de contraseñas basada en CPU
- Herramienta de recuperación de contraseñas basada en GPU
La herramienta para GPU puede crackear algunos algoritmos hashcat en menos tiempo que la herramienta para CPU (MD5, SHA1 y otros). Pero no todos los algoritmos pueden ser crackeados más rápido por las GPU. Sin embargo, Hashcat ha sido descrito como el descifrador de contraseñas más rápido del mundo.
Ahora que ha echado un vistazo a estas herramientas de pruebas de penetración, entendamos también por qué las necesitamos en primer lugar.
Por qué necesitamos herramientas de pruebas de penetración
Los atacantes de fuerza bruta utilizan varias herramientas para lograr su objetivo. Puede utilizar estas herramientas de ataque de fuerza bruta por sí mismas para la penetración. Estas pruebas también se denominan «pentesting» o «pen testing».
La prueba de penetración es la práctica de intentar piratear sus propios sistemas informáticos utilizando las mismas formas en que lo hacen los piratas informáticos. Esto le permite identificar cualquier agujero de seguridad.
Conclusión
Tras esta detallada demostración, dispondrá de un variado arsenal de herramientas con las que trabajar. Elija lo que más le convenga para cada situación y circunstancias a las que se enfrente. No hay razón para creer que no existe diversidad de alternativas. En algunos casos, las herramientas más sencillas son las mejores, y en otros, todo lo contrario.