Para el sistema de TI de su empresa, necesita una prueba concreta que demuestre que su negocio en línea es sólido contra varios tipos de ciberataques, especialmente los ataques de fuerza bruta.
¿Qué es un ataque de fuerza bruta?
¡Un ataque de fuerza bruta es uno de los ciberataques más peligrosos que quizás no tengas ningún truco para enfrentar! Un ataque de fuerza bruta tiene como objetivo el corazón de su sitio web o la seguridad de su dispositivo, la contraseña de inicio de sesión o las claves de cifrado. Utiliza el método continuo de prueba y error para explorarlos de manera decisiva.
Las formas de ataque de fuerza bruta son variadas, principalmente en:
- Ataques híbridos de fuerza bruta: intentar o enviar miles de palabras esperadas y del diccionario, o incluso palabras aleatorias.
- Ataques de fuerza bruta inversa: intentar obtener la clave de derivación de la contraseña mediante una investigación exhaustiva.
¿Por qué necesitamos herramientas de prueba de penetración?
Los atacantes de fuerza bruta utilizan varias herramientas para lograr este objetivo. Puede utilizar estas herramientas de ataque de fuerza bruta para Penetración. Esta prueba también se llama "pentesting" o "prueba de penetración".
La prueba de penetración es la práctica de intentar piratear sus propios sistemas de TI utilizando las mismas formas en que lo hacen los piratas informáticos. Esto le permite identificar cualquier agujero de seguridad.
Nota:: las siguientes herramientas pueden generar muchas solicitudes que debe realizar solo en el entorno de su aplicación.
Gobuster
Gobuster es una de las herramientas de fuerza bruta más potentes y rápidas que no necesita tiempo de ejecución. Utiliza un escáner de directorio programado por Ir idioma; es más rápido y más flexible que el guión interpretado.
Caracteristicas
- Gobuster también es conocido por su increíble soporte para la concurrencia, que le permite manejar múltiples tareas y extensiones, manteniendo su velocidad de procesamiento.
- Una herramienta liviana sin la GUI de Java funciona solo en la línea de comandos en muchas plataformas.
- Ayuda incorporada
Modos
- dir - el modo de directorio clásico
- dns - modo subdominio DNS
- s3: enumere los depósitos de S3 abiertos y busque listas de existencia y de depósitos
- vhost - modo de host virtual
Sin embargo, sufre de una falla, la deficiencia de búsqueda de directorios recursiva, lo que reduce su efectividad para directorios de niveles múltiples.
BruteX
BrutoX es una gran herramienta todo en uno basada en shell de fuerza bruta y de código abierto para todas sus necesidades para alcanzar el objetivo.
- Puertos abiertos
- Nombres de usuario
- contraseñas
Utiliza el poder de enviar una gran cantidad de posibles contraseñas de forma sistemática.
Incluye muchos servicios que se obtuvieron de algunas otras herramientas, como Nmap, Hydra & DNS enum. Esto le permite buscar puertos abiertos, inicie FTP de fuerza bruta, SSH y determine automáticamente el servicio en ejecución del servidor de destino.
Dirsearch
búsqueda es una herramienta avanzada de fuerza bruta basada en una línea de comandos. Es un escáner de rutas web AKA y puede hacer fuerza bruta en directorios y archivos en servidores web.
Dirsearch se convierte recientemente en parte de la oficial Kali Linux paquetes, pero también se ejecuta en Windows, Linux y macOS. Esta escrito en Python para ser fácilmente compatible con proyectos y scripts existentes.
También es mucho más rápido que la herramienta DIRB tradicional y contiene muchas más funciones.
- Soporte Proxy
- multihilo
- Aleatorización de agente de usuario
- Soporte para múltiples extensiones
- Arena del escáner
- Solicitar retrasar
Para el escaneo recursivo, Dirsearch es el ganador. Está retrocediendo y rastreando, buscando directorios adicionales. Junto con la velocidad y la simplicidad, proviene de las mejores salas de fuerza bruta para cada pentester.
Callow
Inexperto es una herramienta de fuerza bruta de inicio de sesión fácil de usar y personalizable. Escrito en Python 3. Está diseñado para satisfacer las necesidades y circunstancias de los novatos.
Se han proporcionado experimentos de usuario flexibles para un fácil manejo de errores, especialmente para que los principiantes los comprendan e intuyan fácilmente.
SSB
Fuerza bruta de caparazón seguro (SSB) es una de las herramientas más rápidas y sencillas para servidores SSH de fuerza bruta.
El uso del shell seguro de SSB le brinda una interfaz adecuada, a diferencia de otras herramientas que descifran la contraseña de un servidor SSH.
Thc-Hydra
Hydra es una de las herramientas más famosas para descifrar el inicio de sesión que se utiliza en Linux o Windows / Cygwin. Además, para Solaris, FreeBSD / OpenBSD, QNX (Blackberry 10) y macOS. Admite muchos protocolos como AFP, HTTP-FORM-GET, HTTP-GET, HTTP-FORM-POST, HTTP-HEAD, HTTP-PROXY y más.
Instalado de forma predeterminada en Kali Linux, Hydra se diseñó con versiones gráficas y de línea de comandos. Puede descifrar uno o una lista de nombres de usuario / contraseñas mediante el método de fuerza bruta.
Además, está en paralelo, la herramienta muy rápida y flexible que le permite proteger la posibilidad de acceso no autorizado a su sistema de forma remota.
Algunas otras herramientas de piratas informáticos de inicio de sesión se utilizan para la misma función, pero solo Hydra admite muchos protocolos diferentes y conexiones paralelizadas.
Burp Suite

Profesional de Burp Suite es un conjunto de herramientas esencial para los probadores de seguridad web y viene con funciones rápidas y confiables. Y también, puede automatizar tareas de prueba monótonas. Además, está diseñado por las funciones de prueba de seguridad manuales y semiautomatizadas de los expertos. Muchos expertos lo utilizan para probar los diez mejores de OWASP vulnerabilidades.
Burp ofrece muchas características únicas, desde aumentar la cobertura de escaneo hasta personalizarlo hasta el modo oscuro. Puede probar / escanear aplicaciones web modernas ricas en funciones, JavaScript, API de prueba.
Es una herramienta diseñada realmente para probar servicios, no para piratear, como muchos otros. Por lo tanto, registra secuencias de autenticación complejas y escribe informes para que los usuarios finales los utilicen directamente y los compartan.
También tiene la ventaja de realizar pruebas de seguridad de aplicaciones fuera de banda (OAST) que alcanzan muchas vulnerabilidades invisibles que otros no pueden. Además, es el primero en beneficiarse del uso de PortSwigger Research, que lo coloca a la vanguardia.
Patator
patador es una herramienta de fuerza bruta para usos múltiples y flexible dentro de un diseño modular. Aparece como reflejo de frustración al usar otras herramientas y scripts de ataques de obtención de contraseñas. Patator elige un nuevo enfoque para no repetir viejos errores.
Escrito en Python, Patator es una herramienta de múltiples subprocesos que desea realizar pruebas de penetración de una manera más flexible y confiable que los antepasados. Admite muchos módulos, incluidos los siguientes.
- FTP
- SSH
- MySQL
- SMTP
- Telnet
- DNS
- PYME
- IMAP
- LDAP
- iniciar sesión
- Archivos zip
- Archivos de almacén de claves de Java
Pydictor
Pydictor es otra gran herramienta poderosa para piratear diccionarios. Cuando se trata de pruebas largas y de seguridad de contraseñas, puede sorprender tanto a los principiantes como a los profesionales. Es una herramienta que los atacantes no pueden distribuir en su arsenal. Además, tiene un exceso de funciones que le permiten disfrutar de un rendimiento realmente sólido en cualquier situación de prueba.
- Asistente permanente: le permite crear una lista de palabras general, una ingeniería social lista de palabras, una lista de palabras especial que utiliza el contenido web, etc. Además, contiene un filtro para ayudar a enfocar su lista de palabras.
- Altamente personalizado: puede personalizar los atributos de la lista de palabras según sus necesidades mediante el uso de filtros por longitud, modo de lectura y más funciones.
- Flexibilidad y compatibilidad: puede analizar el archivo de configuración, con la capacidad de funcionar sin problemas en Windows, Linux o Mac.
Diccionarios Pydictor
- Diccionario numérico
- Diccionario alfabético
- Diccionario alfabético en mayúsculas
- Numérico junto con el alfabeto en mayúsculas
- Mayúsculas junto con letras minúsculas
- Numeral junto con el alfabeto en minúsculas
- Combinando mayúsculas, minúsculas y números
- Adición de cabeza estática
- Manipulación del filtro de complejidad del diccionario
Ncrack
ncrack es una especie de herramienta de descifrado de redes con un rendimiento de alta velocidad. Está diseñado para que las empresas las ayuden a probar sus dispositivos de red en busca de contraseñas débiles. Muchos profesionales de la seguridad recomiendan utilizar Ncrack para auditar la seguridad de las redes del sistema. Fue lanzado como una herramienta independiente o como parte de la Kali Linux.
Mediante un enfoque modular y un motor dinámico, Ncrack diseñado con una línea de comandos puede ajustar su comportamiento de acuerdo con la retroalimentación de la red. Y puede realizar auditorías amplias confiables para muchos hosts al mismo tiempo.
Las características de Ncrack no se limitan a una interfaz flexible, sino que aseguran el control total de las operaciones de red para el usuario. Eso permite increíbles y sofisticados ataques de fuerza bruta, interacción en tiempo de ejecución y plantillas de tiempo para facilitar el uso, como Nmap.
Los protocolos admitidos incluyen SSH, RDP, FTP, Telnet, HTTP (S), WordPress, POP3 (S), IMAP, CVS, SMB, VNC, SIP, Redis, PostgreSQL, MQTT, MySQL, MSSQL, MongoDB, Cassandra, WinRM, OWA y DICOM, que lo califica para una amplia gama de industrias.
Hashcat
Hashcat es una herramienta de recuperación de contraseña. Puede funcionar en Linux, OS X y Windows y es compatible con muchos algoritmos Hashcat compatibles con hashcat, como MD4, MD5, familia SHA, hashes LM y formatos Unix Crypt.
Hashcat se ha hecho conocido debido a que sus optimizaciones dependen en parte del software que ha descubierto el creador de Hashcat.
Hashcat tiene dos variantes:
- Herramienta de recuperación de contraseña basada en CPU
- Herramienta de recuperación de contraseña basada en GPU
La herramienta GPU puede descifrar algunos hashcat-legacy en menos tiempo que la herramienta CPU (MD5, SHA1 y otras). Pero las GPU no pueden descifrar todos los algoritmos más rápido. Sin embargo, Hashcat había sido descrito como el descifrador de contraseñas más rápido del mundo.
Conclusión
Después de este espectáculo detallado, tiene un variado arsenal de herramientas para reemplazar. Elige lo que más te convenga para cada situación y circunstancia a la que te enfrentas. No hay razón para creer que no hay diversidad de alternativas. En algunos casos, las herramientas más simples son las mejores, y en otros casos, lo contrario.
A continuación, explore algunos de los herramientas de investigación forense.