Fuerza bruta se refiere a la prueba sistemática de contraseñas. Los atacantes prueban distintas variantes hasta lograr el acceso. Para el ataque usan listas de combinaciones populares, bases de datos filtradas o prueban secuencias cortas de caracteres. El objetivo siempre es el mismo. Los atacantes intentan engañar al sistema de autenticación y obtener acceso a la cuenta de otra persona.
En un ataque masivo de fuerza bruta nadie introduce manualmente la combinación 123456 en el formulario de inicio de sesión. Los atacantes escriben scripts para realizar solicitudes automáticas, cargan diccionarios de contraseñas, bases de datos filtradas, usan proxies y sortean las restricciones. La protección debe diseñarse tanto a nivel de la contraseña como del servicio. El sistema debe limitar la cantidad de intentos, detectar actividad sospechosa y solicitar un segundo factor.
La gente a menudo considera segura una contraseña como P@ssw0rd!, y percibe una frase larga de varias palabras como una protección débil. Una contraseña corta con sustituciones de letras por símbolos se rompe más rápido que una frase larga y comprensible para su propietario. Aumentar la longitud ofrece más combinaciones posibles. Las sustituciones predecibles llevan tiempo incluidas en los diccionarios de los atacantes.
Cómo funciona la fuerza bruta
Primero los atacantes eligen la objetivo. Puede ser una cuenta, correo, VPN, panel de administrador, servicio en la nube, archivo, base de hashes o una cuenta local. Luego determinan el método de adivinación. Los servicios en línea se protegen limitando el número de intentos de inicio de sesión. Si roban una base de hashes, la velocidad de prueba fuera del sitio aumenta mucho. Las solicitudes ya no pasan por el formulario de autenticación.
| Tipo de ataque | Cómo funciona | Qué protege |
|---|---|---|
| Fuerza bruta directa | Los atacantes prueban diferentes combinaciones de caracteres. | Contraseñas largas, limitación de intentos, autenticación multifactor (MFA). |
| Ataque por diccionario | La búsqueda se realiza con palabras populares, nombres, fechas, patrones y contraseñas filtradas. | Prohibir contraseñas frecuentes y comprometidas. |
| Ataque de pulverización de contraseñas | Una contraseña popular se prueba en muchas cuentas. | Monitoreo de inicios de sesión fallidos masivos y autenticación multifactor. |
| Relleno de credenciales | Pares de usuario y contraseña filtrados se prueban en otros servicios. | Contraseñas únicas y gestores de contraseñas. |
| Ataque fuera de línea | Los atacantes prueban contraseñas contra un hash robado sin interactuar con el sitio. | Hashing seguro, uso de sal, contraseñas largas. |
El principal peligro para los usuarios es reutilizar la misma contraseña en diferentes sitios y usar combinaciones cortas. Si una contraseña se filtra desde un servicio, los atacantes la probarán en correo, redes sociales, marketplaces, nubes y sistemas corporativos. Las secuencias cortas son fáciles de probar, incluso si contienen símbolos especiales.
Por qué la longitud suele ser más importante que la complejidad
Antes la complejidad de una contraseña se reducía a exigir mayúsculas, dígitos y símbolos. En respuesta, la gente inventaba combinaciones predecibles. Los usuarios ponían un nombre, un año, un signo de exclamación o cambiaban letras por símbolos parecidos. Formalmente se cumplían los requisitos. En la práctica los atacantes llevan tiempo añadiendo esos patrones a sus algoritmos.
Las contraseñas largas funcionan mejor. Cada palabra o símbolo adicional aumenta drásticamente el número de combinaciones posibles. Una frase de varias palabras aleatorias se memoriza con facilidad y protege mejor que una mezcla corta de símbolos. Una frase segura evita citas conocidas, títulos de películas, letras de canciones o información personal obvia.
- Una contraseña corta con sustituciones predecibles de letras por símbolos funciona mal.
- Los nombres, fechas de nacimiento, nombres de ciudades, nombres de mascotas y números de teléfono son una protección débil.
- Es mucho más fiable crear una frase larga con varias palabras no relacionadas.
- La mejor solución es una contraseña única generada por un gestor de contraseñas para cada servicio.
Las recomendaciones actuales del NIST aconsejan a los servicios permitir contraseñas largas. A los desarrolladores no les conviene imponer reglas obligatorias de mezcla de tipos de caracteres. Además, las normas recomiendan comprobar las nuevas contraseñas en listas de valores filtrados, populares o demasiado simples. Una política de contraseñas adecuada reduce el riesgo real sin complicar a las personas con requisitos excesivos.
Cómo proteger la cuenta contra la adivinación
El riesgo de intrusión disminuye sin configuraciones complicadas. Basta con crear contraseñas largas y únicas, instalar un gestor de contraseñas y activar la autenticación de dos factores. El soporte de inicio de sesión mediante clave de acceso (passkey) mejora la situación. La contraseña deja de ser el principal secreto vulnerable.
- Usar una contraseña única para cada servicio importante.
- Crear contraseñas largas en lugar de añadir símbolos a palabras cortas.
- Almacenar las credenciales en gestores de contraseñas en lugar de en blocs de notas, hojas de cálculo o navegadores sin protección.
- Activar la autenticación en dos factores mediante aplicaciones, claves hardware o passkeys.
- Revisar contraseñas antiguas tras filtraciones y cambiar las credenciales comprometidas.
Para proteger cuentas personales se necesitan contraseñas únicas y un segundo factor. Estas reglas aplican especialmente al correo, bancos, servicios gubernamentales, servicios laborales, almacenamiento en la nube y mensajería. La seguridad del correo es crucial. Desde el buzón es fácil recuperar acceso al resto de cuentas.
Los gestores de contraseñas no solo almacenan datos. Evitan introducir usuario y contraseña en sitios falsos. Las aplicaciones no rellenan la información en dominios ajenos. Este enfoque sirve como un buen filtro adicional contra el phishing.
Qué debe hacer la empresa
En las empresas, la propia sistema de autenticación suele ser la vulnerabilidad. La fuerza bruta tendrá éxito si no hay límites de intentos. La situación empeora con la activación selectiva de la autenticación multifactor (MFA), la conservación de perfiles antiguos y la costumbre de empleados de repetir contraseñas en diferentes recursos.
- Limitar los intentos de inicio de sesión con retardos, bloqueos temporales y protección frente a solicitudes masivas.
- Activar la autenticación multifactor para correo, VPN, paneles de administrador, plataformas en la nube y acceso remoto.
- Prohibir contraseñas populares, filtradas, cortas y similares al nombre de usuario.
- Monitorizar anomalías para detectar múltiples inicios fallidos, autorizaciones desde países nuevos e intentos de prueba contra listas de empleados.
- Eliminar los perfiles de exempleados, usuarios de servicio antiguos y cuentas de prueba.
- Almacenar las contraseñas de forma segura usando hashing robusto.
El estándar OWASP describe la limitación de intentos de inicio de sesión como la restricción de accesos. La tecnología aplica límites, retardos y otras medidas contra el adivinamiento. En una red corporativa esas medidas se combinan con el registro de eventos. El equipo de seguridad de la información debe ver las fuentes de las solicitudes, las cuentas objetivo y las repeticiones de intentos en distintos servicios.
Una política de seguridad adecuada descarta exigir el cambio de contraseñas cada 30 días sin motivos justificables. El cambio frecuente provoca que la gente cree variantes predecibles. Los usuarios simplemente toman la contraseña antigua y añaden un nuevo dígito al final. Es mucho más eficaz exigir frases largas, bloquear combinaciones débiles conocidas, activar la autenticación multifactor y solicitar la actualización solo ante sospecha real de compromiso.
Errores comunes con las contraseñas
La mayoría de errores con las contraseñas son cotidianos. La gente busca autenticarse rápido, memorizar la combinación y no complicarse la vida. Los atacantes explotan activamente esos hábitos.
- Usar la misma contraseña en correo, redes sociales, tiendas y servicios laborales.
- Hacer una palabra corta aparentemente más segura añadiendo un solo dígito o símbolo al final.
- Guardar credenciales en archivos en el escritorio o en hojas compartidas.
- Activar MFA solo para la dirección, dejando sin protección a administradores y empleados.
- Los servicios permiten intentos de inicio de sesión indefinidos sin retardos ni bloqueos.
- Dejar cuentas antiguas activas tras la salida de personal o la finalización de proyectos.
La principal vulnerabilidad sigue siendo la reutilización de contraseñas. Una frase larga y única para cada servicio evita muchos problemas. Este enfoque funciona mucho mejor que exigir añadir un símbolo al final de una palabra.
Preguntas frecuentes
¿En qué se diferencian la fuerza bruta y el ataque por diccionario?
Fuerza bruta, en sentido amplio, significa cualquier adivinación de contraseña. El ataque por diccionario utiliza listas preparadas de palabras populares, contraseñas filtradas y patrones típicos. En la práctica los atacantes combinan ambos métodos.
¿Por qué una contraseña larga es más segura que una corta y compleja?
La longitud aumenta drásticamente el número de combinaciones posibles. Las contraseñas cortas y complejas a menudo se crean siguiendo esquemas predecibles. Varias palabras aleatorias protegen de forma más eficaz que una palabra corta con un dígito y un símbolo añadidos.
¿Es necesario cambiar la contraseña de forma regular?
Se deben actualizar las contraseñas tras una filtración de datos, intentos sospechosos de inicio de sesión, pérdida de dispositivos, despido de empleados o violaciones de acceso. Exigir cambios frecuentes sin motivos visibles provoca la creación de variantes débilmente predecibles.
¿Protege la autenticación multifactor completamente contra la fuerza bruta?
La autenticación multifactor reduce considerablemente los riesgos. No garantiza la invulnerabilidad total de la cuenta. Persisten amenazas como el phishing, la fatiga por notificaciones push, el robo de sesiones y procedimientos débiles de recuperación de acceso. Una protección fiable requiere combinar MFA con contraseñas largas, monitorización de inicios y limitación de intentos de autorización.
¿Cuáles son las prioridades de las empresas entre contraseñas complejas y protección del acceso?
La seguridad exige un enfoque integral. Las empresas combinan contraseñas largas y únicas, bloqueo de combinaciones débiles conocidas, activación de MFA y limitación de intentos de autorización. Paralelamente, implementan monitorización de inicios sospechosos y desactivación rápida de cuentas no vigentes. Solo exigir contraseñas complejas no resolverá el problema.
