Efectividad depende de complejidad de contraseña: una contraseña de 8 caracteres alfanumérica tarda minutos en ser forzada; 12+ caracteres con símbolos requiere meses.
Qué es un ataque de fuerza bruta
Un ataque de fuerza bruta intenta acceder a una cuenta o servicio probando repetitivamente combinaciones de contraseña o credenciales hasta encontrar la válida. Es un ataque simple pero efectivo: un atacante automatiza intentos contra un servicio expuesto (RDP, SSH, VPN, portal web) para comprometer credenciales débiles. La efectividad depende de la complejidad de la contraseña objetivo y de la ausencia de controles defensivos como autenticación multifactor, rate limiting, y detección de intentos anormales.
Por qué importa
Los ataques de fuerza bruta son la causa de brechas frecuentes, especialmente contra servicios remotos expuestos (RDP abierto, VPN sin MFA, portales de administración débiles). Credenciales comprometidas por fuerza bruta permiten acceso inicial para movimiento lateral, escalada de privilegios, y establecimiento de persistencia. Regulaciones como ISO 27001, NIS2 y DORA exigen: políticas de contraseña fuerte, MFA obligatorio, y detección de intentos anormales. Un CISO debe inventariar servicios expuestos, implementar MFA en todos los accesos remotos, y monitorear logs de intentos fallidos en SIEM para alertar sobre patrones de ataque.
Puntos clave
Controles defensivos son críticos: MFA elimina riesgo (credencial sola no es suficiente); rate limiting ralentiza intentos; lockout temporal tras N intentos fallidos; CAPTCHA en portales web.
Detección requiere monitoreo: SIEM debe alertar sobre múltiples intentos fallidos desde misma IP, patrón de fuerzas bruta contra múltiples usuarios, o patrones inusuales de login.
Ataques híbridos: diccionario (contraseñas comunes) es más efectivo que random; credential stuffing reutiliza credenciales comprometidas de otras brechas; spray attacks prueban contraseña común contra muchos usuarios.
Ejemplo: Fuerza bruta contra RDP expuesto en internet
Una empresa expone puerto RDP (3389) en internet para teletrabajo sin VPN. Un atacante lanza ataque de fuerza bruta usando lista de contraseñas comunes contra cuenta de administrador. Sin rate limiting ni MFA, intenta 1.000 combinaciones por minuto durante 2 horas. Descubre contraseña débil 'Admin@2023'. Acceso conseguido: crea cuenta dormida, instala malware, y se mueve a servidores internos. Descubrimiento: analista de seguridad revisa logs de RDP y nota 1M de intentos fallidos en 2 horas de misma IP externa. Solución implementada: cierre RDP directo, VPN con MFA obligatorio, rate limiting en intentos de login, y alerta automática en SIEM para >10 intentos fallidos por IP en 10 minutos.
Errores habituales
- Asumir que contraseña simple es suficiente porque 'solo empleados acceden'; si servicio está en internet, atacantes automáticos prueban constantemente.
- No implementar MFA pensando que solo lo usan atacantes avanzados; fuerza bruta es automatizada y sin discriminación; MFA es defensa obligatoria.
- Ignorar logs de intentos fallidos; correlacionarlos en SIEM con IPs origen y patrones es forma más simple de detecciones ataques activos.
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuánto tarda un ataque de fuerza bruta en romper una contraseña?
Depende de complejidad: 6 caracteres alphanumeric tarda minutos; 8 caracteres con símbolos tarda horas; 12+ caracteres tarda semanas o años. Pero diccionario de contraseñas comunes es mucho más rápido: '123456', 'admin', 'Password1' se prueban primero. Herramientas como Hashcat aceleran si hash está disponible.
¿Qué diferencia hay entre diccionario y fuerza bruta pura?
Fuerza bruta pura prueba todas combinaciones (exponencial, muy lento). Diccionario prueba contraseñas conocidas y variantes comunes (ej: agregar año 2024, cambiar letra por número). Hybrid attack combina ambos: toma lista de palabras comunes y añade números/símbolos. Diccionario es mucho más efectivo en práctica.
¿Cómo detecto un ataque de fuerza bruta en mi SIEM?
Correlaciona logs: >10 intentos fallidos desde misma IP en 10 min, intentos contra múltiples usuarios desde misma IP, patrones de intentos seguidos sin espera, acceso exitoso tras ráfaga de fallos. Alertas deben dispararse automáticamente; además investigar y bloquear IP origen en firewall.