El ataque de fuerza bruta es utilizado por un atacante para probar combinaciones de contraseñas con el objetivo de identificar las credenciales de un usuario y así lograr acceder a una cuenta o aplicación. Un atacante prueba combinaciones de contraseñas y nombres de un usuario utilizando diferentes técnicas, como: “credential stuffing”, “password spraying” o ataque de diccionario. Para ello, utiliza la información obtenida de brechas de seguridad que han sufrido las compañías y que se encuentran públicas.

Una de las consecuencias que trajo la crisis sanitaria por el COVID-19, fue migrar el trabajo presencial al remoto en varias empresas de todo mundo y muchas de ellas, al no haber implementado las medidas adecuadas, quedaron expuestas a riesgos de seguridad.

A los pocos meses de declararse la pandemia, se pudo comprobar un notable incremento de ataques de fuerza bruta dirigidos al Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés). Dos años después ESET, compañía experta en ciberseguridad, puede confirmar que sigue siendo uno de los ataques preferidos por los atacantes para tratar de comprometer la seguridad de las compañías.

Según datos publicados por ESET correspondientes al segundo cuatrimestre del 2021, los ataques de fuerza bruta fueron el principal vector de ataque a redes informáticas con el 53% de las detecciones. También, los ataques de RDP aumentaron en el segundo cuatrimestre del 2021, con 55 mil millones de detecciones, un aumento del 104% en comparación con el cuatrimestre anterior.

Ross Bevington publicó en su cuenta de LinkedIn un análisis de más de 25 millones de intentos de fuerza bruta contra SSH en 30 días con los siguientes resultados:
• Solamente el 7% de los intentos incluía un carácter especial.
• El 39% incluía al menos un carácter numérico.
• Ninguna incluía un espacio en blanco.
• El 77% de los intentos utilizaba una contraseña que contenía entre 1 y 7 caracteres.
• Solamente el 6% de las contraseñas eran de 10 caracteres.

Esto indica que los principales esfuerzos están centrados en contraseñas débiles y, por lo tanto, entre más compleja sea la contraseña, es menos probable que sea identificada en este tipo de ataques.

Referencias:
https://www.welivesecurity.com/la-es/2020/06/24/que-es-ataque-fuerza-bruta-como-funciona/
https://www.linkedin.com/posts/ross-bevington-854440152_i-analysed-the-credentials-entered-from-over-activity-6842405845427359744-VF_S