Ataque por diccionario: ¿y si la solución fuera un diccionario de contraseñas?

¿Sabía que existen diccionarios de contraseñas disponibles gratuitamente en Internet?

Aunque esto pueda parecer aterrador a primera vista, ya que significa que los piratas informáticos pueden utilizarlos, ¡también tiene ventajas para las empresas!

¿Cómo pueden hacerlo?

En este artículo, analizaremos el concepto de lista de contraseñas y le explicaremos cómo puede utilizarlas para protegerse de los ataques de diccionario. También le daremos algunos consejos sobre cómo hacer que las contraseñas que utiliza en su organización sean aún más seguras.

Ver todos los software Seguridad informática

¿Qué es un diccionario de contraseñas?

Definición de diccionario de contraseñas

Un diccionario de contraseñas, también conocido como lista de contraseñas, recopila un conjunto de contraseñas, normalmente pirateadas o procedentes de fallos de seguridad.

Estos diccionarios tienen dos finalidades.

En primer lugar, son útiles para los piratas informáticos que utilizan ataques de diccionario. Tras los hackeos de cuentas, como el llevado a cabo en LinkedIn en 2012 (en el que se robó la información de 100 millones de usuarios), los piratas informáticos suelen poner a disposición en Internet los datos obtenidos, en particular vendiéndolos en la dark web.

Pero la buena noticia es que el contenido de estas listas de contraseñas también beneficia a particulares y empresas: gracias a ellas, pueden comprobar si sus contraseñas están incluidas.

Por ejemplo, los CIO y los responsables de seguridad de las organizaciones pueden utilizarlas para simular ataques de diccionario y comprobar así la vulnerabilidad de las contraseñas utilizadas por su personal. De hecho, el NIST, equivalente estadounidense de la ANSSI, incluye este tipo de verificación en sus recomendaciones.

Ataques de diccionario

Para comprender mejor en qué pueden ayudarle las listas de contraseñas, debemos analizar el concepto de ataques de diccionario.

Los ataques de diccionario son uno de los ciberataques más comunes, junto con los ataques de fuerza bruta y los intentos de phishing.

Consisten en probar una serie de palabras potenciales, una tras otra, utilizando un diccionario dado, hasta encontrar la correcta.

Para ello, los hackers utilizan :

• listas de contraseñas que ya han sido reveladas,
• términos contenidos en los diccionarios más comunes,
• variaciones :
  • combinaciones de caracteres utilizadas con frecuencia (abc123),
  • contraseñas modificadas mediante leet speak, un método que consiste en utilizar caracteres visualmente próximos a los iniciales ("MOTDEPASSE" se convierte en "M07D3P4553"),
  • repeticiones (contraseña-contraseña),
  • palabras que incluyen el nombre de la organización objetivo o una denominación similar, etc.
• otros tipos de listas como :
  • fechas de nacimiento o de acontecimientos célebres
  • apellidos,
  • matrículas, etc.

☝️ Si este tipo de ataque funciona, es porque muchos internautas siguen siendo descuidados y continúan utilizando términos comunes o cadenas de caracteres para construir sus contraseñas, en particular :

• nombres propios (nombre, ciudad, país, etc.),
• sustantivos comunes (animal, adjetivo, etc.),
• secuencias lógicas de números (123 456), etc.

¿Dónde puedo descargar diccionarios de contraseñas?

¿Es usted un CIO que busca acceso a los famosos diccionarios de contraseñas para poner a prueba la seguridad de su empresa?

Hay muchos, así que echemos un vistazo a los principales.

El diccionario de contraseñas CrackStation

La lista de contraseñas CrackStation fue publicada por el famoso hacker Stun... ¡y contiene nada menos que 1.493.677.782 palabras!

La razón por la que este diccionario de contraseñas gratuito disponible como torrent es tan completo es que ha sido compilado a partir de diversas fuentes:

• resultados del diccionario
• listas de contraseñas de hackeos recientes, encontradas en Internet,
• términos de las bases de datos de Wikipedia (en todos los idiomas),
• palabras de libros del Proyecto Gutenberg, una biblioteca electrónica de obras principalmente de dominio público.

Proyecto Richelieu

El proyecto Richelieu ha elaborado un diccionario de contraseñas gratuito, distribuido en GitHub bajo una licencia Creative Commons Attribution.

Proporciona una lista de las 20.000 contraseñas francesas más utilizadas en los últimos años, derivadas de filtraciones de datos y asociadas a direcciones de correo electrónico con un nombre de dominio ".fr".

Diccionario de contraseñas de Kali Linux

Kali Linux es una solución de código abierto que reúne varias herramientas relacionadas con la seguridad informática, utilizadas en particular para realizar pruebas de penetración.

Entre ellas encontramos Crunch, que permite generar diccionarios de contraseñas para operar pruebas de ataques de diccionario.

💡 Nótese también que con el entorno Kali Linux, es posible acceder a Hydra, una herramienta de cracking de contraseñas que ayuda a simular ataques de diccionario, así como ataques de fuerza bruta.

Software de política de contraseñas de Specops

El software Specops Password Policy ayuda a las empresas que utilizan Active Directory a gestionar su política de contraseñas.

Para que las organizaciones puedan protegerse contra los ataques de diccionario, la solución incluye un sistema de filtrado de contraseñas basado en un diccionario que contiene varios miles de millones de entidades de los principales ataques:

• la filtración Collection #1-5
• la lista Have I Been Pwned recopilada por el experto en seguridad Troy Hunt, etc.

De esta forma, si un empleado elige una contraseña de esta lista, el software le avisa para que cambie a una opción más segura.

Ver todos los software Seguridad informática

Nuestros consejos para protegerse de los ataques de diccionario

Además de utilizar listas de contraseñas, una buena protección contra los ataques de diccionario pasa por adoptar comportamientos básicos de seguridad, como los recomendados por la ANSSI.

Adoptar buenas prácticas en materia de contraseñas

En primer lugar, hay que aumentar la complejidad de las contraseñas para estar completamente protegido contra los ataques de diccionario y fuertemente protegido contra los ataques de fuerza bruta.

La contraseña ideal se compone de lo siguiente

• tener entre 8 y 12 caracteres (más si es posible),
• contener una combinación de caracteres especiales, mayúsculas, minúsculas y números.

Y, por supuesto, como ya te habrás dado cuenta, no debe hacer referencia a nada que ya exista, como una palabra del diccionario o una palabra de un sitio web.Como palabras del diccionario o secuencias "lógicas" como fechas de acontecimientos famosos.

Por último, conviene observar otras buenas prácticas

• renueve su contraseña regularmente (cada 90 días, según la ANSSI),
• no utilice la misma contraseña para varias cuentas,
• limitar el número de intentos de conexión autorizados, a tres por ejemplo.

Salar las contraseñas

Para no almacenar las contraseñas en texto claro en las aplicaciones, a menudo se almacenan en forma de hash.

El problema es que los piratas informáticos disponen de diccionarios, conocidos como tablas rainbow, que pueden saltarse este sistema.

Aquí es donde entra en juego el salting de contr aseñas: añade una secuencia aleatoria de bits a la contraseña utilizada, lo que dificulta el uso de las tablas arco iris.

Utilizar un gestor de contraseñas

Admitámoslo, a menudo es difícil generar contraseñas memorizables que sean a la vez complejas y únicas.

Por eso recomendamos utilizar un gestor de contraseñas. Con este tipo de software, basta con memorizar una contraseña maestra para conectarse a sus distintas cuentas con total seguridad.

Ya conoce la utilidad de los diccionarios de contraseñas. Ahora te toca a ti hacer un buen uso de ellos y respetar todas las normas básicas de seguridad informática para proteger tu empresa de la forma más eficaz posible frente a los ciberataques.