Ataque por Diccionario: Definición, Pasos y Protección

Proteger tus contraseñas es esencial, pero no es suficiente. En ciberseguridad, los ciberataques evolucionan constantemente, y el ataque por diccionario sigue siendo uno de los más temibles. En este ataque que apunta a las contraseñas, los hackers prueban las más comunes o las obtenidas de una filtración de datos para crackear cuentas de empresas, pero también de particulares.

Pero, ¿cómo funciona exactamente un ataque por diccionario? Y lo que es aún más importante: ¿cómo protegerse de él? Este artículo responderá a estas preguntas y te dará algunas claves para reforzar tu seguridad.

¿Qué es un ataque por diccionario?

Un ataque por diccionario busca adivinar una contraseña probando combinaciones sacadas de una lista predefinida. Estas listas, llamadas “diccionarios de contraseñas”, contienen palabras, frases o combinaciones comunes como “azerty”, “123456” o “iloveyou”.

Como habrás entendido, este tipo de ciberataque explota la debilidad de las contraseñas simples, que son fáciles de recordar, pero también de crackear. Así, si las contraseñas cortas o predecibles son particularmente vulnerables, el ataque por diccionario fracasa frente a contraseñas largas, complejas y únicas, que son, por tanto, mucho más seguras.

¿Cuál es la diferencia entre el ataque por diccionario y el ataque por fuerza bruta?

El ataque por diccionario se limita a probar una lista de palabras preexistente, establecida basándose en las palabras y expresiones más utilizadas. Por lo tanto, puede ser relativamente rápido, pero solo permitirá crackear las contraseñas más simples.

El ataque por fuerza bruta prueba sistemáticamente todas las combinaciones posibles de caracteres. Por lo tanto, permite adivinar incluso las contraseñas más complejas, bueno… si tienes un poco de tiempo, porque su principal defecto es que es particularmente lento.

¿Es peligroso un ataque por diccionario?

Sí, y por una razón simple: las contraseñas débiles como “azerty”, “123456” o “admin” son omnipresentes. En 2024, NordPass estudió las 200.000 contraseñas más utilizadas en el mundo, y las cifras hablan por sí solas: casi el 70 % de ellas son contraseñas particularmente débiles, que podrían ser crackeadas en menos de un segundo gracias a un ataque por diccionario, con consecuencias que pueden ser graves.

¿Cuáles son las consecuencias de un ataque por diccionario?

Un ataque por diccionario puede tener importantes consecuencias, tanto para particulares como para empresas:

• Consecuencias directas: acceso no autorizado a tus cuentas (cuenta bancaria, dirección de correo electrónico, redes sociales, servicios de streaming…), lo que puede llevar a fraudes financieros y permitir a los cibercriminales usurpar tu identidad.
• Consecuencias indirectas: reventa de las contraseñas pirateadas en la dark web, exponiéndote a nuevos ataques o fraudes.
• Consecuencias para las empresas: acceso a sus softwares internos y a la información sensible almacenada, aumentando significativamente los riesgos de robo de datos y sabotaje.

¿Cuáles son los dos tipos de ataque por diccionario?

Los ataques por diccionario se presentan en dos formas principales: los ataques online y los ataques offline.

• Los ataques por diccionario online se realizan directamente desde el formulario de inicio de sesión de un sitio cuyo cuenta se busca comprometer.
• Los ataques por diccionario offline se basan en una filtración de datos que contiene contraseñas cifradas (o hasheadas). Con la ayuda de su diccionario de contraseñas, un hacker intenta descifrarlas sin conexión para luego usarlas o revenderlas.

Los ataques por diccionario online

Tu dirección de correo electrónico se ha filtrado durante un robo de datos y ahora está en manos de los piratas. Uno de ellos quiere verificar si está asociada a una cuenta en un sitio de comercio electrónico y, si es así, crackearla. Para ello, prueba una a una las diferentes contraseñas de un diccionario directamente desde el formulario de inicio de sesión, ¡y bingo! Después de una decena de intentos, accede a tu cuenta; entonces puede realizar pedidos fraudulentos y recuperar los números de tu tarjeta bancaria.

¿Cómo funcionan los ataques por diccionario en línea?

Los ataques por diccionario online se desarrollan generalmente de la siguiente manera:

1. Objetivo: el hacker selecciona a la persona u organización cuya cuenta quiere piratear.
2. Recuperación de información: el identificador, generalmente una dirección de correo electrónico, se obtiene tras una filtración de datos o una búsqueda en una plataforma pública como LinkedIn.
3. Intentos de conexión: directamente desde una página de inicio de sesión, el hacker utiliza un diccionario de contraseñas para intentar encontrar la asociada al identificador de la cuenta a crackear.
4. Acceso a la cuenta: si la víctima utiliza una contraseña débil o comprometida, el atacante tiene muchas posibilidades de acceder a su cuenta para comprometerla.

Si bien esta técnica no requiere habilidades avanzadas en hacking, presenta una importante limitación: fracasa si el sitio implementa medidas para proteger las conexiones (número limitado de intentos, uso de CAPTCHAs…).

¿Qué herramientas se utilizan para los ataques online?

Gracias a herramientas de pentesting como Hydra o Burp Suite, puedes automatizar las pruebas de contraseñas a partir de un diccionario predefinido para facilitar un ataque online. Estos softwares se encargarán por ti de probar una a una las diferentes combinaciones y te indicarán cuándo descubren una correcta.

Sin embargo, ten en cuenta que estas herramientas están destinadas principalmente a los profesionales de la ciberseguridad, quienes las utilizan para realizar pruebas de penetración con el fin de identificar las vulnerabilidades de una infraestructura para corregirlas.

Los ataques por diccionario offline

Imagina que una famosa plataforma de streaming de vídeo es víctima de una filtración de datos. Los nombres de usuario y las contraseñas de todos sus suscriptores circulan ahora por la web. Afortunadamente, la plataforma se había tomado la precaución de cifrar las contraseñas mediante un algoritmo de hashing, haciéndolas inutilizables tal cual. Pero un hacker se hace con esta base de datos y decide descifrarla para revender las cuentas comprometidas.

Con la ayuda de un diccionario de contraseñas y herramientas especializadas, comienza a probar diferentes combinaciones para crackear las contraseñas hasheadas. Este método es el ataque por diccionario offline. Aunque es más lento que un ataque online, es temible porque sortea las limitaciones de conexión impuestas por los sitios y, si tiene éxito, permite recuperar un gran número de pares identificador/contraseña explotables.

¿Qué es un Hash?

Para proteger las contraseñas y hacerlas ilegibles en caso de filtración de datos, es posible cifrarlas mediante algoritmos de hashing. Una contraseña se convierte entonces en un hash, es decir, una cadena de caracteres única y de longitud fija, que se puede comparar con la huella digital de una contraseña. Por ejemplo, “12345” puede transformarse en una huella como 5994471abb01112afcc18159f6cc74b4.

Se supone que estos hashes son irreversibles. Pero con herramientas dedicadas y diccionarios, los hackers pueden intentar descifrarlos. Comparan entonces las huellas generadas a partir de contraseñas comunes con las encontradas en una base de datos comprometida. Si se encuentra una coincidencia, la contraseña puede ser adivinada.

¿Cómo funcionan los ataques por diccionario fuera de línea?

Basándose más en la lógica, un ataque por diccionario offline puede asemejarse a un juego de adivinanzas:

1. Acceso a una base de datos comprometida: el hacker se hace con una base que contiene contraseñas hasheadas, a menudo proveniente de una filtración de datos.
2. Creación de un diccionario: luego prepara su propio diccionario de contraseñas, conteniendo especialmente todas las más utilizadas como “12345” o “password”; esta lista también puede incluir variantes, como “p@ssword” o “Password” por ejemplo.
3. Generación de hashes: cada palabra del diccionario se transforma en hash con la ayuda de una herramienta o un algoritmo de hashing idéntico al utilizado para la base de datos comprometida.
4. Comparación: los hashes generados se comparan con los de la base; si dos coinciden, significa que la contraseña original ha sido identificada.

¿Qué herramientas se utilizan para crackear los hashes offline?

Existen herramientas para ayudar a los Pentesters a descifrar los hashes más rápidamente. Entre ellas:

• Hashcat: considerado una de las herramientas más potentes, aprovecha la potencia de las tarjetas gráficas GPU para acelerar sus cálculos, y además admite numerosos algoritmos de hashing.
• John the Ripper: herramienta de código abierto utilizada para auditar contraseñas, para deducir las contraseñas originales, es capaz de detectar automáticamente el tipo de hash y utilizar técnicas avanzadas, como la adición de variaciones o la combinación de palabras del diccionario.

Estas herramientas se utilizan principalmente en un contexto legítimo por los profesionales de la ciberseguridad para probar la robustez de las contraseñas y mejorar las políticas de seguridad. Su uso no autorizado es ilegal y contrario a la ética.

¿Cómo protegerse del ataque por diccionario?

Varias buenas prácticas cibernéticas te permitirán protegerte de los ataques por diccionario:

• Varía los tipos de caracteres: utiliza tanto letras minúsculas, mayúsculas, números y caracteres especiales para crear una contraseña compleja.
• Piensa en algo único: así tu contraseña tendrá menos posibilidades de figurar en un diccionario o en una lista de las contraseñas más utilizadas.
• Opta por una contraseña larga: más difícil de crackear, te ofrece una mejor protección; por ejemplo, en lugar de “sol”, opta por algo como “HaySolHoyEnNormandia”, que puedes complejizar aún más reemplazando algunas letras por números.
• Activa la autenticación multifactor: incluso si tu contraseña se ve comprometida, este segundo factor de verificación impedirá que un usuario no autorizado acceda a tu cuenta.
• Sensibiliza a tus seres queridos: infórmales sobre los peligros de las contraseñas débiles e incítales a renovarlas sistemáticamente después de una filtración.
• Utiliza un gestor de contraseñas: esta herramienta podrá generar y almacenar contraseñas fuertes sin que tengas que recordarlas.
• Vigila tus datos con herramientas como Have I Been Pwned: verifica si tus credenciales han sido expuestas en una filtración y, si es el caso, modifícalas inmediatamente.

Si gestionas un sitio que incluye un formulario de inicio de sesión, también podrías implementar algunas buenas prácticas para evitar que tus usuarios sean víctimas de un ataque de contraseñas:

• Limita los intentos de conexión: restringir una cuenta después de varios intentos fallidos reduce las posibilidades de un ataque online.
• Integra CAPTCHAs: bloquea los ataques automatizados exigiendo una acción humana, o utilizando un CAPTCHA invisible que detecta bots.
• Cifra las contraseñas: utiliza algoritmos de hashing robustos para proteger las contraseñas que almacenas.

Preguntas frecuentes sobre el ataque por diccionario

¿Cuáles son las variantes de los ataques por diccionario?

Existen varias variantes de los ataques por diccionario, que conservan sus principios generales pero varían en algunos puntos:

• Ataque rainbow table: gracias a tablas precalculadas que asocian hashes con sus contraseñas originales, es posible encontrar rápidamente la contraseña en texto plano correspondiente a un hash dado.
• Ataque híbrido: utiliza variaciones como la adición de números y la modificación de ciertos caracteres para probar varias variantes a partir de un diccionario de contraseñas.
• Ataque por máscaras: combina un diccionario con un modelo predefinido (ej.: adición sistemática de “123” o de iniciales al final de cada palabra).
• Ataque dirigido: crea un diccionario personalizado basado en información específica de la víctima objetivo, como su nombre, lugar de nacimiento, preferencias…
• Ataque por permutaciones: prueba todas las variantes posibles de una palabra o frase (ej.: alternancia de mayúsculas y minúsculas: “pAsSwOrD”).
• Dictionary Spray Attack: prueba las contraseñas más comunes en un gran número de cuentas diferentes, en lugar de dirigirse a un solo usuario.

¿Qué herramientas utilizar para saber si tu contraseña ha sido crackeada?

Varias herramientas te ayudarán a saber si una de tus contraseñas ha sido crackeada:

• Have I Been Pwned te permite verificar si tu contraseña figura en una base de datos comprometida.
• CyberNews te permite verificar en cuántas bases de datos robadas figura tu contraseña.
• El gestor de contraseñas de Google te avisa si detecta alguna de tus credenciales en una base de datos que ha sido comprometida.

¿Cuáles son los ejemplos conocidos de ataque por diccionario?

Algunos de los ciberataques que han marcado la historia son en realidad ataques por diccionario:

• Twitter: En enero de 2009, un hacker conocido bajo el pseudónimo “GMZ” utilizó un ataque por diccionario para acceder a la cuenta de administrador de Twitter. Esta intrusión le permitió modificar las contraseñas de cuentas famosas, en particular las del presidente electo Barack Obama y Britney Spears.
• LinkedIn: En 2012, LinkedIn fue víctima de una filtración masiva de datos, durante la cual se filtraron casi seis millones de contraseñas hasheadas. Aunque hasheadas, estas contraseñas no estaban “saladas” y los hackers habrían logrado descifrarlas sin conexión, permitiéndoles utilizarlas de forma maliciosa posteriormente.