Download
Get started
Download
Download now
Contact Sales
Request Demo
Compare options
Buy now
View pricing
Get Started
View Pricing
Contact Sales
Request Demo
Compare options
  • 16 July 2025
  • |    Share on:

Los ataques de fuerza bruta significan que es hora de reforzar tu autenticación de acceso remoto

Contents

Siempre que hablamos de ciberataques, hay tres formas básicas por las que los atacantes acceden a la red de una víctima:

  • Suplantación de identidad: Utilizan la capacidad de los correos electrónicos para infiltrarse lógicamente en una red, proporcionando potencialmente a los atacantes un punto de apoyo en caso de que el ataque consiga infectar un punto final.

  • Vulnerabilidades: Utilizando vulnerabilidades de día cero o conocidas (que no han sido parcheadas), los atacantes pueden obtener privilegios elevados en sistemas y aplicaciones y aprovecharlos para acceder al resto de una red.

  • RDP/Acceso remoto: Los atacantes utilizan credenciales comprometidas o ataques de fuerza bruta a las contraseñas, utilizándolas como conducto para entrar en una red.

Las empresas suelen centrarse en los dos primeros vectores de ataque mencionados. Al hablar del tercero, suelen centrarse en RDP y no en lo insegura que es la autenticación una vez que un atacante salta a una sesión de inicio de sesión remota.

Así que, en este artículo, queremos explorar qué ocurre cuando un atacante encuentra y utiliza un acceso remoto (RDP o de otro tipo, aquí denominado genéricamente acceso remoto).

Examinaremos los métodos de ataque de fuerza bruta utilizados para comprometer una credencial, su prevalencia, por qué los usuarios se lo ponen realmente fácil al atacante y qué puedes hacer al respecto.

¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un tipo de ciberataque en el que un atacante utiliza el método de ensayo y error para adivinar o descifrar la contraseña, las credenciales de acceso o las claves de cifrado de un usuario. Este método de ataque consiste en probar sistemáticamente todas las combinaciones posibles de caracteres, números y caracteres especiales para obtener acceso no autorizado a la cuenta, el sistema o la red de un usuario.

Los ataques de fuerza bruta pueden realizarse manualmente o mediante herramientas de software automatizadas, lo que los hace populares entre los hackers.

Tipos de ataques de fuerza bruta

Existen varios tipos de ataques de fuerza bruta, entre ellos:

  • Ataque simple de fuerza bruta: Consiste en probar todas las combinaciones posibles de letras, números y caracteres especiales para adivinar la contraseña de un usuario.

  • Ataque de Fuerza Bruta Inversa: El atacante comienza con una contraseña conocida e intenta encontrar un nombre de usuario que coincida.

  • Diccionario Attack: Los atacantes prueban una lista de palabras, frases y contraseñas comunes para adivinar la contraseña de un usuario.

  • Ataque de Fuerza Bruta Híbrida: Este tipo de ataque combina un ataque de diccionario con un ataque de fuerza bruta tradicional.

  • Relleno de credenciales: Consiste en utilizar una lista de nombres de usuario y contraseñas robados para obtener acceso no autorizado a varias cuentas.

Motivos de los ataques de fuerza bruta

Comprender los motivos de los ataques de fuerza bruta es esencial para evaluar los riesgos y aplicar medidas de seguridad eficaces. Los ciberdelincuentes rara vez actúan sin un propósito. Sus objetivos suelen incluir el beneficio económico, el espionaje o la interrupción de las operaciones. Por ejemplo, los sectores que manejan datos sensibles, como la sanidad o las finanzas, se enfrentan a mayores riesgos de espionaje, mientras que las empresas más pequeñas pueden ser objetivo de ransomware o robo de credenciales debido a sus limitados presupuestos de TI.

A continuación te explicamos por qué los atacantes emplean tácticas de fuerza bruta:

Robo de credenciales con ánimo de lucro

Uno de los motivos más comunes de los ataques de fuerza bruta es robar credenciales de usuario, como nombres de usuario y contraseñas. Una vez obtenidas, estas credenciales pueden venderse en mercados de la web oscura, a menudo como parte de grandes volcados de datos, o utilizarse para obtener acceso no autorizado a sistemas valiosos. Por ejemplo, un atacante podría vender los datos de acceso a los sistemas internos de una organización, permitiendo a otros lanzar ataques selectivos como ransomware o robo de datos.

Despliegue del ransomware

Los ataques de fuerza bruta se utilizan con frecuencia como punto de entrada para desplegar ransomware. Al obtener acceso a los sistemas mediante credenciales comprometidas, los atacantes pueden cifrar datos críticos y exigir un rescate por su liberación. Este motivo se ha visto amplificado por el aumento del trabajo a distancia, que a menudo se basa en protocolos de escritorio remoto (RDP) u otras soluciones de acceso remoto que son vulnerables a los ataques de fuerza bruta.

Espionaje y extracción de datos

Los ataques de fuerza bruta son utilizados por ciberdelincuentes con motivos vinculados al espionaje corporativo o patrocinado por el Estado. Permiten a los atacantes infiltrarse en las redes y extraer datos sensibles. Los atacantes pueden tener como objetivo la propiedad intelectual, los secretos comerciales o la información clasificada. Utilizan métodos de autenticación débiles para acceder a sistemas de gran valor.

Interrupción del sistema

A veces, el objetivo no es robar datos o dinero, sino perturbar las operaciones de una organización. Los ataques de fuerza bruta pueden formar parte de campañas más amplias para sobrecargar los sistemas, provocar tiempos de inactividad o erosionar la confianza de los clientes. En estos casos, los atacantes pretenden dañar la reputación o las capacidades de una organización, más que obtener un beneficio económico directo.

Probar y explotar los puntos débiles de la seguridad

Los ataques de fuerza bruta suelen servir como herramientas de reconocimiento. Los atacantes pueden utilizarlos para sondear las defensas de una organización, identificando puntos débiles en los sistemas de autenticación. Esta información puede utilizarse para elaborar ataques más sofisticados y selectivos.

Reutilización de credenciales entre plataformas

Muchas personas reutilizan contraseñas en varias cuentas. Sabiendo esto, los ciberdelincuentes aprovechan los ataques de fuerza bruta para acceder no sólo a una cuenta, sino potencialmente a toda una red de servicios interconectados. Esta táctica, conocida como “relleno de credenciales” (credential stuffing), es especialmente problemática cuando una sola contraseña comprometida puede dar lugar a brechas más amplias.

Intermediación en el acceso inicial

En algunos casos, los ataques de fuerza bruta son realizados por intermediarios de acceso inicial, ciberdelincuentes especializados en entrar en redes y vender el acceso a otros atacantes. Estos intermediarios utilizan sistemas de autenticación débiles para entrar y vender credenciales a quienes buscan llevar a cabo ataques a gran escala como el espionaje o el ransomware.

Comprender estos objetivos puede ayudar a las organizaciones a priorizar sus defensas, como la autenticación mejorada, las auditorías de seguridad rutinarias y la formación de los empleados, para mitigar las vulnerabilidades de forma eficaz.

Ataques de Fuerza Bruta Online y Offline

Los ataques de fuerza bruta se dividen en dos categorías principales: en línea y fuera de línea, y cada una plantea retos únicos.

Ataques de fuerza bruta en línea

Estos ataques se dirigen a sistemas o redes activos. Los atacantes adivinan repetidamente las contraseñas utilizando herramientas automatizadas. Se producen en tiempo real, lo que los hace detectables mediante la supervisión de intentos de inicio de sesión inusuales, como fallos repetidos desde una única dirección IP.

Las estrategias de mitigación incluyen la limitación de velocidad para ralentizar los intentos, los desafíos CAPTCHA para bloquear bots y la autenticación multifactor (MFA) para mejorar la seguridad.

Ataques de fuerza bruta offline

Los ataques offline consisten en descifrar hashes de contraseñas robadas sin interactuar con sistemas vivos. Los atacantes utilizan potentes herramientas para probar las combinaciones, lo que dificulta su detección.

Las medidas de defensa incluyen asegurar el almacenamiento de contraseñas con hashes salados y utilizar un cifrado fuerte. Las actualizaciones periódicas del sistema también son esenciales para parchear las vulnerabilidades.

¿Por qué son un problema los ataques de fuerza bruta?

Cada vez que veas una historia o una estadística del sector sobre RDP en un ciberataqueten en cuenta que, en el momento del ataque, el atacante disponía o no de un nombre de usuario y una contraseña válidos con los que iniciar sesión.

En situaciones en las que el atacante empieza de cero -como en el caso de los intermediarios de acceso inicial-, el objetivo no es sólo obtener acceso, sino también obtener un conjunto de credenciales de trabajo que se utilizarán en el ataque actual o se venderán en la red oscura a otro atacante que busque acceso inicial.

Eso significa que, a veces, los atacantes necesitan utilizar ataques de fuerza bruta contra las contraseñas para averiguar la contraseña asociada a un nombre de usuario determinado.

Las herramientas de ataque por fuerza bruta están diseñadas para automatizar el proceso de adivinar credenciales, haciéndolo más rápido y eficaz para los atacantes.

Según el MITRE ATT&CK Framework (pronunciado “ATTACK”), que describe casi todas las tácticas, técnicas y procedimientos maliciosos utilizados por los ciberdelincuentes, existen cuatro tipos de métodos de ataque por fuerza bruta:

  • Adivinar contraseñas: Adivinar sistemáticamente contraseñas mediante un mecanismo repetitivo o iterativo basado en una lista de contraseñas comunes.

  • Pulverización de contraseñas: Cuando un atacante adquiere una lista de nombres de usuario e intenta iniciar sesión utilizando la misma contraseña para todos ellos.

  • Descifrar contraseñas: Utilizar tablas arco iris o adivinar contraseñas y calcular hashes para descifrar hashes de contraseñas.

  • Relleno de credenciales: Utilizar credenciales obtenidas de volcados de brechas de cuentas no relacionadas para acceder a las cuentas objetivo.

La decisión de utilizar un método en lugar de otro se basa en gran medida en si el atacante conoce algún nombre de usuario y/o contraseña de la red de la víctima.

Pero, ¿hasta qué punto son frecuentes los ataques de fuerza bruta a las contraseñas?

Según la aseguradora cibernética británica Hiscox, el 17% de los ataques de ransomware que vieron como parte de reclamaciones de ciberseguros empezaron con un ataque de fuerza bruta. Es decir, casi 1 de cada 5. También hemos visto ataques de fuerza bruta en masa en 2022 con 47 millones de ataques en el Sudeste Asiático dirigidos a trabajadores a distancia.

Por tanto, es un problema muy real… por numerosas razones.

1. Existen numerosas fuentes de contraseñas débiles

Las contraseñas utilizadas en ataques de adivinación, pulverización o relleno suelen proceder de diversas fuentes. Una fuente importante son las violaciones de datos que exponen nombres de usuario y direcciones de correo electrónico. Por ejemplo, la brecha de LinkedIn de mayo de 2016 comprometió 164 millones de direcciones de correo electrónico y contraseñas, lo que la convierte en una fuente importante de este tipo de ataques.

Otra fuente son las bases de datos pwned que catalogan las contraseñas más utilizadas, muchas de las cuales son sorprendentemente sencillas (por ejemplo, “¡P@ssw0rd!”). Además, los atacantes suelen aprovechar las oportunidades de adivinación selectiva centrándose en usuarios concretos, lo que aumenta la probabilidad de encontrar contraseñas débiles o predecibles.

Según el Informe de Exposición de Identidades 2023 de Spycloud más de 7 millones de las contraseñas comprometidas recopiladas durante las brechas implican un tema amoroso o familiar (por ejemplo, si conozco el nombre de tu cónyuge, puedo empezar a adivinarlo por ahí). Estos ataques suelen consistir en probar sistemáticamente varias combinaciones de contraseñas para explotar contraseñas débiles o de uso común.

2. El comportamiento de los usuarios también contribuye a los riesgos de seguridad

Según el mismo informe de Spycloud, el 72% de los usuarios de 2022 infracciones reutilizaban contraseñas expuestas anteriormente, y el 61% de los usuarios de EE.UU. reutilizaban contraseñas.

Las contraseñas se reutilizan una media de 13 veces. Parte de la razón es el número de sistemas, aplicaciones y plataformas que el usuario de hoy necesita para mantener un logon-en las empresas más pequeñas hay una media de 85 contraseñas, mientras que en las grandes empresas sólo hay 25.

El uso de contraseñas complejas puede mejorar significativamente la seguridad de las cuentas, haciendo más difícil que los atacantes tengan éxito en sus intentos de comprometer las credenciales.

Con la potencia informática actual que permite a los atacantes probar hasta 1.000 millones de contraseñas por segundo en un ataque de fuerza bruta, la seguridad de las contraseñas es esencial.

3. El acceso remoto puede proporcionar a los atacantes formas de obtener acceso no autorizado

Añadamos el acceso remoto a la discusión, ya que los ataques de fuerza bruta son sólo el medio de conseguir un acceso no autorizado; la verdadera vulnerabilidad reside en cómo tu fuerza de trabajo híbrida se relaciona con los recursos corporativos.

Algunas organizaciones siguen (¡aún!) confiando en RDP (¡el protocolo que no morirá de la horrible muerte de ciberseguridad que se merece!). Un informe reciente reveló que los ciberdelincuentes abusaron de RDP en el 90% de los incidentes analizados, convirtiéndolo en un vector crítico para los ataques de ransomware. Incluso si no utilizas RDP, otras aplicaciones de acceso remoto también pueden presentar riesgos significativos: el 16% de las violaciones de datos comenzaron con el compromiso de RDP u otra aplicación de acceso remoto.

Esto significa que cualquier método de acceso remoto es un vector de ataque para los ciberdelincuentes. Dado que el 50% de las organizaciones no se califican a sí mismas como muy eficaces en la mitigación de los riesgos del acceso remoto, es crucial implantar medidas de autenticación más fuertes, más allá del simple uso de contraseñas, para asegurar eficazmente el acceso remoto.

Buenas prácticas de prevención contra los ataques de fuerza bruta

Prevenir los ataques de fuerza bruta requiere un enfoque multicapa que combine políticas sólidas, salvaguardas técnicas y educación de los usuarios. Mientras que la autenticación multifactor (MFA) es la base de la defensa. Aplica estrategias integrales para garantizar una postura de seguridad más activa. He aquí cómo puedes adelantarte a los ataques de fuerza bruta:

Establece políticas de contraseñas sólidas

Las políticas de contraseñas sólidas son la base de cualquier estrategia de prevención de la fuerza bruta. Asegúrate de que todos los usuarios cumplen estas buenas prácticas:

  • Longitud y complejidad: Exige que las contraseñas tengan al menos 12 caracteres, con una mezcla de letras mayúsculas y minúsculas, números y caracteres especiales.

  • Actualizaciones periódicas: Aplica políticas de caducidad de contraseñas para limitar la ventana de oportunidad de los atacantes.

  • Evita la reutilización: implanta sistemas que impidan a los usuarios reciclar contraseñas antiguas.

  • Prohíbe las contraseñas comunes: Utiliza herramientas para bloquear contraseñas débiles o fáciles de adivinar, como “123456” o “contraseña”.

Implementar herramientas de supervisión de la seguridad

La supervisión y las alertas en tiempo real pueden ayudar a detectar y responder a los ataques de fuerza bruta antes de que tengan éxito. Considera la posibilidad de desplegar las siguientes herramientas:

  • Sistemas de Detección y Prevención de Intrusos (IDPS): Herramientas como Snort o Suricata pueden detectar intentos inusuales de inicio de sesión y bloquear actividades sospechosas.

  • Soluciones SIEM: Los sistemas de gestión de eventos e información de seguridad (SIEM), como Splunk o LogRhythm, centralizan los datos de registro y proporcionan información sobre posibles actividades de fuerza bruta.

  • Umbrales de Bloqueo de Cuentas: Configura los sistemas para que bloqueen temporalmente las cuentas tras un número determinado de intentos fallidos de inicio de sesión.

Educar a los empleados en prácticas de seguridad

El error humano es una vulnerabilidad común que aprovechan los atacantes. Impartir formación continua garantiza que los empleados estén preparados para reconocer y mitigar los riesgos:

  • Concienciación sobre el phishing: Forma al personal para que identifique los intentos de phishing que pueden preceder a los ataques de fuerza bruta.

  • Higiene de contraseñas: Haz hincapié en la importancia de utilizar contraseñas únicas y seguras tanto para las cuentas del trabajo como para las personales.

  • Protocolos de denuncia: Anima a los empleados a informar rápidamente de intentos de inicio de sesión o comportamientos del sistema sospechosos.

Aprovechar las configuraciones técnicas

Las salvaguardias técnicas pueden dificultar considerablemente a los atacantes la ejecución de ataques de fuerza bruta. Pon en práctica estas medidas:

  • Limitación de velocidad: Ralentiza o bloquea las IP tras una serie de intentos fallidos de inicio de sesión.

  • Integración CAPTCHA: Añade desafíos CAPTCHA a las páginas de inicio de sesión para evitar intentos de inicio de sesión automatizados.

  • Listas blancas de IP: Restringe el acceso a determinados rangos de IP, especialmente para sistemas sensibles.

  • Cifra las contraseñas: Utiliza algoritmos de encriptación fuertes, como Argon2 para almacenar hashes de contraseñas correctas.

Acceso remoto más allá de la contraseña

Los ataques de fuerza bruta siguen planteando riesgos importantes, pero un enfoque proactivo y estrategias de prevención pueden reducir drásticamente su impacto. Implantando la autenticación multifactor (MFA), aplicando políticas de contraseñas fuertes y aprovechando herramientas de seguridad avanzadas, las organizaciones pueden construir una defensa sólida contra el acceso no autorizado.

Incluso si tu organización confía en métodos de acceso remoto más antiguos o vulnerables, como RDP, exigir MFA para todos los inicios de sesión es un primer paso fundamental. Más allá de la MFA, estrategias como el uso de altas tasas de encriptación, el salado de los hash de las contraseñas, el establecimiento de límites de intentos de inicio de sesión y el empleo de desafíos CAPTCHA tras repetidos fallos pueden frustrar los ataques de fuerza bruta antes de que tengan éxito.

También es esencial educar a los empleados, vigilar las actividades sospechosas y desplegar herramientas como los sistemas de detección de intrusos para identificar posibles amenazas en tiempo real. El objetivo no es sólo responder a los ataques, sino evitar que se materialicen.

Para quienes hayan leído este artículo hasta el final, la conclusión es clara: los ataques de fuerza bruta pueden mitigarse con medidas de seguridad deliberadas y por capas. Empieza por la MFA: es una de las formas más sencillas y eficaces de asegurar el acceso remoto y proteger tu organización. No esperes para reforzar tus defensas; el momento de actuar es ahora.

Picture of RealVNC

RealVNC

You may also like...

Qué es RMM: La guía definitiva sobre supervisión y gestión remotas

Learn more

¿Cómo usar Ctrl-Alt-Supr en Escritorio Remoto?

Learn more

Principales tendencias en ciberseguridad para proteger tu empresa en 2024

Learn more

Transformar los entornos de aprendizaje: IoT en la educación actual

Learn more

Todo lo que necesitas saber sobre el éxito del aprendizaje a distancia

Learn more

Learn more on this topic

Qué es RMM: La guía definitiva sobre supervisión y gestión remotas

La supervisión y gestión remotas se refieren a herramientas que te permiten vigilar y mantener diversos tipos de equipos. Y...

Learn more

¿Cómo usar Ctrl-Alt-Supr en Escritorio Remoto?

Puede haber ocasiones en las que necesites abrir el Administrador de Tareas en un escritorio remoto o finalizar una conexión...

Learn more

Principales tendencias en ciberseguridad para proteger tu empresa en 2024

Acabamos de dar la vuelta al ecuador de 2024, y el año ya se perfila como un desafío en términos...

Learn more

Try VNC Connect® today for free

We don’t require credit card data. 14 days of free, secure and fast access to your devices. Upgrade or cancel anytime 

Start your free download now

Manténgase al día de todas las novedades de RealVNC ®.

Suscríbase a
Acceso remoto seguro en el que confían los profesionales
Empresa
Productos
Comenzar
Socios
Apoyo

Copyright © 2002-2025 RealVNC® Limited. Todos los derechos reservados. RealVNC®, VNC® y RFB® son marcas comerciales de RealVNC® Limited.