Las contraseñas son el método más utilizado para la autenticación de usuarios. Estas son populares porque la lógica detrás de ellas tiene sentido para las personas y son relativamente fáciles de implementar para los desarrolladores.
Sin embargo, las contraseñas también pueden introducir vulnerabilidades. De hecho, existen programas de fuerza bruta para descifrar contraseñas.
Los crackers de contraseñas están diseñados para tomar datos de credenciales robados en una violación de datos u otro pirateo y extraer contraseñas de ellos.
A continuación te mostraremos los principales software utilizados para obtener las contraseñas desconocidas de cualquier usuario.
Quizás te puede interesar: 3 Métodos Para Hackear El GPS De iPhone
Mira TambiénCómo Editar HTML En Tumblr. 4 Formas Para Hacerlo
Programas de fuerza bruta
La mayoría de las herramientas para descifrar o buscar contraseñas permiten a un pirata informático realizar cualquiera de los tipos de ataques existentes. Esta publicación describe algunas de las más utilizadas:
1. Hashcat
Hashcat es uno de los crackers de contraseñas más populares y utilizados que existen. Está disponible en todos los sistemas operativos y admite más de 300 tipos diferentes de hashes. Hashcat permite el descifrado de contraseñas altamente paralelizado con la capacidad de descifrar múltiples contraseñas diferentes en una gran variedad de dispositivos al mismo tiempo.
Aparte de esto, tiene la capacidad de admitir un sistema distribuido de descifrado de hash mediante superposiciones. El agrietamiento se optimiza con ajuste de rendimiento integrado y monitoreo de temperatura.
2. John the Ripper
John the Ripper es una conocida herramienta gratuita para descifrar contraseñas de código abierto para Linux, Unix y Mac OS X. También está disponible una versión para Windows. John the Ripper ofrece descifrado de contraseñas para una variedad de diferentes tipos de las mismas.
Va más allá de las contraseñas del sistema operativo para incluir aplicaciones web comunes (como WordPress), archivos comprimidos, archivos de documentos (archivos de Microsoft Office, PDF, entre otros.) y más.
También está disponible una versión pro de la herramienta, que ofrece mejores características y paquetes nativos para los sistemas operativos de destino. También puedes descargar Openwall GNU / * / Linux que viene con John the Ripper.
3. Brutus
Brutus es uno de los programas de fuerza bruta más populares. Afirma ser la herramienta para descifrar contraseñas más rápida y flexible. Esta herramienta es gratuita y solo está disponible para sistemas Windows. Fue lanzado en octubre de 2000. Brutus admite varios tipos de autenticación diferentes, que incluyen:
- HTTP (autenticación básica)
- HTTP (formulario HTML / CGI)
- POP3
- FTP
- SMB
- Telnet
- IMAP
- NNTP
- Protocolos personalizados
También es capaz de admitir protocolos de autenticación de varias etapas y puede atacar hasta sesenta objetivos diferentes en paralelo. También ofrece la posibilidad de pausar, reanudar e importar un ataque.
Brutus no se ha actualizado durante varios años. Sin embargo, su compatibilidad con una amplia variedad de protocolos de autenticación y la capacidad de agregar módulos personalizados lo convierten en uno de los mejores programas de fuerza bruta para descifrar contraseñas.
Mira TambiénCómo Convertir DBX a PST gratis. 2 Métodos Sencillos4. Wfuzz
Wfuzz es una herramienta de descifrado de contraseñas de aplicaciones web como Brutus que intenta interpretar contraseñas mediante un ataque de adivinación de fuerza bruta. También se puede utilizar para buscar recursos ocultos como directorios, servlets y scripts. Wfuzz también identifica las vulnerabilidades de inyección dentro de una aplicación, como inyección SQL, inyección XSS e inyección LDAP. Las características clave de la herramienta para descifrar contraseñas de Wfuzz incluyen:
- Inyección en varios puntos en múltiples directorios.
- Salida en HTML coloreado.
- Fuerza bruta de datos de publicación, encabezados y autenticación.
- Soporte de proxy y SOCK, soporte de proxy múltiple.
- Multi-hilo.
- Fuerza bruta de contraseña HTTP a través de solicitudes GET o POST.
- Retraso de tiempo entre solicitudes.
- Cookie fuzzing.
5. THC Hydra
THC Hydra es una herramienta en línea para descifrar contraseñas que intenta determinar las credenciales del usuario mediante un ataque de adivinación de contraseñas por fuerza bruta. Está disponible para Windows, Linux, Free BSD, Solaris y OS X.
THC Hydra es extensible con la capacidad de instalar fácilmente nuevos módulos. También es compatible con varios protocolos de red, incluidos Asterisk, AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST, HTTP-GET, HTTP-HEAD, HTTP -PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, entre otros. Si eres desarrollador, también puedes contribuir al desarrollo de la herramienta.
6. Medusa
Medusa es una herramienta en línea para descifrar contraseñas similar a THC Hydra. Afirma ser una rápida herramienta de fuerza bruta paralela, modular y de inicio de sesión. Es compatible con HTTP, FTP, CVS, AFP, IMAP, MS SQL, MYSQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd y Telnet.
Mira TambiénResolver Error De Memoria 13-71 En Warzone (PC, Xbox)Se trata de una herramienta de línea de comandos, por lo que es necesario cierto nivel de conocimiento de la línea de comandos para usarla. La velocidad de descifrado de contraseñas depende de la conectividad de la red. En un sistema local, puedes probar 2000 contraseñas por minuto.
Medusa también admite ataques paralelizados. Además de una lista de palabras de contraseñas para probar, también es posible definir una lista de nombres de usuario o direcciones de correo electrónico para experimentar durante un ataque.
7. RainbowCrack
Todo descifrado de contraseñas está sujeto a una compensación de tiempo-memoria. Si un atacante ha calculado previamente una tabla de pares de contraseñas / hash y los ha almacenado como una «tabla arcoíris», entonces el proceso de descifrado de contraseñas se simplifica a una búsqueda en una tabla.
Esta amenaza es la razón por la que las contraseñas ahora se eliminan: agregar un valor aleatorio único a cada contraseña antes de aplicar el hash significa que la cantidad de tablas de arco iris requeridas es mucho mayor.
RainbowCrack es uno de los más utilizados programas de fuerza bruta para descifrar contraseñas, y está diseñado para funcionar con tablas de arco iris. Es posible generar tablas arcoíris personalizadas o aprovechar las preexistentes descargadas de Internet. RainbowCrack ofrece descargas gratuitas de estas tablas para los sistemas de contraseñas LANMAN, NTLM, MD5 y SHA1.
También hay disponibles algunas mesas arcoíris de pago, que puedes comprar. Esta herramienta está disponible para sistemas Windows y Linux.
8. OphCrack
OphCrack es una herramienta gratuita para descifrar contraseñas basada en tablas de arco iris para Windows. Es la herramienta de descifrado de contraseñas de Windows más popular, pero también se puede utilizar en sistemas Linux y Mac. Rompe hashes LM y NTLM. Para descifrar Windows XP, Vista y Windows 7, también hay disponibles tablas arcoíris gratuitas.
También está disponible un contenido en vivo de OphCrack para simplificar el craqueo. Se puede usar el contenido para descifrar contraseñas basadas en Windows. Esta herramienta está disponible de forma gratuita.
9. L0phtCrack
L0phtCrack es una alternativa a OphCrack, es decir, también forma parte de los programas de fuerza bruta para descifrar contraseñas. Intenta averiguar las contraseñas de Windows a partir de hashes. Para descifrar, utiliza estaciones de trabajo de Windows, servidores de red, controladores de dominio primarios y Active Directory.
También usa diccionario y ataques de fuerza bruta para generar y adivinar contraseñas. Fue adquirido por Symantec y descontinuado en 2006. Más tarde, los desarrolladores de L0pht lo volvieron a adquirir y lanzaron L0phtCrack en 2009.
L0phtCrack, además viene con la capacidad de chequear escaneos de seguridad de contraseña de rutina. Se pueden establecer auditorías diarias, semanales o mensuales, y comenzará a escanear a la hora programada.
10. Aircrack-ng
Aircrack-ng es una herramienta para revelar contraseñas de Wi-Fi que puede descifrar contraseñas WEP o WPA / WPA2 PSK. Analiza paquetes encriptados inalámbricos y luego intenta descifrar caracteres a través de los ataques de diccionario y el PTW, FMS y otros algoritmos de descifrado. Está disponible para sistemas Linux y Windows. También está disponible un contenido virtual.
¿Qué es el descifrado de contraseñas?
Un sistema de autenticación basado en contraseñas bien diseñado no almacena la contraseña real de un usuario. Esto haría que sea demasiado fácil para un pirata informático o un infiltrado malintencionado obtener acceso a todas las cuentas de usuario del sistema.
En cambio, los sistemas de autenticación almacenan un hash de contraseña, que es el resultado de enviar la contraseña y un valor aleatorio llamado salt a través de una función hash. Las funciones hash están diseñadas para ser unidireccionales, lo que significa que es muy difícil determinar la entrada que produce una salida determinada.
Dado que las funciones hash también son deterministas (lo que significa que la misma entrada produce la misma salida), comparar dos hash de contraseña (el almacenado y el hash de la contraseña proporcionada por un usuario) es casi tan bueno como comparar las contraseñas reales. El descifrado de contraseñas se refiere al proceso de extraer contraseñas del hash de contraseña asociado. Esto se puede lograr de varias formas diferentes:
- Ataque de diccionario: la mayoría de la gente usa contraseñas débiles y comunes. Tomar una lista de palabras y agregar algunas permutaciones, como sustituir $ por s, permite que un descifrador aprenda muchas contraseñas de una manera muy rápida.
- Ataque de adivinación de fuerza bruta: solo hay un número limitado de contraseñas potenciales de una longitud determinada. Si bien es lento, un ataque de fuerza bruta (probar todas las combinaciones posibles de contraseñas) garantiza que un atacante finalmente descifrará la contraseña.
- Ataque híbrido: un ataque híbrido combina estas dos técnicas. Comienza por verificar si una contraseña se puede descifrar mediante un ataque de diccionario y luego pasa a un ataque de fuerza bruta si no tiene éxito.
Cómo crear una contraseña difícil de descifrar
En esta publicación, hemos enumerado 10 programas de fuerza bruta para descifrar contraseñas. Estas herramientas intentan actuar a través de diferentes algoritmos de descifrado. La mayoría de las herramientas de descifrado están disponibles de forma gratuita. Por lo tanto, siempre debes intentar tener una contraseña segura que sea difícil de descifrar. Estos son algunos consejos que puedes probar al crear una contraseña:
- Cuanto más larga sea la contraseña, más difícil será descifrarla: longitud de la contraseña es el factor más importante. La complejidad de un ataque de adivinación de contraseña por fuerza bruta crece exponencialmente con la longitud de la contraseña. Una contraseña aleatoria de siete caracteres se puede descifrar en minutos, mientras que una de diez caracteres lleva cientos de años.
- Utiliza siempre una combinación de caracteres, números y caracteres especiales: el uso de una variedad de caracteres también dificulta la adivinación de contraseñas por fuerza bruta, ya que significa que los crackers deben probar una variedad más amplia de opciones para cada carácter de la contraseña. Incorpora números y caracteres especiales y no solo al final de la contraseña o como una sustitución de letras (como @ por a).
- No uses las mismas contraseñas para todas tus cuentas: las contraseñas robadas de una cuenta en línea también se usan para otras cuentas. Una filtración de datos en una pequeña empresa podría comprometer una cuenta bancaria si se utilizan las mismas credenciales. Utiliza una contraseña larga, aleatoria y única para todas las cuentas en línea.
Qué evitar al seleccionar tu contraseña
Los ciberdelincuentes y los desarrolladores de programas de fuerza bruta para descifrar contraseñas, conocen todos los trucos «inteligentes» que la gente usa para crear sus contraseñas. Algunos errores comunes de contraseña que deben evitarse incluyen:
- Uso de una palabra de diccionario: los ataques de diccionario están diseñados para probar cada palabra del diccionario (y las permutaciones comunes) en segundos.
- Uso de información personal: el nombre de una mascota, el nombre de un familiar, el lugar de nacimiento, el deporte favorito, entre otros., son palabras del diccionario. Incluso si no lo fueran, existen herramientas para obtener esta información de las redes sociales y crear una lista de palabras a partir de ella para un ataque.
- Uso de patrones: contraseñas como 1111111, 12345678, son algunas de las más utilizadas que existen. También se incluyen en la lista de palabras de todos los piratas de contraseñas.
- Uso de sustituciones de caracteres: las sustituciones de caracteres como 4 por A y $ por S son bien conocidas. Los ataques de diccionario prueban estas sustituciones automáticamente.
- Usar números y caracteres especiales solo al final: la mayoría de las personas ponen sus números y caracteres especiales requeridos al final de la contraseña. Estos patrones están integrados en los descifradores de contraseñas.
- Uso de contraseñas comunes: cada año, empresas como Splashdata publican listas de las contraseñas más utilizadas. Crean estas listas descifrando contraseñas violadas, tal como lo haría un atacante. Nunca uses las contraseñas de estas listas ni nada parecido.
- Usar cualquier contraseña que no sea aleatoria: las contraseñas deben ser largas, aleatorias y únicas. Utiliza un administrador de contraseñas para generar y almacenar de forma segura contraseñas para cuentas en línea.
Tal vez quieras saber: Cómo Descomprimir Un Archivo RAR Sin Saber La Contraseña Y Sin Programas
Pensamientos finales
Las herramientas para descifrar contraseñas están diseñadas para tomar los hashes de contraseñas filtrados durante una violación de datos o robados mediante un ataque y extraer las contraseñas originales de ellos. Lo logran aprovechando el uso de contraseñas débiles o probando todas las contraseñas potenciales de una longitud determinada.
Los buscadores de contraseñas se pueden utilizar para una variedad de propósitos diferentes, no todos malos. Si bien los ciberdelincuentes los usan comúnmente, los equipos de seguridad también pueden usarlos para auditar la solidez de las contraseñas de sus usuarios y evaluar el riesgo de contraseñas débiles para la organización.
Me llamo Javier Chirinos y soy un apasionado de la tecnología. Desde que tengo uso de razón me aficioné a los ordenadores y los videojuegos y esa afición terminó en un trabajo.
Llevo más de 15 años publicando sobre tecnología y gadgets en Internet, especialmente en mundobytes.com
También soy experto en comunicación y marketing online y tengo conocimientos en desarrollo en WordPress.