Imagina que tienes un candado con una combinación de números, pero no sabes cuál es la clave correcta. Un atacante con mucha paciencia podría intentar una por una todas las combinaciones posibles hasta que el candado se abra. Quizá tarde segundos si el candado es sencillo, o años si el candado tiene miles de millones de combinaciones. Esta idea tan simple es la base de lo que en ciberseguridad se conoce como ataque de fuerza bruta. Es un método directo y sin rodeos: probar todas las contraseñas posibles hasta dar con la correcta. Aunque parezca rudimentario, este tipo de ataque sigue siendo muy usado en la actualidad, porque, aunque la tecnología avanza, mucha gente continúa usando contraseñas débiles que lo hacen viable.
Un ataque de fuerza bruta no necesita ni magia ni una astucia especial, solo potencia de cálculo y tiempo. La computadora que lo ejecuta genera intentos uno tras otro, igual que alguien que prueba todas las llaves de un llavero hasta que alguna encaja. Existen programas diseñados para esta tarea, que pueden probar millones de contraseñas por segundo. Herramientas como Hydra o Hashcat son ejemplos conocidos, y permiten realizar pruebas sistemáticas contra contraseñas, hashes o incluso redes Wi-Fi. Lo sorprendente es que no siempre hacen falta máquinas gigantes: con tarjetas gráficas actuales, un ordenador personal puede tener la potencia suficiente para descifrar contraseñas cortas en cuestión de minutos.
Pero ¿por qué se le llama “fuerza bruta”? Precisamente porque no hay estrategia sofisticada detrás. A diferencia de otros métodos que engañan al usuario para que revele su contraseña, o que explotan fallos en un sistema, aquí se trata de pura insistencia matemática. El ordenador intenta con todas las letras, números y símbolos posibles hasta que da con la combinación adecuada. En algunos casos, en lugar de probar todas las combinaciones, se usan listas de palabras comunes o contraseñas filtradas previamente, lo que se conoce como ataques de diccionario. A partir de ahí, también pueden hacerse variantes híbridas, mezclando palabras con números o símbolos.
Para entender por qué este ataque puede ser exitoso, conviene pensar en el concepto de entropía o complejidad de una contraseña. Cuanto más larga y variada es la clave, más combinaciones hay que probar y, por tanto, más tiempo lleva romperla. Una contraseña como “1234” se puede descifrar en segundos, porque solo tiene unas pocas combinaciones posibles. En cambio, una como “xQ9+rT7zLm2$#” requeriría millones de intentos y, dependiendo de los recursos del atacante, podría llevar años. La diferencia está en que mucha gente sigue usando contraseñas cortas, fáciles de adivinar, o incluso repetidas en distintos servicios. Eso abre la puerta a que los ataques de fuerza bruta sigan funcionando.
A lo largo de la historia, este tipo de ataque ha estado detrás de algunos casos famosos. Un ejemplo es la filtración de la base de datos de RockYou en 2009, que contenía más de 32 millones de contraseñas de usuarios. Muchas de ellas eran tan simples que podían romperse en segundos. Esa filtración se convirtió en una mina de oro para los atacantes, porque desde entonces las usan en ataques masivos para probar combinaciones conocidas. De hecho, hoy existe una práctica llamada credential stuffing, en la que no se prueban todas las combinaciones posibles, sino que se reutilizan contraseñas ya filtradas en otros sitios, con la esperanza de que los usuarios repitan las mismas claves en servicios distintos.
Las defensas contra los ataques de fuerza bruta son variadas y se han ido perfeccionando con los años. Una de las más comunes es limitar el número de intentos. Por ejemplo, si intentas poner tu PIN mal varias veces en el cajero automático, la tarjeta se bloquea. Lo mismo ocurre en muchos servicios online: si introduces una contraseña incorrecta varias veces, el sistema bloquea temporalmente tu cuenta o te pide resolver un captcha. Otra técnica es el uso de hashes seguros para almacenar contraseñas. En lugar de guardar las claves en texto plano, los sistemas las transforman en cadenas irreconocibles mediante algoritmos matemáticos. Así, aunque un atacante consiga robar la base de datos, aún tendría que aplicar fuerza bruta para descifrar los hashes, lo cual puede ser extremadamente costoso si se usan algoritmos modernos y bien configurados.
En este punto es interesante introducir otro factor: la velocidad de las máquinas. Si hace veinte años probar millones de contraseñas era imposible para un usuario común, hoy cualquiera puede hacerlo con un buen procesador gráfico. Además, existen servicios en la nube que alquilan potencia de cálculo, lo que facilita a un atacante lanzar ataques de fuerza bruta desde varios lugares a la vez. Esto ha llevado a que las defensas tengan que ser más ingeniosas: no basta con poner un candado fuerte, también hay que evitar que alguien tenga el tiempo suficiente para probar todas las llaves.
Los expertos en seguridad recomiendan prácticas muy sencillas para protegerse de este tipo de ataques. La primera es usar contraseñas largas y complejas, combinando letras mayúsculas, minúsculas, números y símbolos. Pero como eso puede ser difícil de recordar, también se aconseja utilizar frases de paso largas, como una oración que tenga sentido para ti pero sea difícil de adivinar. Además, es fundamental no reutilizar contraseñas en distintos servicios. Aquí entran en juego los gestores de contraseñas, programas que generan claves seguras y las almacenan de manera cifrada, para que solo tengas que recordar una.
Otro escudo muy importante es la autenticación de dos factores. Aunque un atacante logre descifrar tu contraseña, se encontrará con que necesita un segundo código, enviado a tu teléfono o generado en una aplicación. Esto hace que la fuerza bruta, por sí sola, ya no sea suficiente. Por último, también se recomienda a los desarrolladores implementar retrasos progresivos entre intentos fallidos, de manera que el atacante tenga que esperar cada vez más tiempo. Eso convierte un ataque que podría durar minutos en uno que podría llevar siglos.
Es curioso pensar que un ataque tan simple todavía sea una amenaza común en la red. Su eficacia no está en lo ingenioso de la técnica, sino en la debilidad de las contraseñas humanas. Los computadores no se cansan ni se aburren; pueden intentar miles de millones de combinaciones sin quejarse. En cambio, los humanos tendemos a elegir contraseñas fáciles de recordar, y ahí está el punto débil. Por eso, aunque hablemos de hackers con gran conocimiento, muchas veces ni siquiera necesitan complicarse: basta con dejar que las máquinas hagan el trabajo sucio.
En definitiva, el ataque de fuerza bruta es como ese candado abierto a golpes de insistencia. Puede parecer un método tosco, pero funciona si la cerradura es débil. La buena noticia es que tenemos maneras sencillas de defendernos: elegir contraseñas largas y únicas, activar el segundo factor de autenticación, y confiar en que los sistemas implementen barreras adecuadas. De esa forma, aunque los atacantes tengan toda la paciencia del mundo, se encontrarán con un muro demasiado alto para escalar.
La próxima vez que crees una cuenta o cambies tu clave, recuerda esta idea: una contraseña corta es como una puerta con un candado de juguete; una contraseña robusta, en cambio, es como una bóveda con miles de millones de combinaciones. Y ante esa bóveda, ni siquiera la fuerza bruta puede abrirla fácilmente.
