¿Qué es Ataque de fuerza bruta?
Un ataque de fuerza bruta es un método de criptoanálisis que intenta determinar una contraseña, una clave de cifrado u otro secreto probando sistemáticamente todas las combinaciones posibles hasta encontrar el valor correcto.
También conocido como: brute force, password cracking, exhaustive search
Los ataques de fuerza bruta son la forma más simple de ataque contra cualquier secreto: probar todas las posibilidades. Contra un PIN de 4 dígitos hay 10.000 combinaciones, algo trivial para un ordenador. Contra una contraseña de 8 caracteres en minúsculas hay unos 209.000 millones de combinaciones, factible con hardware moderno. Contra una clave de cifrado de 256 bits hay 2^256 posibilidades, computacionalmente inviable con cualquier tecnología que pudiera existir según las leyes de la física conocidas.
En la práctica, los atacantes rara vez realizan ataques de fuerza bruta puros contra las contraseñas. En su lugar, usan variantes optimizadas: ataques de diccionario (probando contraseñas y palabras comunes), ataques basados en reglas (aplicando transformaciones comunes como añadir números o sustituir caracteres), relleno de credenciales (usando contraseñas filtradas de otras brechas) y ataques con tablas arcoíris (usando búsquedas de hash precalculadas). Estas técnicas explotan la predecibilidad de las contraseñas elegidas por humanos para reducir drásticamente el espacio de búsqueda.
Las defensas contra los ataques de fuerza bruta operan en varios niveles. Las contraseñas robustas y las claves de cifrado largas hacen inviable la búsqueda exhaustiva. La limitación de velocidad restringe el número de intentos por periodo de tiempo. Las políticas de bloqueo de cuentas impiden el acceso tras varios fallos repetidos. Las funciones de derivación de claves como PBKDF2 y bcrypt hacen que cada intento sea costoso computacionalmente. El uso de sal impide los ataques de búsqueda precalculada. En conjunto, estas defensas elevan el coste de un ataque de fuerza bruta más allá de cualquier umbral práctico.
Cómo usa Vaulted Ataque de fuerza bruta
Vaulted se defiende de los ataques de fuerza bruta en varias capas. La clave de cifrado AES-256-GCM es un valor aleatorio de 256 bits, lo que hace computacionalmente imposible el descifrado por fuerza bruta. Para los secretos protegidos con frase de contraseña, PBKDF2 con 100.000 iteraciones encarece cada intento de adivinar la frase de contraseña. La limitación de velocidad del lado del servidor (10 creaciones por minuto, 30 visualizaciones por minuto por IP) impide los intentos automatizados rápidos contra la API. Y los límites de visualizaciones garantizan que un secreto se elimine permanentemente tras un pequeño número de accesos, cerrando la ventana para los intentos repetidos de adivinación.