¿Cómo descifrar la contraseña de una aplicación o sistema informático?

por Pablo Álvarez Corredera
¿Cómo descifrar la contraseña de una aplicación o sistema informático?

El descifrado de contraseñas emplea una serie de técnicas para lograr sus objetivos. A lo largo del siguiente artículo vamos a conocer más sobre el descifrado, las técnicas que existen y las herramientas más utilizadas para ello.

Si quieres conocer más sobre el cifrado y aprender como se realiza, no dudes en echar un ojo a la publicación sobre criptografía.

¿Qué es el descifrado de contraseñas?

El descifrado de contraseñas es el proceso de intentar obtener acceso no autorizado a sistemas restringidos utilizando las contraseñas más comunes u el uso de algoritmos que las adivinen.

El proceso de descifrado puede implicar la compararación de contraseñas almacenadas con una lista de palabras o utilizar algoritmos capaces de generar infinidad de contraseñas, hasta hacerla coincidir.

En otras palabras, descifrar es el arte de obtener la contraseña correcta que te de acceso a un sistema protegido bajo un método de autenticación.

¿Qué es la seguridad de las contraseñas?

La fuerza de la contraseña es la medida de la eficiencia de una contraseña para ser capaz de resistir los ataques de descifrado

. La fuerza de una contraseña está determinada por:

  • La longitud: En referencia a la cantidad de caracteres que contiene una contraseña.
  • La complejidad: En referencia a la combinación de letras, números y símbolos más o menos compleja.
  • La impredecibilidad: En referencia a las posibilidades de un atacante de cara a poder adivinar la contraseña.

Veamos ahora un ejemplo práctico, usando las siguientes tres contraseñas como ejemplos:

  1. contraseña
  2. contraseña1
  3. # contraseña1 $

Para comprobar su fortaleza, usaremos el indicador de seguridad de contraseñas de Kaspersky.

NOTA IMPORTANTE: Recuerda no agregar tus contraseñas reales en este tipo de páginas, realiza las pruebas con contraseñas bajo parámetros similares (de números de caracteres, espaciados, símbolos) pero modificando siempre los caracteres exactos.

Si insertas las diferentes contraseñas (contraseña, contraseña1, # contraseña1 $) el comprobador te indicará como de resistente es cada una de ellas.

En el indicador de Karpersky, se nos ofrece como dato curioso, el tiempo que un ordenador tardaría en encontrar la contraseña si recibiésemos un ataque de fuerza bruta.

Existen más herramientas similares que puedes probar, por ejemplo:

Supongamos que tenemos que almacenar nuestras contraseñas anteriores utilizando cifrado md5. Entonces usaremos un generador de hash md5 en línea para convertir nuestras contraseñas a hash md5.

Prueba a generar los hash de las 3 contraseñas anteriores (contraseña, contraseña1, # contraseña1 $).

Posteriormente, puedes probar a desencriptarlas en hashes.com; el resultado será que las contraseñas más fuertes no se pueden descifrar; pero las débiles, sí.

Si quieres conocer más en profundidad sobre lo que es MD5 y como utilizarlo, pásate por aquí.

¿Qué técnicas de descifrado de contraseñas existen?

Hay una serie de técnicas que se pueden utilizar para descifrar contraseñas . A continuación, describiremos algunas de las más utilizadas:

Ataque de diccionario

El método de ataque de diccionario implica el uso de una lista de palabras (frases u combinaciones de palabras) para compararlas con la contraseña de los usuarios.

Ataque de fuerza bruta

El método de ataque de fuerza bruta es similar al ataque de diccionario.

A diferencia del ataque de diccionario, los ataques de fuerza bruta utilizan algoritmos que combinan caracteres alfanuméricos y símbolos para generar contraseñas que son utilizadas para atacar.

RELACIONADOS:  ¿Cuál es el secreto detrás de una contraseña segura?

Por ejemplo, una contraseña de valor “contraseña” podría ser probada en infinidad de combinaciones diferentes, además de agregarle infinidad de símbolos, números, etc.

Ataque de tabla de arco iris

El método de tabla de arco iris utiliza hashes precalculados. Supongamos que tenemos una base de datos que almacena contraseñas como hashes md5.

Entonces podemos crear otra base de datos que tenga hashes md5 basados en contraseñas de uso común.

Posteriormente, ir comparando el hash de la contraseña que tenemos con los hash almacenados en la base de datos; si se encontrase una coincidencia, esa sería la contraseña utilizada.

Adivinanza

Como su propio nombre sugiere, el método de de adivinanza implica adivinar la contraseña.

Existen infinidad de proyectos, gestores de contenidos, bases de datos, moden y apartados de redes, etc, que vienen con contraseñas por defecto.

Conociendo las contraseñas predeterminadas que comúnmente cada compañía utiliza, solamente es cuestión de localizar a usuarios y sitios de servicios en los que esas password no se hallan modificado.

Arañado de datos

La mayoría de las organizaciones utilizan contraseñas que contienen información de la empresa. Esa info. se puede encontrar en los sitios web u redes sociales de la propia empresa.

El método de spidering o arañado se encarga de recopilar información de este tipo de fuentes para crear listas de posibles palabras, y posteriormente usarlas realizando ataques de diccionario o fuerza bruta.

¿Qué herramienta para descifrar contraseñas existen?

Estos son programas de software que se utilizan para descifrar las contraseñas de los usuarios

. Algunos de los más conocidos como: John the Ripper, Caín y Abel o OphCrack.

John the Ripper

John the Ripper

usa la consola del sistema para descifrar contraseñas. Esto lo hace adecuado para usuarios avanzados que se sienten cómodos trabajando con comandos.

Utiliza listas de palabras para descifrar contraseñas. El programa es gratuito, pero las listas de palabras debes comprarlas.

Aunque existen listas de palabras gratuitas que puedes probar a utilizar. Vista el sitio web de John the Ripper para obtener más información y conocer más sobre su utilización.

Caín y Abel

Cain & Abel

se ejecuta en Windows y se utiliza para recuperar contraseñas de cuentas de usuario y la recuperación de contraseñas de Microsoft Access, rastreo de redes, etc.

A diferencia de John the Ripper, Cain & Abel usa una interfaz gráfica de usuario y es muy común entre los principiantes y los script kiddies debido a su sencillez de uso.

Visita el sitio web de Caín y Abel para obtener más información.

Ophcrack

Ophcrack

es un descifrador de contraseñas multiplataforma que utiliza tablas arco iris para descifrar las contraseñas. Funciona en Windows, Linux y Mac OS.

También cuenta con un módulo para ataques de fuerza bruta entre otras características.

Visita el sitio web de Ophcrack para obtener más información.

Medidas para contrarrestar el descifrado de contraseñas

Una organización puede utilizar los siguientes métodos para reducir las posibilidades de que se descifren las contraseñas:

  • Evitar contraseñas cortas y fácilmente predecibles.
  • Evitar el uso de contraseñas con patrones predecibles como 11552266.
  • Encriptar siempre las contraseñas almacenadas en las bases de datos. Para las encriptaciones utiliza md5.
  • La mayoría de los sistemas de registro tienen indicadores de seguridad de contraseñas, las organizaciones deben adoptar políticas que favorezcan niveles altos de seguridad en sus pass.

Resumen

  • El descifrado de contraseñas es el arte de recuperar contraseñas almacenadas o transmitidas.
  • La seguridad de la contraseña está determinada por la longitud, la complejidad y la imprevisibilidad del valor de una contraseña.
  • Las técnicas comunes de contraseña incluyen ataques de diccionario, fuerza bruta, tablas de arco iris, arañas y craqueo.
  • Las herramientas para descifrar contraseñas simplifican el proceso de descifrar contraseñas.
RELACIONADOS:  Malware: Gusanos, Virus y Caballos de Troya

Malware: Gusano, virus y caballo de troya (Capítulo 7)
Tutorial de criptografía: Criptoanálisis, RC4, CrypTool (Capítulo 5)

? Libro Hacking desde 0

? Herramientas Hacking ? Recursos Hacking

?‍♀️ Cursos Seguridad en Red ? Cursos RedesCursos Servicios en Nube ?‍♂️ Libros Seguridad y Criptografía ? Libros Redes

Relacionado

1Password agregó Autorización sin Contraseña

El administrador de contraseñas 1Password, después de introducir soporte para la tecnología Passkey en las aplicaciones móviles, ahora permite iniciar sesión en el servicio sin contraseña. Anteriormente, esta función se probó en versión beta cerrada, pero ahora todos pueden habilitarla con un par de clics. Está disponible en aplicaciones para Mac, iOS, iPadOS, Windows y Android, así como web y extensiones para Chrome, Firefox, Edge, Brave ¡SEGUIR LEYENDO!

Libro El Arte de la Invisibilidad escrito por Kevin Mitnick

Nos guste o no, todos sus movimientos están siendo observados y analizados. Las identidades del consumidor están siendo robadas y cada paso de una persona está siendo rastreado y almacenado.

¡REBAJADO!
El arte de la invisibilidad (TÍTULOS ESPECIALES)
El arte de la invisibilidad (TÍTULOS ESPECIALES)
  • Mitnick, Kevin (Autor)
29,95 EUR −1,51 EUR 28,44 EUR Amazon Prime
¡CÓMPRALO YA! APROVECHA UNA OFERTA HISTÓRICA
Lo que una vez pudo haber sido descartado como paranoia es ahora una verdad dura y la privacidad es un lujo que pocos pueden permitirse o comprender. ¿Qué debes saber sobre El Arte ¡SEGUIR LEYENDO!
Guía para principiantes que desean convertirse en analistas de ciberseguridad

Diariamente, los analistas de ciberseguridad son responsables de mantener el software de seguridad, incluidos los firewalls y las herramientas de cifrado de datos. También investigan las brechas de seguridad y las reportan para ofrecer métricas de gestión. En comparación con otros trabajos de TI, la ciberseguridad es un sector relativamente nuevo. Esto indica que puedes seguir diferentes caminos para convertirse en analista en ciberseguridad. https://ciberninjas.com/criptografia-ofensiva-alfonso-munoz/ Por ¡SEGUIR LEYENDO!

Amenazas potenciales de seguridad para los sistemas informáticos

Una amenaza al sistema informático es todo aquello que provoca la pérdida o corrupción de datos o daños físicos al hardware y / o la infraestructura. Saber cómo identificar las amenazas a la seguridad informática es el primer paso para proteger los sistemas informáticos: Las amenazas pueden ser intencionales, accidentales o causadas por desastres naturales. En este artículo, vamos a ver las amenazas más comunes de ¡SEGUIR LEYENDO!

Criptografía: Criptoanálisis, RC4, CrypTool

La información juega un papel vital en el funcionamiento de negocios, organizaciones, operaciones militares, etc. La información en las manos equivocadas puede conducir a la pérdida de negocios o resultados catastróficos. Para proteger la información, una empresa puede utilizar la criptología para cifrar la información. La criptología implica la transformación de la información a un formato legible no humano y viceversa. En este artículo, vamos a ¡SEGUIR LEYENDO!

¿Qué es la criptovirología?

La criptovirología es el estudio del uso de la criptografía en la producción de software malicioso. En una explicación algo más extensa, poríamos decir que la criptovirología es, la investigación sobre cómo se pueden utilizar los paradigmas y herramientas criptográficos modernos para fortalecer, mejorar y desarrollar nuevos ataques de software malicioso o malware. Los ataques de criptovirología se han diseñado para diversos casos de uso, entre ¡SEGUIR LEYENDO!

¿Cómo hackear una red WiFi? Guía para descifrar la red inalámbrica en una PC con Windows

Las redes inalámbricas son accesibles para cualquier persona dentro del radio de transmisión del router. Esto los hace vulnerables a los ataques. Los puntos de acceso están disponibles en lugares públicos como aeropuertos, restaurantes, parques, etc. En este tutorial, te presento las técnicas más comunes utilizadas para explotar las debilidades en las implementaciones de seguridad de redes inalámbricas. También veremos algunas de las contramedidas que puede ¡SEGUIR LEYENDO!

Salir de la versión móvil