Ataque de Fuerza Bruta
Método de ciberataque que consiste en probar sistemáticamente todas las combinaciones posibles de contraseñas o claves criptográficas hasta encontrar la correcta, incluyendo variantes como ataques de diccionario, credential stuffing y rainbow tables.
¿Qué es un ataque de fuerza bruta?
Un ataque de fuerza bruta (brute force attack) es un método de ciberataque que consiste en probar de forma sistemática y exhaustiva todas las combinaciones posibles de contraseñas, claves criptográficas o credenciales hasta dar con la correcta. Es uno de los vectores de ataque más antiguos y, según el informe de Verizon DBIR 2024, las credenciales comprometidas siguen siendo el factor principal en más del 40 % de las brechas de seguridad a nivel mundial.
Amenaza vigente en 2026
A pesar de ser una técnica conceptualmente simple, los ataques de fuerza bruta siguen siendo altamente efectivos. La disponibilidad de hardware especializado (GPUs, FPGAs) y bases de datos con miles de millones de credenciales filtradas convierten esta técnica en una amenaza real y constante para organizaciones y usuarios.
A diferencia de otros ataques que explotan vulnerabilidades de software, la fuerza bruta explota la debilidad humana: contraseñas cortas, predecibles o reutilizadas entre servicios. La fortaleza del ataque reside en su naturaleza matemáticamente inevitable: dado tiempo suficiente, cualquier contraseña puede ser descubierta. Lo que varía es si ese tiempo es de milisegundos o de miles de años.
Tipos de ataques de fuerza bruta
No todos los ataques de fuerza bruta funcionan igual. Cada variante optimiza la estrategia de pruebas para maximizar la probabilidad de éxito en el menor tiempo posible.
Fuerza bruta pura (exhaustiva)
| Característica | Detalle |
|---|---|
| Método | Prueba todas las combinaciones posibles de caracteres |
| Espacio de búsqueda | Completo (a-z, A-Z, 0-9, símbolos) |
| Velocidad | Depende de la longitud y el charset |
| Eficacia | 100 % garantizada (con tiempo suficiente) |
| Uso típico | Contraseñas cortas, PINs numéricos |
Para una contraseña de solo 4 dígitos numéricos (como un PIN), existen 10.000 combinaciones posibles. Un atacante puede probarlas todas en segundos. Con 8 caracteres alfanuméricos (mayúsculas, minúsculas, números), las combinaciones ascienden a más de 218.000 millones.
Ataque de diccionario
| Característica | Detalle |
|---|---|
| Método | Prueba palabras de listas predefinidas (diccionarios) |
| Espacio de búsqueda | Reducido a palabras comunes y variantes |
| Velocidad | Mucho más rápido que fuerza bruta pura |
| Eficacia | Alta para contraseñas basadas en palabras reales |
| Diccionarios populares | RockYou, SecLists, CrackStation, Have I Been Pwned |
Los diccionarios no solo contienen palabras del idioma. Incluyen contraseñas reales filtradas en brechas anteriores, variaciones comunes (P@ssw0rd, Verano2025!), y combinaciones frecuentes. El diccionario RockYou, por ejemplo, contiene más de 14 millones de contraseñas reales filtradas en 2009 y sigue siendo utilizado como base de referencia.
Credential stuffing
| Característica | Detalle |
|---|---|
| Método | Usa pares usuario/contraseña de filtraciones previas |
| Fuente de datos | Bases de datos de brechas (combolist) |
| Velocidad | Muy alta, pruebas directas |
| Eficacia | Muy alta (hasta un 2 % de éxito según Akamai) |
| Defensa principal | Contraseñas únicas por servicio + MFA |
Reutilización de contraseñas
Según datos de Google (2019), el 65 % de los usuarios reutiliza la misma contraseña en múltiples servicios. Esto convierte cada filtración de datos en un riesgo en cascada para todos los servicios donde la víctima tenga cuenta.
El credential stuffing es especialmente peligroso porque no genera el volumen de intentos fallidos de un ataque tradicional. Si el atacante tiene una lista de credenciales válidas de otro servicio, puede acertar en el primer intento.
Rainbow tables
| Característica | Detalle |
|---|---|
| Método | Tablas precomputadas de hashes y sus contraseñas originales |
| Objetivo | Invertir funciones hash (MD5, SHA-1, NTLM) |
| Velocidad | Búsqueda casi instantánea |
| Limitación | No funciona contra hashes con salt |
| Tamaño típico | Cientos de GB a varios TB |
Las rainbow tables representan un intercambio de tiempo por espacio: en lugar de calcular hashes en tiempo real, el atacante los precalcula y almacena. Al encontrar un hash en la tabla, obtiene la contraseña original de forma casi inmediata. Sin embargo, la técnica de salting (añadir un valor aleatorio único antes de hashear) invalida completamente este enfoque.
Password spraying
| Característica | Detalle |
|---|---|
| Método | Prueba una misma contraseña común contra muchas cuentas |
| Estrategia | Evita bloqueos por cuenta (pocos intentos por usuario) |
| Contraseñas típicas | Empresa2026!, Verano2025, Welcome1 |
| Detección | Más difícil que fuerza bruta tradicional |
| Objetivo | Entornos corporativos (Active Directory, Office 365) |
Tiempos de descifrado según complejidad
La siguiente tabla muestra estimaciones de tiempo para descifrar contraseñas mediante fuerza bruta pura con hardware de consumo (GPU RTX 4090) contra hashes MD5 sin salt:
| Longitud | Solo números | Minúsculas | Alfanumérico | Alfanum. + símbolos |
|---|---|---|---|---|
| 4 caracteres | Instantáneo | Instantáneo | Instantáneo | Instantáneo |
| 6 caracteres | Instantáneo | Segundos | Minutos | Minutos |
| 8 caracteres | Instantáneo | Minutos | Horas | Días |
| 10 caracteres | Segundos | Horas | Semanas | Años |
| 12 caracteres | Minutos | Semanas | Siglos | Miles de años |
| 14 caracteres | Horas | Años | Millones de años | Millones de años |
Algoritmo importa
Estos tiempos corresponden a MD5, que es extremadamente rápido de calcular. Con bcrypt (factor 12) o Argon2, los tiempos se multiplican por un factor de 10.000 a 100.000 veces, haciendo los ataques inviables incluso para contraseñas relativamente cortas.
Protecciones contra fuerza bruta: bcrypt, Argon2 y salting
Funciones de hashing lentas
El principal mecanismo de defensa contra fuerza bruta offline es el uso de funciones de hashing deliberadamente lentas:
| Algoritmo | Año | Características | Uso recomendado |
|---|---|---|---|
| MD5 | 1991 | Rápido, vulnerable a colisiones | No usar para contraseñas |
| SHA-256 | 2001 | Rápido, seguro para integridad | Verificación de archivos, no contraseñas |
| bcrypt | 1999 | Factor de coste ajustable, resistente a GPU | Contraseñas en aplicaciones web |
| scrypt | 2009 | Intensivo en memoria, resistente a ASICs | Contraseñas, criptodivisas |
| Argon2 | 2015 | Ganador PHC, resistente a GPU y ASICs | Estándar actual recomendado |
Salting
El salt es un valor aleatorio único que se añade a cada contraseña antes de hashearla. Esto garantiza que dos usuarios con la misma contraseña produzcan hashes diferentes, y anula completamente la eficacia de las rainbow tables.
Sin salt: hash("password123") = 482c811da5d5b4bc...
Con salt: hash("a7f3b2" + "password123") = 9e1c8f4d2a7b6e3c...
Con salt: hash("d4e9c1" + "password123") = 3b7a2f8e1d6c9a4b...Cada usuario tiene un salt diferente, lo que obliga al atacante a calcular cada hash individualmente.
Rate limiting y bloqueo de cuentas
| Medida | Implementación | Eficacia |
|---|---|---|
| Bloqueo tras N intentos | Cuenta bloqueada tras 5-10 fallos | Alta, pero permite DoS |
| Retardo progresivo | Espera creciente entre intentos (1s, 2s, 4s, 8s…) | Alta, sin bloqueo |
| CAPTCHA tras fallos | Verificación humana tras 3+ intentos | Media-alta |
| Bloqueo por IP | Bloquear IP tras múltiples fallos | Media (eludible con proxies) |
| MFA obligatorio | Segundo factor tras contraseña correcta | Muy alta |
| Geofencing | Restringir acceso por país/región | Media, complementaria |
Detección forense de ataques de fuerza bruta
La detección de un ataque de fuerza bruta se basa fundamentalmente en el análisis de logs de autenticación. Cada intento fallido queda registrado si el sistema tiene la auditoría correctamente configurada.
Eventos clave en Windows
| Event ID | Descripción | Relevancia |
|---|---|---|
| 4625 | Intento de inicio de sesión fallido | Indicador principal de fuerza bruta |
| 4624 | Inicio de sesión exitoso | Confirma si el ataque tuvo éxito |
| 4648 | Logon con credenciales explícitas | Movimiento lateral post-compromiso |
| 4740 | Cuenta bloqueada | Indica que el umbral de bloqueo se activó |
| 4776 | Validación de credenciales NTLM | Intentos contra controlador de dominio |
| 4771 | Pre-autenticación Kerberos fallida | Fuerza bruta contra Active Directory |
Indicadores en Linux
| Log / Ubicación | Patrón a buscar | Significado |
|---|---|---|
| /var/log/auth.log | Failed password for | Intento SSH fallido |
| /var/log/auth.log | Invalid user | Intento con usuario inexistente |
| /var/log/secure (RHEL) | authentication failure | Fallo de autenticación PAM |
| journalctl -u sshd | Connection closed by... [preauth] | Intento desconectado pre-autenticación |
| /var/log/fail2ban.log | Ban / Unban | Acciones de fail2ban |
Patrones que confirman un ataque
Volumen anómalo de fallos: Cientos o miles de intentos fallidos en un periodo corto (minutos u horas) contra una o varias cuentas. Un usuario legítimo rara vez genera más de 3-5 fallos consecutivos.
Progresión de credenciales: Análisis de los nombres de usuario probados. Si se observan variaciones sistemáticas (admin, administrator, root, user1, user2…), indica automatización.
Origen de las conexiones: IP de origen desconocida, especialmente si procede de redes Tor, VPNs comerciales o países inusuales para la organización.
Distribución temporal: Los ataques automatizados generan intentos a intervalos regulares (milisegundos entre cada intento). Un humano legítimo tiene intervalos irregulares.
Correlación con éxito: Buscar si, tras los intentos fallidos, existe un evento 4624 (éxito) desde la misma IP. Esto confirma que el ataque fue efectivo.
Actividad posterior: Si el ataque tuvo éxito, analizar qué hizo el atacante tras obtener acceso: creación de cuentas, escalada de privilegios, exfiltración de datos.
Ejemplo de análisis de logs
ANÁLISIS DE LOGS - CASO 2026/FB-001
Objetivo: Determinar si hubo ataque de fuerza bruta al servidor RDP
HALLAZGOS EN SECURITY.EVTX:
[2026-01-15 02:14:01] Event 4625 - Logon Failure
User: administrador | IP: 91.134.xxx.xxx | Reason: Bad password
[2026-01-15 02:14:01] Event 4625 - Logon Failure
User: administrador | IP: 91.134.xxx.xxx | Reason: Bad password
[... 2.347 intentos similares en 47 minutos ...]
[2026-01-15 03:01:33] Event 4625 - Logon Failure
User: administrador | IP: 91.134.xxx.xxx | Reason: Bad password
[2026-01-15 03:01:34] Event 4624 - Logon Success
User: administrador | IP: 91.134.xxx.xxx | Logon Type: 10 (RDP)
[2026-01-15 03:02:15] Event 4672 - Special Privileges Assigned
User: administrador
CONCLUSIÓN: Ataque de fuerza bruta confirmado. 2.348 intentos
en 47 minutos desde IP francesa. Éxito en intento 2.348.
El atacante obtuvo acceso RDP con privilegios de administrador.Herramientas de ataque y defensa
Herramientas ofensivas (conocimiento forense)
| Herramienta | Tipo | Protocolos / Objetivos |
|---|---|---|
| Hydra | Online (red) | SSH, FTP, HTTP, RDP, SMB, SMTP |
| Medusa | Online (red) | Similar a Hydra, modular |
| Hashcat | Offline (hashes) | MD5, SHA, bcrypt, NTLM, WPA |
| John the Ripper | Offline (hashes) | Múltiples formatos, reglas avanzadas |
| Burp Suite | Web | Formularios web, APIs |
| CeWL | Generador diccionarios | Crea wordlists desde sitios web |
Contexto forense
Un perito informático debe conocer estas herramientas no para realizar ataques, sino para comprender cómo opera un atacante, verificar la fortaleza de las contraseñas en una investigación y reproducir los pasos del incidente en un entorno controlado.
Herramientas defensivas
| Herramienta | Función | Plataforma |
|---|---|---|
| fail2ban | Bloqueo automático de IPs tras fallos | Linux |
| Account Lockout Policy | Bloqueo de cuentas en Active Directory | Windows |
| CrowdStrike Falcon | EDR con detección de fuerza bruta | Multiplataforma |
| Cloudflare WAF | Rate limiting y bloqueo en capa web | Cloud |
| Duo / Okta | MFA que invalida credenciales robadas | Cloud |
Caso práctico: ataque de fuerza bruta a PYME española
Escenario: Una empresa con 25 empleados detecta que su servidor de correo (Exchange) ha sido comprometido. Varias cuentas envían spam con adjuntos maliciosos a clientes.
Investigación forense:
Preservación de logs: Se realiza copia forense de los logs de Exchange, IIS, Windows Security y del firewall perimetral, calculando hashes SHA-256 de cada archivo.
Análisis de autenticación: En los logs de Exchange (IIS logs) se detectan 12.400 intentos POST al endpoint
/owa/auth.owadesde 47 direcciones IP diferentes en un periodo de 72 horas.Identificación del patrón: Los intentos prueban un listado de 25 direcciones de correo corporativas (todas las cuentas de la empresa) con contraseñas comunes en español: empresa2025, Verano2025!, Nombre123.
Confirmación de compromiso: Se identifica que 3 cuentas fueron vulneradas: todas utilizaban contraseñas basadas en el nombre de la empresa seguido del año (patrón predecible).
Actividad post-compromiso: Desde las cuentas comprometidas se crearon reglas de reenvío ocultas y se enviaron 4.200 correos de phishing a contactos del CRM durante 5 días.
Informe pericial: Se documenta la cadena de eventos, se identifican las IPs de origen (infraestructura cloud alquilada), y se cuantifica el impacto: 3 cuentas comprometidas, 4.200 emails fraudulentos, daño reputacional a la empresa.
Marco legal en España
Tipificación penal
Los ataques de fuerza bruta pueden constituir varios delitos según el Código Penal español:
| Conducta | Artículo CP | Pena |
|---|---|---|
| Acceso no autorizado a sistemas | Art. 197 bis 1 | Prisión de 6 meses a 2 años |
| Interceptación de datos | Art. 197 bis 2 | Prisión de 3 meses a 2 años |
| Daños informáticos | Art. 264 | Prisión de 6 meses a 3 años |
| Descubrimiento de secretos | Art. 197.1 | Prisión de 1 a 4 años |
| Estafa (si hay lucro) | Art. 248-249 | Prisión de 6 meses a 3 años |
| Facilitación de herramientas | Art. 197 ter | Prisión de 6 meses a 2 años |
Delito autónomo
Desde la reforma del Código Penal por la LO 1/2015, el mero acceso no autorizado a un sistema informático (art. 197 bis) es delito autónomo en España, independientemente de que se acceda o no a datos personales. Un ataque de fuerza bruta exitoso constituye este delito aunque el atacante no descargue información.
Normativa complementaria
- RGPD (Reglamento General de Protección de Datos): La organización víctima tiene obligación de notificar la brecha a la AEPD en 72 horas si se comprometen datos personales (art. 33 RGPD).
- LSSI-CE: Los prestadores de servicios deben implementar medidas de seguridad adecuadas.
- ENS (Esquema Nacional de Seguridad): Entidades del sector público deben implementar controles de autenticación robustos.
- Directiva NIS2: A partir de su transposición, las entidades esenciales e importantes deben implementar políticas de contraseñas y MFA.
Jurisprudencia relevante
La STS 987/2012 del Tribunal Supremo estableció que el acceso no autorizado mediante la obtención ilícita de contraseñas constituye un delito contra la intimidad, independientemente del método empleado para obtener las credenciales. La SAP Madrid 234/2019 confirmó condena por acceso mediante fuerza bruta a un servidor empresarial, con pena de 18 meses de prisión.
Análisis forense paso a paso
Recopilación de logs: Obtener logs de autenticación (Windows Security, auth.log), logs de aplicación (IIS, Apache, nginx), logs de firewall y registros de IDS/IPS. Calcular hash SHA-256 de cada fuente.
Normalización temporal: Verificar la zona horaria de cada fuente de logs. Convertir todos los timestamps a UTC para correlación precisa. Documentar cualquier desviación horaria detectada.
Filtrado de eventos relevantes: Extraer todos los eventos de autenticación fallida (Event ID 4625 en Windows, “Failed password” en Linux). Cuantificar intentos por cuenta, por IP y por ventana temporal.
Análisis de origen: Investigar las IPs de origen mediante WHOIS, geolocalización y consulta en bases de datos de reputación (AbuseIPDB, VirusTotal). Determinar si pertenecen a redes Tor, VPNs o botnets conocidas.
Determinación de éxito: Buscar eventos de autenticación exitosa (Event ID 4624) procedentes de las mismas IPs atacantes. Correlacionar cronológicamente con los intentos fallidos para confirmar si el ataque culminó con acceso.
Análisis post-compromiso: Si hubo éxito, rastrear todas las acciones realizadas con las credenciales comprometidas: comandos ejecutados, archivos accedidos, cuentas creadas, datos exfiltrados.
Elaboración del informe: Documentar la cadena completa del ataque con timestamps, IPs, cuentas afectadas, método empleado, alcance del compromiso y recomendaciones de remediación.
Relación con otros conceptos
- Keylogger: Mientras que la fuerza bruta prueba combinaciones, un keylogger captura directamente la contraseña cuando el usuario la teclea. Ambos métodos persiguen el mismo objetivo (obtener credenciales), pero por vías distintas.
- Hash criptográfico: Los ataques offline de fuerza bruta (hashcat, John the Ripper) trabajan directamente contra hashes robados. El algoritmo de hashing utilizado (MD5 vs bcrypt vs Argon2) determina la viabilidad del ataque.
- Logs de sistema: Son la fuente primaria de evidencia forense para detectar y documentar ataques de fuerza bruta. Sin logs adecuados, un ataque puede pasar completamente desapercibido.
- Anti-forense: Atacantes sofisticados pueden intentar eliminar o modificar los logs que evidencian sus intentos de fuerza bruta, utilizando técnicas anti-forense para borrar sus huellas.
Recomendaciones de prevención
| Medida | Impacto | Complejidad |
|---|---|---|
| Contraseñas de 12+ caracteres con símbolos | Muy alto | Baja |
| MFA en todos los servicios críticos | Muy alto | Media |
| Gestor de contraseñas corporativo | Alto | Media |
| fail2ban / rate limiting | Alto | Baja |
| Monitorización de logs en tiempo real (SIEM) | Alto | Alta |
| Política de no reutilización de contraseñas | Alto | Baja |
| Deshabilitar protocolos legacy (NTLMv1, telnet) | Medio | Media |
| VPN para acceso remoto (no exponer RDP) | Muy alto | Media |
Conclusión
Los ataques de fuerza bruta siguen siendo una de las amenazas más prevalentes en ciberseguridad. Su detección forense requiere un análisis metódico de los logs de autenticación, correlación de fuentes y reconstrucción temporal del incidente. Un perito informático debe ser capaz de identificar los patrones de ataque en los registros del sistema, determinar si el ataque tuvo éxito, cuantificar el impacto del compromiso y presentar los hallazgos de forma comprensible ante un tribunal. La implementación de medidas preventivas como MFA, funciones de hashing lentas y monitorización de logs reduce drásticamente el riesgo, pero ningún sistema es inmune mientras dependa de credenciales como único factor de autenticación.
Última actualización: 10 de febrero de 2026 Categoría: Seguridad Código: BFR-001
Preguntas Frecuentes
¿Cuánto tarda un ataque de fuerza bruta en descifrar una contraseña?
Depende de la longitud y complejidad de la contraseña. Una de 6 caracteres alfanuméricos puede caer en minutos, mientras que una de 12+ caracteres con símbolos puede tardar miles de años. Algoritmos lentos como bcrypt o Argon2 multiplican el tiempo exponencialmente.
¿Cómo se detecta un ataque de fuerza bruta?
Analizando los logs de autenticación del sistema. Se buscan patrones de múltiples intentos fallidos desde una misma IP o contra una misma cuenta en cortos intervalos de tiempo. Eventos como el 4625 de Windows (logon failure) son indicadores clave.
¿El credential stuffing es un ataque de fuerza bruta?
Es una variante. En lugar de probar combinaciones aleatorias, utiliza pares usuario-contraseña obtenidos de filtraciones previas de otros servicios, aprovechando que muchos usuarios reutilizan credenciales.
Términos Relacionados
Keylogger
Software o hardware que registra todas las pulsaciones de teclado de un usuario, capturando contraseñas, mensajes y toda la actividad escrita. Su detección y análisis es común en casos de espionaje corporativo, acoso y malware.
Hash Criptográfico
Función matemática que genera una cadena única de caracteres (huella digital) a partir de cualquier conjunto de datos, permitiendo verificar que no han sido alterados.
Logs de Sistema
Archivos que registran automáticamente eventos del sistema operativo, aplicaciones y servicios. Son fuente primaria de evidencia forense para reconstruir actividades, detectar intrusiones y establecer timelines de incidentes.
Anti-Forense
Conjunto de técnicas, herramientas y procedimientos diseñados para impedir, dificultar o invalidar el análisis forense digital, incluyendo destrucción de datos, ocultación de información y manipulación de metadatos.
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita