Home / AClasificacion1 / Informes / [INFORME] ¿Realmente puede un hacker usar fuerza bruta para robar un password de Facebook?

[INFORME] ¿Realmente puede un hacker usar fuerza bruta para robar un password de Facebook?

 

hacker_hand-100155589-large

¿Un ataque de fuerza bruta, que prueba con cadenas de texto al azar hasta dar con la correcta, podría funcionar en sitios web grandes? ¿Permitiría Facebook que se hagan millones de intentos fallidos?

Todos sabemos que los ciber delincuentes hackean exitosamente cuentas de Facebook, Twitter, Google y Microsoft. La mayoría de ataques exitosos no provienen de técnicas de fuerza bruta, sino de ingeniería social, engañándote para que les des tu password. Esto no funciona con todo el mundo, pero funciona con los crédulos.

Como regla general, los sitios web no permiten ataques de fuerza bruta. Cada intento de ingresar un password tomará varios segundos para establecerse como verdadero o falso. A esa tasa, hackear un password de cuatro dígitos tomaría de 15 a 20 horas. Y mucho antes de eso, cualquier sitio diseñado decentemente reconocería lo que está sucediendo y desconectaría la cuenta.

Aún así, hay gente que afirma haberlo hecho exitosamente, encontrando la forma de puentear todas las medidas de seguridad. Puedes revisar este blog respecto al tema en esta entrada: “Cómo usar la fuerza bruta para hackear Facebook en Kali Linux” .

Y, no. No lo intenté. Sospecho que si esta técnica alguna vez funcionó, ya no lo hace. Facebook parcharía inmediatamente cualquier vulnerabilidad posible. Por supuesto, eso no es garantía de que otras fallas no sean descubiertas en el futuro.

Ten presente que si vas a ‘Aprobaciones de acceso en Facebook’ (la cual puedes encontrar en la página de ajustes de seguridad), alguien que robe tu password, aún no tendrá acceso a tu cuenta. Con esta verificación de dos pasos, el acceso a tu cuenta requerirá no solo u password, sino también tu celular, no el número, sino tu teléfono físicamente.

Pero si la fuerza bruta no es práctica, ¿por qué preocuparse por tener passwords fuertes? La cuestión de crear un password largo y difícil es aseguarse de que un ataque de fuerza bruta sea impráctico.

Le formulé esta pregunta al experto e seguridad Bruce Scheier. Me dijo que “Independientemente de lo que esté ocurriendo, se debería elegir un password largo para cualquier cosa importante”.

Estoy de acuerdo. Es simplemente un buen hábito. Y además, habrá una capa de protección adicional en un mundo en el que no sabemos cuándo será retirada otra capa.

18/02/2014 – Licoln Spector – PCWorld