Saltar a contenido

04.-Otros ataques de contraseñas

Además de los ataques de Password Guessing y Password Cracking vistos en las secciones anteriores, existen otros tipos de ataques a contraseñas que merece la pena conocer. A continuación, los explicamos en detalle.

1. Default Passwords (Contraseñas por Defecto)

Muchos dispositivos de red (switches, firewalls, routers, impresoras, etc.) vienen de fábrica con una contraseña predefinida, que el usuario debe cambiar durante la configuración inicial. Sin embargo, en muchos casos estas credenciales no se modifican, y suelen ser las mismas para todos los dispositivos de un mismo modelo.

Si un usuario no cambia la contraseña predeterminada, un atacante con acceso a la red podría autenticarse en el dispositivo utilizando las credenciales por defecto.

🔍 Ejemplos de riesgos:

  • Dispositivos de red sin cambios en credenciales de fábrica.
  • Servicios o aplicaciones con usuarios predefinidos y contraseñas estándar.
  • Listados públicos en Internet con recopilaciones de credenciales por defecto.
  • Manuales de usuario que incluyen contraseñas predefinidas de aplicaciones o hardware.

📌 Solución recomendada: Modificar siempre las credenciales por defecto en cualquier dispositivo o servicio expuesto a una red.

2. Rainbow Tables (Tablas Arcoíris)

Las Rainbow Tables están estrechamente relacionadas con el cracking de contraseñas. Consisten en almacenar en bases de datos previamente generadas una lista de posibles contraseñas y los hashes resultantes tras aplicarles un algoritmo de hashing.

Esto permite que, en lugar de calcular cada hash en tiempo real, se pueda simplemente buscar el hash en la tabla y obtener la contraseña en tiempo reducido.

🔹 Características de las Rainbow Tables:
Aceleran la recuperación de contraseñas previamente calculadas.
✅ Son eficaces contra hashes sin salting (añadir valores aleatorios antes de calcular el hash).
Generarlas consume mucho tiempo y recursos computacionales.
⚠ No funcionan contra algoritmos que implementan salting o desafío-respuesta.

🚫 Limitaciones:

  • Si un algoritmo de hash usa salting, las Rainbow Tables no pueden aplicarse, ya que cada hash generado es único.
  • Los algoritmos basados en desafío-respuesta también quedan fuera de este ataque, ya que dependen de un valor aleatorio adicional.

🔗 Servicio de Cracking Online con Rainbow Tables:
Consulta aquí un servicio de cracking de NTLM con Rainbow Tables

Autoevaluación

📌 Indica si las siguientes afirmaciones son Verdaderas o Falsas:

1️⃣ Si un aplicativo o servicio dispone de usuarios por defecto, se recomienda modificar la contraseña de los mismos.
Verdadero

Explicación: Los usuarios por defecto suelen tener credenciales predefinidas que son fácilmente accesibles en listas públicas o manuales de usuario.

2️⃣ Todos los tipos de hashes pueden ser vulnerables a ataques con "Rainbow Tables".
Falso

Explicación: Los algoritmos que implementan salting o utilizan desafío-respuesta no pueden ser vulnerados con Rainbow Tables, ya que incluyen valores aleatorios en cada hash generado.

Si necesitas ajustes o más contenido, dime y lo adapto. 😊🔐