¿Qué es un ataque de fuerza bruta?

Un ataque de fuerza bruta es un método de acceso no autorizado que consiste en probar sistemáticamente todas las combinaciones posibles de una contraseña hasta encontrar la correcta. Es uno de los ataques más antiguos pero sigue siendo efectivo contra contraseñas débiles.

Cómo funciona técnicamente

Los atacantes usan software especializado (Hashcat, John the Ripper) que puede probar miles de millones de combinaciones por segundo usando la GPU. Primero intentan obtener los hashes de contraseñas de una base de datos comprometida y luego los descifran offline sin límite de intentos.

Variantes del ataque de fuerza bruta

• Fuerza bruta pura — prueba todas las combinaciones posibles
• Ataque de diccionario — prueba palabras comunes y sus variaciones
• Ataque híbrido — combina diccionario con mutaciones (añadir números, cambiar letras)
• Credential stuffing — usa credenciales filtradas de otras brechas
• Password spraying — prueba pocas contraseñas en muchas cuentas

¿Cuánto tarda un ataque de fuerza bruta?

Con hardware moderno (RTX 4090) contra hashes MD5: contraseñas de 8 caracteres caen en horas. Con hashes bcrypt, el mismo proceso tarda años. Por eso importa tanto el algoritmo de hash que use el servicio, además de la longitud de tu contraseña.

Cómo protegerte

• Usa contraseñas de mínimo 16 caracteres — hace la fuerza bruta computacionalmente inviable
• Activa autenticación de dos factores en todas tus cuentas importantes
• Usa contraseñas únicas — el credential stuffing no funciona con contraseñas únicas
• Comprueba regularmente si tus credenciales han sido filtradas