Sí, lo hacen y lo hacen ampliamente. En casi todos los trabajos de prueba de penetración que hice mientras trabajaba en mi trabajo anterior, usamos la fuerza bruta en una etapa u otra, es solo una de las técnicas útiles que cualquier probador de penetración (o un hacker) usa para establecerse en un sistema .
Lo que sucede con la fuerza bruta, después de todos los avances tecnológicos, los administradores de contraseñas, la autenticación de dos factores y las huellas dactilares, se podría pensar que las personas comenzarán a proteger sus cuentas de la manera adecuada, pero no lo hacen, y ahí es cuando entra en vigor la fuerza bruta.
Por su pregunta, también supongo que se pregunta si alguna vez funciona, y lo hace, muchas veces funciona como espera que lo haga, y entra en un sistema porque alguien no quería usar una contraseña compleja.
- ¿Qué hace principalmente un arquitecto de seguridad?
- ¿Quién suministra el software y hardware para el programa de monitoreo de correo electrónico de la NSA?
- ¿Cuáles son los riesgos de seguridad para la base de datos MongoDB cuando no hay una regla de firewall?
- ¿Es cierto que se filtran datos personales de 50 millones de ciudadanos turcos?
- Cómo protegerse contra los piratas informáticos
Pero no me malinterpreten, la fuerza bruta no se trata solo de hackear contraseñas de sistemas, sino que se puede usar para descifrar contraseñas que protegen cualquier tipo de recursos informáticos (archivos, discos, …), y con suficiente tiempo, habilidades y recursos (hardware ) un hacker encontrará una manera de utilizar la fuerza bruta para sus propios objetivos y propósitos.
Como una de las respuestas mencionadas, la fuerza bruta es un poco diferente de adivinar, ya que intenta todas las contraseñas o nombres de usuario posibles donde adivinar intenta solo un subconjunto de esos posibles valores. La fuerza bruta es más intensa que adivinar, pero si tiene suficiente información sobre el objetivo, adivinar podría ser una forma más rápida de obtener acceso.
La forma más peligrosa de hacer IMO de fuerza bruta es cuando un pirata informático combina listas de palabras aleatorias con mucha información que recopilaron sobre el objetivo, esto aumenta la proporción de éxito del ataque por un gran margen ya que las personas usan mutaciones de palabras simples en sus contraseñas.
Para ver algunos ejemplos de la vida real de cómo las personas de seguridad (y los piratas informáticos) usan la fuerza bruta, revise esos enlaces:
- ICS-CERT: Oleada de ataques de fuerza bruta contra la industria energética
- GitHub prohíbe las contraseñas débiles después de que el ataque de fuerza bruta resulte en cuentas comprometidas
- Ciberinvestigaciones: un ataque de fuerza bruta en Word Press