40.000 ataques por minuto para intentar conseguir contraseñas de sitios webs
Instalar un firewall de aplicaciones y configurarlo correctamente, exigir contraseñas seguras a todos los usuarios y requerir la verificación en dos pasos (2FA) para todos los inicios de sesión, son algunos de los consejos que ofrece SiteGround para evitar los ataques de fuerza bruta
El primer jueves de mayo se celebra el Día Mundial de la Contraseña, una fecha que pretende concienciar al usuario de la importancia que tiene establecer contraseñas y claves seguras y robustas, ya que éstas son la llave de nuestra información personal e incluso en muchos casos de nuestro propio negocio, si tiene presencia online.
Según SiteGround, en un solo día se producen 57 millones de intentos de login en sitios webs hechos en WordPress alojados en sus servidores, lo que supone una media de unos 40.000 ataques por minuto en un día normal. “Estas cifras se disparan en los días con mayor número de compras como Black Friday, CiberMonday. Además, también observamos un gran incremento de ataques a los sitios webs cuando se producen actualizaciones de WordPress”, comenta José Ramón Padrón, Country Manager de SiteGround en España. En este sentido, los ciberdelincuentes aprovechan para atacar webs con las versiones anteriores que todavía presentan las vulnerabilidades subsanadas en las actualizaciones. ”Por ello es tan necesario mantener actualizado todo tu software a las últimas versiones”, añade José Ramón Padrón.
Para conseguir estas estimaciones, SiteGround ha analizado los más de 2.8 millones de sitios web que aloja. De esos 57 millones, 16 millones fueron bloqueados por el firewall web por intentar aprovecharse de alguna vulnerabilidad y cerca de 4 millones fueron intentos de login incorrectos.
Mayor sofisticación en los ataques de fuerza bruta
Los ataques de fuerza bruta están basados en herramientas específicas. Estos programas comienzan con un inicio de sesión de “A” y una contraseña de “A” e intentan pacientemente cada combinación de letras y números hasta que encuentran un nombre de usuario y contraseña que funcione. En este contexto, SiteGround alerta de la sofisticación de estos ataques a lo largo de los años.
“Como los ataques de fuerza bruta desde un solo ordenador eran realmente fáciles de detectar y bloquear, ahora, una red de cientos o miles de ordenadores trabajan juntos para atacar un sitio web y adivinar su nombre de usuario o contraseña”, señala José Ramón.
Además, según SiteGround hoy por hoy existen “diccionarios de tablas” que son listas de contraseñas que ya se han utilizado o palabras que se pueden combinar para hacer una contraseña. Un ciberdelincuente puede intentar adivinar un nombre de usuario y una contraseña miles de veces por segundo. De ahí la importancia de tener una contraseña segura que cumpla con los estándares de seguridad.
A medida que se piratea un sitio web y se extrae toda la información del usuario, los inicios de sesión y las contraseñas de ese sitio se añaden a los que se deben probar. Saben que muchas personas no se molestan en crear diferentes inicios de sesión y contraseñas la mayor parte del tiempo, por lo que un inicio de sesión en un sitio probablemente sea el mismo en otro.
En este sentido, SiteGround ofrece una serie de consejos para frenar los ataques de fuerza bruta:
- Instalar un firewall de aplicaciones y configurarlo correctamente. Hay varios plugins en el repositorio de plugins de WordPress, como SiteGround Security, que protegerán el sitio contra ataques de fuerza bruta y otro tipo de ataques.
- Exigir contraseñas seguras a todos los usuarios. Las contraseñas seguras, aquellas que otras personas no pueden determinar fácilmente adivinándolas o utilizando programas automáticos, son la primera línea de defensa. Es posible que a los usuarios no les guste, pero mantendrá el sitio web y sus datos seguros.
- Requerir la verificación en dos pasos (2FA – Two Factor Authentication) para todos los inicios de sesión. La verificación en dos pasos significa añadir un paso más al proceso de escribir tu nombre de usuario o correo y contraseña, que normalmente es el paso único que sueles necesitar para entrar en una cuenta. Este factor mitiga los ataques de fuerza bruta al 100% porque el inicio de sesión y la contraseña son solo 2/3 del procedimiento de inicio de sesión.
ALICIA BURRUECO - cybersecuritynews.es