Pon a prueba tus contraseñas con Hydra

Pon a prueba tus contraseñas con Hydra

Javier Jiménez

Contar con una contraseña fuerte y segura es fundamental. Las utilizamos constantemente para iniciar sesión en redes sociales como Facebook o Twitter, abrir el correo de Gmail o cualquier otro proveedor, entrar en la cuenta bancaria, etc. Si la clave de acceso se filtra, nuestros datos pueden verse comprometidos y tener problemas de seguridad y privacidad. Hay diferentes herramientas que pueden servir para que alguien averigüe una contraseña a través de fuerza bruta. Una de ellas es Hydra, de la que vamos a hablar en este artículo.

Qué es crackear contraseñas por fuerza bruta

Hay diferentes métodos por los que pueden robar nuestras contraseñas y uno de ellos es lo que se conoce como fuerza bruta. Consiste básicamente en probar una tras otra diferentes combinaciones hasta dar con la que realmente permite iniciar sesión en una cuenta.

Estos ataques de fuerza bruta se basan en diccionarios, donde se almacenan palabras o números más comunes. De esta forma pueden combinar las posibles claves y tener mayor oportunidad. Si un usuario ha puesto una contraseña débil, como podría ser una palabra, un nombre o una fecha, es mucho más sencillo explotarla.

Hay diferentes programas que pueden actuar para lograr romper una clave, como es el caso de Hydra. Es una de las aplicaciones más utilizadas y conocidas en hacking ético para poner a prueba contraseñas. No obstante, también puede ser usada por un atacante que realmente tenga el objetivo de robar nuestra clave.

Hydra es totalmente gratuito y además de código abierto. Cuenta con más de 30 protocolos compatibles (sistemas operativos, páginas web, bases de datos, etc.) donde podemos probar y ver si una contraseña es explotable o es realmente fuerte y vamos a estar seguros.

Hydra - Protocolos compatibles

Hydra – Protocolos compatibles

Una peculiaridad de Hydra es que ha sido diseñado de forma modular. Esto quiere decir que cualquier programador podría crear sus propios módulos que le añadan nuevas funciones y características. Utiliza la fuerza bruta al combinar una serie de opciones registradas en bases de datos o tablas rainbow. En caso de que alguien utilice una clave que sea corta, predecible o repetida, podría romperla.

Cómo descargar y utilizar Hydra

Hydra es una aplicación gratuita y de código abierto que podemos descargar desde GitHub. Allí veremos que la versión más actual es la 9.2. Está disponible para Windows (a través de Cygwin), macOS y también en Linux (y otros sistemas UNIX). También incluyeron compatibilidad con sistemas operativos móviles, como Android o iOS.

Si estás familiarizado con Kali Linux, la popular distribución para hacking ético, debes saber que una de las herramientas que tiene incorporada es Hydra. No tendríamos que llevar a cabo ninguna instalación, ya que viene junto al sistema de serie.

hydra en Kali

Cuando descarguemos Hydra en el ordenador, tendremos que ejecutar el comando “hydra” para las principales opciones con las que cuenta. Si estamos utilizando Linux podemos también ejecutar “./xhydra” para ver la interfaz gráfica.

  • Para poder llevar a cabo un ataque con Hydra tenemos que seguir los siguientes pasos:
  • Elegir el objetivo (dirección IP, dominio, etc.) que queremos atacar
  • Seleccionar el protocolo a través del cual lanzaremos el ataque
  • Introducir los parámetros adicionales del protocolo (en caso de que los tenga)
  • Elegir el puerto (opcional) a través del cual lanzar el ataque

Hydra éxito

Ofrece una gran cantidad de opciones, por lo que podemos ver la documentación de GitHub para ver todas las opciones. La principal va a ser explotar una contraseña, algo que nos ayudará a comprender si nuestra clave de acceso es segura o deberíamos utilizar otra para evitar problemas.

Hay que tener en cuenta que esta herramienta ha sido diseñada con el objetivo de poner a prueba contraseñas y ver su seguridad. Está orientada al hacking ético, pero lógicamente puede ser utilizada por terceros para malos fines y buscar robar claves de acceso ajenas. Es por ello que debemos tomar siempre precauciones y estar protegidos.

Pasos para proteger contraseñas y evitar ataques

Entonces, ¿Qué podemos hacer para proteger nuestras contraseñas y evitar ataques cibernéticos? Vamos a dar una serie de consejos para que nuestras claves de acceso estén seguras y no sean explotadas por aplicaciones como Hydra y otras similares.

Generar contraseñas fiables

Lo principal de todo es crear contraseñas que sean realmente fuertes. Para evitar ataques con Hydra o cualquier aplicación de fuerza bruta, lo mejor es crear claves que no sean “comunes”. Es decir, nunca debemos utilizar nuestro nombre, apellidos, palabras básicas, fechas, números de teléfono… Todo esto es lo que va a formar parte de los diccionarios que utilizan estas herramientas.

Lo ideal es que sea totalmente aleatoria y larga. Debemos utilizar letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Un ejemplo de buena contraseña podría ser 3dU/-rl(eMb49&”. Como vemos, son caracteres totalmente aleatorios, sin relación entre ellos. Es justo eso lo que va a hacer que los ataques de fuerza bruta fracasen.

No reutilizar las claves

Otro punto muy importante es no utilizar una misma contraseña en varios lugares. Sería un error, por ejemplo, tener la misma clave para Facebook que para la cuenta de Gmail. En caso de que lograran averiguar la de alguno de estos servicios, se podría producir un efecto dominó y que terminen por acceder a otras cuentas.

Por tanto, siempre hay que crear una clave exclusiva para cada registro en Internet. Podemos ayudarnos de gestores de contraseñas para poder tener todas almacenadas correctamente y no tener necesidad de memorizar tantas.

Activar la autenticación en dos pasos

Un complemento muy interesante a las contraseñas es la autenticación en dos pasos. Es básicamente una capa extra de seguridad. Es un segundo paso que vamos a necesitar para poder iniciar sesión, más allá de tener que poner la contraseña típica.

Esta autenticación doble suele ser un código que recibimos por SMS o a través de una aplicación. Esto sirve para identificarnos. Si alguien lograra robar la contraseña, no podría iniciar sesión sin ese segundo paso. Por tanto, es una manera más de estar protegidos en Internet.

Cambiar periódicamente las contraseñas

También hay que indicar la importancia de cambiar la contraseña de vez en cuando. Esto va a hacer que siempre tengamos una clave fiable y en caso de que se filtre por algún error, disminuyamos el riesgo de que pueda terminar en malas manos.

Siempre que cambiemos la clave debemos tener en cuenta los consejos anteriores. Es importante que sea segura, única y que cumpla con todos los requisitos para estar protegidos frente a ataques con aplicaciones como Hydra y otras similares que pueda haber.

En definitiva, Hydra es una herramienta que podemos usar para poner a prueba nuestras contraseñas. No obstante, también puede ser utilizada por un tercero para llevar a cabo ataques y comprometer nuestra seguridad. Necesitamos crear siempre claves fiables.

¡Sé el primero en comentar!