Conoce las mejores herramientas para crackear contraseñas

La contraseña es nuestra primera barrera de defensa para proteger nuestras cuentas frente a los ciberdelincuentes. Además, no nos sirve cualquier contraseña si no tiene unas determinadas características podría ser fácil de descifrar. En ese sentido, no basta con que tenga una gran longitud, también depende mucho de los tipos de caracteres que utilicemos para que sea más o menos robusta. Un peligro al que nos enfrentamos es que pueden ser crackeadas o descifradas utilizando software especializado. En este tutorial, vamos a conocer las mejores herramientas para crackear contraseñas y también a protegernos de su utilización utilizando una contraseña segura.

Lo primero que vamos a hacer es explicar las razones por las que se utilizan este tipo de herramientas. También explicaremos brevemente cómo crear nuestra contraseña robusta y algunos consejos relacionados con ella para aumentar la seguridad. Y después continuaremos con las herramientas para crackear contraseñas más populares.

Por qué se usan aplicaciones para crackear contraseñas

Hay muchas razones para utilizar programas o herramienta automáticas para crackear contraseñas o claves, ya sea de servicios online, de una red inalámbrica WiFi a la que queremos conectarnos etc. A continuación, os explicamos las principales razones.

Pruebas de pentesting

En cuanto a las pruebas de pentesting, podríamos decir que son la parte positiva y que van a ayudar a la mejorar la seguridad de una empresa. Así, una prueba de penetración o pentest podríamos definirlo como un ataque a un sistema informático con la intención de encontrar sus debilidades de seguridad y comprobar a qué datos se puede llegar a acceder. Después, los fallos de seguridad que se averigüen a través de esta prueba se notifican al propietario del sistema. En ese sentido, es positivo porque permite evaluar los impactos potenciales que podría tener en una empresa y sugerir las medidas para reducir estos riesgos.

Estas pruebas de seguridad la suelen hacer los pentesters, expertos en seguridad informática ofensiva, con el objetivo de atacar los sistemas y ver si son o no vulnerables. Estas pruebas de pentesting siempre se realizan bajo el amparo legal de los propietarios del sistema informático, y se realizan las pruebas para comprobar la seguridad, pero en ningún momento se hace para crackear el sistema o inutilizar los servidores.

Dentro de esta categoría, nos podemos encontrar con varios tipos de pentesting, que nos pueden esclarecer muchos aspectos acerca de nuestra red.

  • White Box o Caja Blanca. El pentester conoce todos los datos que el sistema le puede dar, y estos suelen formar parte de los equipos técnicos. Saben datos como la IP, logins, contraseñas, etc. Es el tipo más completo y forma parte de un análisis integral de la estructura. Está pensado para descubrir fallos y tomar las medidas necesarias. En algunos casos puede ser realizado por personal externo, pero no suele ser lo habitual, debido al alto conocimiento que se debe tener sobre la red.
  • Black Box o Caja Negra. En este caso el auditor no contará con ningún dato de la organización, y siempre partirá desde cero. Esto se podría entender como una simulación de un ciberdelincuente, de cara a ser lo más realista posible. Se trata de una prueba de la estructura de la red. Proporcionará muchos datos a la organización sobre los posibles vacíos de seguridad o fragilidades que se puedan encontrar
  • Grey Box o Caja Gris. Se trata de una mezcla de las dos anteriores. Si bien en una tenían toda la información y en otra ninguna, aquí tendrán solo algunos datos para realizar la prueba de intrusión. Esta es importante para basar las amenazas y debilidades basándonos en la información que se pueda conocer. Esto es recomendable para realizar estudios sobre lo que se puede hacer con diferentes niveles de acceso o conocimientos de la red.

Este tipo de procedimientos, también necesitan estar estructurados para una mejor organización y optimización del trabajo. Sus fases son:

  1. Reconocimiento de la red.
  2. Análisis de vulnerabilidades.
  3. Modelado de amenazas.
  4. Explotación.
  5. Elaboración de informes.

Ciberdelincuentes para realizar sus ataques

Los programas para crackear contraseñas también son ampliamente utilizados por los ciberdelincuentes para realizar sus ataques a diferentes objetivos. Si un ciberdelincuente se hace con el hash de una contraseña, va a intentar crackearla por diferentes métodos y usando diferentes herramientas automáticas, con la finalidad de hacerse con el control del sistema, hackearlo, robar información, inyectar un malware como un ransomware para encriptar todos los datos, y cualquier otra acción que haga que la empresa o servicio sufra las consecuencias de ser hackeado.

No debemos confundir a un hacker con un ciberdelincuente, los primeros son personas que tienen amplios conocimientos en seguridad informática y utilizan sus habilidades para hacer el bien, ya sea rompiendo sistemas de seguridad y reportando las vulnerabilidades encontradas, o bien investigando nuevas formas de proteger una empresa o servicio. Los ciberdelincuentes se aprovechan de los fallos de seguridad en su propio beneficio, con el objetivo de conseguir dinero a cambio.

Estudiantes en temas de seguridad informática

Los estudiantes de seguridad informática puede ser futuros hackers, por lo que estas herramientas para crackear contraseñas también son ampliamente usadas por estudiantes de todo tipo para aprender cómo funcionan los sistemas de cracking de contraseñas. También se pueden usar estas herramientas para comprobar si una determinada es o no segura, porque si una contraseña está en un diccionario de contraseñas o es muy corta como para crackearla por fuerza bruta, lo mejor que podemos hacer es cambiarla lo antes posible.

El aspecto negativo es que estas mismas herramientas para crackear contraseñas las usan los ciberdelincuentes. Una buena manera de protegernos sería utilizando una contraseña segura que debe contener:

  1. Mayúsculas.
  2. Minúsculas.
  3. Números.
  4. Símbolos.
  5. La longitud mínima recomendada estaría en 12 caracteres.

Además, otras buenas prácticas que pueden mejorar la seguridad son renovar las contraseñas periódicamente, no reutilizarlas para otros sitios y activar la autenticación multifactor. Si activamos la autenticación en dos pasos, para poder entrar en un sistema vamos a necesitar tanto el usuario y clave, como también un código temporal para entrar en este sistema, y que generalmente se obtiene a través de una aplicación autenticadora.

Mejores programas para crackear contraseñas

Una cuestión importante es que estas herramientas sólo deben ser utilizadas en infraestructuras propias o en las que tengamos el permiso del administrador. Caso contrario hay que señalar que sería ilegal.

Brutus

Una de las herramientas para crackear contraseñas con mayor antigüedad y que todavía sigue teniendo soporte es Brutus. Además, es gratuita, su primera versión data de 1998 y está disponible para ordenadores con sistema operativo Windows.

La versión actual de Brutus incluye los siguientes tipos de autenticación: HTTP, HTTPS, POP3, FTP, SMB, Telnet y se le podrían añadir IMAP, NNTP y NetBus.

Entre sus funciones tenemos un motor de autenticación de varias etapas y permite 60 conexiones de destino simultáneas. También tiene lista de contraseñas, modos configurables de fuerza bruta y además permite pausar y reanudar los ataques en el mismo punto donde lo dejamos.

Cain and Abel

El desarrollador de Cain and Abel es Massimiliano Montoro se trata un programa privativo que se distribuía de forma gratuita. Hay que señalar que su última versión es de 2014 y que es un producto que no va a tener más actualizaciones, aunque para algunas tareas todavía puede ser interesante.

Cain & Abel se trata de una herramienta de recuperación de contraseñas para los sistemas operativos de Microsoft. Gracias a ella podemos realizar una fácil recuperación de varios tipos de contraseñas al rastrear la red, descifrar contraseñas cifradas mediante ataques de diccionario, fuerza bruta y criptoanálisis. Además, también podemos grabar conversaciones de VoIP, decodificar contraseñas codificadas, recuperar claves de redes inalámbricas, revelar casillas de contraseñas, descubrir contraseñas almacenadas en caché y analizar el enrutamiento de protocolos. Este programa no explota ninguna vulnerabilidad, sino que busca la obtención de las contraseñas por técnicas convencionales.

Algunos de los beneficios que tiene esta aplicación son:

  • Es gratuita, y no tienen ningún tipo de cargo.
  • Incluye varios métodos para descifrar contraseñas.
  • La recuperación de contraseñas es rápida cuando se trata de contraseñas simples
  • Cuando mejor rinde es al usarla con Windows XP, 2000 y NT.

En cambio también tiene algunos contras que debemos tener en cuenta:

  • Debemos descargar los “Rainbow Tables” correctos. Estas se pueden encontrar en internet fácilmente.
  • Se trata de un software de instalación. Que si bien no es malo, si es una contra en comparación a otras que son portables.
  • El procedimiento es bastante largo.
  • No recibe actualizaciones.
  • No admite equipos basados en UEFI.

RainbowCrack

Otra de las herramientas para crackear contraseñas es RainbowCrack que utiliza unas tablas previamente procesadas, llamadas Rainbow, que reducen considerablemente el tiempo de crackeo de las claves. Este programa está actualizado y se puede utilizar tanto en Windows 7 / 10 como en Linux con Ubuntu. Así tenemos tablas Rainbow de LM, NTLM, MD5, SHA1, SHA256 y algoritmos hash personalizables.

También hay que señalar que generar estas tablas conlleva mucho tiempo y esfuerzo, tanto humano como de procesador. Por ese motivo existen tablas creadas tanto gratuitas como de pago. Gracias a ellas se puede evitar tener que procesarlas personalmente y así desde el principio ya tendríamos RainbowCrack listo para trabajar.

John the Ripper

John the Ripper podemos definirlo como una herramienta de recuperación y auditoría de seguridad de contraseñas de código abierto. Hay que señalar que está disponible para varios sistemas operativos como son Windows, MacOS y Windows. Este software admite cientos de tipos de cifrado y hash, incluso para contraseñas de usuario de versiones Unix, macOS y Windows. También comentar que es un software actual y con soporte. Además, podemos decir que es fiable al estar el código abierto disponible para todos.

Si quieres poner a prueba tus contraseñas y ver si realmente están protegidas, John the Ripper es una buena alternativa. De esta forma podrás generar claves más fuertes, utilizar cifrados más actuales y, en definitiva, solucionar problemas que puedan afectar a tu privacidad y seguridad.

Wfuzz

Wfuzz es otra de las herramientas para crackear contraseñas que podemos utilizar. En ese sentido, este software está pensado para realizar ataques de fuerza bruta contra aplicaciones web. Así, podría ser utilizada para buscar recursos ocultos en los servidores y también para usar la fuerza bruta contra formularios de inicio de sesión y llevar a cabo distintos ataques de inyección (SQL, XSS, LDAP, etc.) a fin de conseguir el acceso al servidor.

Otra cosa positiva es que es un software actualizado. También Wfuzz es más que un escáner de contenido web y podría utilizarse para:

  • La protección de nuestras aplicaciones web al encontrar y explotar las vulnerabilidades de esas aplicaciones web.
  • Ofrece un marco completamente modular y facilita la contribución incluso de los desarrolladores de Python más nuevos.

AirCrack NG

Con Aircrack-NG obtenemos un paquete completo de herramientas para evaluar la seguridad de la red Wi-Fi. Este software es famoso por ser uno de las más eficaces a la hora de descifrar y conseguir contraseñas de redes Wi-Fi. Así es capaz de craquear los cifrados WEP y WPA PSK (WPA 1 y 2).

Su forma de trabajar es capturando los paquetes suficientes y analizándolos para luego descifrar las contraseñas de las redes inalámbricas. Este programa está actualizado y funciona principalmente en Linux, aunque también se podría usar en Windows, macOS, FreeBSD y más.

hashcat

Este software hashcat es uno de los mejores para crackear los hashes de contraseñas, está orientado a revertir los hashes de las contraseñas para obtener la clave que esconden. También es compatible con más de 200 protocolos diferentes, siendo capaz de obtener, mediante todo tipo de técnicas, cualquier tipo de contraseña que queramos adivinar.

Habitualmente, hashcat suele utilizarse para complementar otros programas de obtención de contraseñas similares. Es una opción más que puedes tener en cuenta y así lograr una mayor protección de tus claves de acceso.

Medusa

Medusa es otra de las herramientas para crackear contraseñas que podemos usar para descifrar contraseñas. Se trata de una rápida herramienta de fuerza bruta paralela, modular y de inicio de sesión. Hay que señalar que es compatible con HTTP, FTP, CVS, AFP, IMAP, MS SQL, MYSQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd y Telnet.

Un dato importante es que Medusa es una herramienta de línea de comandos. Eso significa que para utilizarla debemos aprendernos sus comandos por lo que no es un software fácil de usar. Por otro lado, su eficiencia depende de la conectividad de la red. Así, es capaz de probar 2000 contraseñas por minuto en una red local.

OphCrack

OphCrack este es un programa gratuito para crackear contraseñas desde Windows basada en tablas Rainbow. Mediante la utilización de este tipo de tablas la herramienta es muy eficiente.

Además, cuenta con una interfaz gráfica y es multiplataforma pudiendo ser utilizada en Windows, Linux, Unix y Mac OS. Por otra parte, es compatible con tablas Rainbow gratuitas y de pago, y es capaz de crackear las claves de cualquier Windows moderno, a partir de XP. También cuenta con un módulo de fuerza bruta para contraseñas simples.

Gracias a las herramientas para crackear contraseñas que hemos visto a lo largo del tutorial podríamos realizar con ellas pruebas de penetración.

Qué hacer para evitar el robo de claves

Como has podido ver, existen diferentes aplicaciones que puedes utilizar para romper contraseñas. Las puedes usar cuando tengas dudas de si una clave es realmente segura o si un sistema que utilizas puede tener ciertas vulnerabilidades. No obstante, conviene tomar precauciones generales y mantener así al máximo la seguridad.

Crear contraseñas fuertes

Lo primero que debes hacer es crear contraseñas que sean fuertes. Esto significa crear claves que realmente te protejan. Debes usar letras (tanto mayúsculas como minúsculas), números y otros símbolos especiales. Es importante que sea aleatoria y que no tengan palabras o números que puedan relacionarte.

Una buena idea es usar un gestor de claves para crearlas. De esta forma puedes configurar determinados parámetros y que cumplan con unos requisitos establecidos y así te aseguras de que van a proteger realmente tu seguridad y no van a ser explotadas por un pirata informáticos sin que te des cuenta.

No repetirlas

Un error común es poner una misma contraseña en varios sitios. Incluso si utilizas una clave muy buena, que cumpla con todo lo que hemos indicado, no es buena idea que la pongas en más de un lugar. Por ejemplo, no debes usar la misma contraseña en una red social que en la cuenta de correo o cualquier página.

¿Por qué no es buena idea? En caso de que haya una filtración, se puede producir lo que se conoce como efecto dominó. Un atacante podría ver que se ha filtrado la contraseña de un foro en el que estás registrado y podría probar a ver si es la misma que tienes en Facebook o en Gmail.

Activar la autenticación en dos pasos

Para mejorar al máximo la protección de una cuenta, una buena idea es habilitar la autenticación en dos pasos. Cada vez más servicios lo utilizan, como son cuentas bancarias, correo electrónico, redes sociales… Básicamente es crear una capa adicional de seguridad, un segundo paso para poder entrar en la cuenta.

Ese segundo paso suele ser un código que recibes por SMS, e-mail o a través de alguna aplicación de 2FA. De esta forma podrás verificar que realmente eres el usuario legítimo y evitarás que un intruso, aunque supiera la contraseña, entrara en tu cuenta.

Proteger los equipos

Para proteger las contraseñas es necesario también proteger los equipos. Esto evitará que entren virus y que puedan explotar vulnerabilidades para tomar acceso ilegítimo de las cuentas personales. Por tanto, es imprescindible mantener la seguridad en el ordenador, móvil y en cualquier equipo informático.

Es esencial contar siempre con un buen antivirus. Por ejemplo podemos nombrar el caso de Microsoft Defender, pero también otros muchos como Avast, Bitdefender, etc. Pero además de esto, es igualmente importante actualizar los sistemas. De esta forma corregirás fallos de seguridad que puedan ser explotados y sirvan para que roben tus claves de acceso.

¿Es delito crackear contraseñas?

Lo primero que debemos señalar, es que estos métodos pueden ser con fines maliciosos, con fines administrativos o educativos. En el caso de las funciones de administración, estas pueden llevarse a cabo por hackers que son contratados por empresas para probar los sistemas de seguridad, y de este modo saber cómo se pueden mejorar. Y a nivel educativo, puede realizarse en centros de estudios de educación secundaria, formación profesional y universidades.

Pero si hablamos de los crackeos, estamos ante unas circunstancias muy diferentes. En España, según el Código Penal, el intrusismo informático es sancionado con penas de entre seis meses a dos años de prisión. Esto ocurre cuando mediante el crackeo de una contraseña se accede o facilita el acceso al conjunto o parte de un sistema de información, o por el simple motivo de mantenerse en él en contra de la voluntad de quién posea el derecho legítimo de ese acceso. O de forma resumida, acceder sin consentimiento. Pero, en el caso de que no sea necesario crackear ninguna contraseña, también se puede considerar delito si se accede a un sistema con información o personal de forma no autorizada.

Esto puede tratarse también como delitos contra la intimidad, o como un delito de descubrimiento y revelación de secretos, lo cual está recogido en la Constitución Española. Estos hacen referencia a la filtración o difusión de información o material de las víctimas cuando se traspasa la privacidad, de forma que esto llega a la vida pública. Pero en este caso, también tendremos que fijarnos qué se considera un secreto. Esto es toda la información relativa al círculo íntimo de un sujeto, en este caso, el que sufre el delito. Esto es necesario saberlo, pues la condena estará relacionada con el nivel de acceso que se consiga con los ataques.

Cómo podemos ver, crackear contraseñas puede servir para muchas cosas, pero siempre se debe hacer con cautela y con fines no maliciosos.

¡Sé el primero en comentar!