Conoce las mejores herramientas para crackear contraseñas

La contraseña es nuestra primera barrera de defensa para proteger nuestras cuentas frente a los ciberdelincuentes. Además, no nos sirve cualquier contraseña si no tiene unas determinadas características podría ser fácil de descifrar. En ese sentido, no basta con que tenga una gran longitud, también depende mucho de los tipos de caracteres que utilicemos para que sea más o menos robusta. Un peligro al que nos enfrentamos es que pueden ser crackeadas o descifradas utilizando software especializado. En este tutorial, vamos a conocer las mejores herramientas para crackear contraseñas y también a protegernos de su utilización utilizando una contraseña segura.

Lo primero que vamos a hacer es explicar las razones por las que se utilizan este tipo de herramientas. También explicaremos brevemente cómo crear nuestra contraseña robusta y algunos consejos relacionados con ella para aumentar la seguridad. Y después continuaremos con las herramientas para crackear contraseñas más populares.

Por qué se utilizan herramientas para crackear contraseñas

En cuanto a las razones por las que se utilizan las herramientas para crackear contraseñas generalmente son tres:

  1. La realización de pruebas de pentesting.
  2. Los ciberdelincuentes para realizar sus ataques.
  3. Estudiantes y gente que tenga cierta curiosidad en temas de seguridad informática.

En cuanto a las pruebas de pentesting, podríamos decir que son la parte positiva y que van a ayudar a la mejorar la seguridad de una empresa. Así, una prueba de penetración o pentest podríamos definirlo como un ataque a un sistema informático con la intención de encontrar sus debilidades de seguridad y comprobar a qué datos se puede llegar a acceder. Después, los fallos de seguridad que se averigüen a través de esta prueba se notifican al propietario del sistema. En ese sentido, es positivo porque permite evaluar los impactos potenciales que podría tener en una empresa y sugerir las medidas para reducir estos riesgos.

Por otra parte, el aspecto negativo es que estas mismas herramientas para crackear contraseñas las usan los ciberdelincuentes. Una buena manera de protegernos sería utilizando una contraseña segura que debe contener:

  1. Mayúsculas.
  2. Minúsculas.
  3. Números.
  4. Símbolos.
  5. La longitud mínima recomendada estaría en 12 caracteres.

Además, otras buenas prácticas que pueden mejorar la seguridad son renovar las contraseñas periódicamente, no reutilizarlas para otros sitios y activar la autenticación multifactor.

Las mejores herramientas para crackear contraseñas

Una cuestión importante es que estas herramientas sólo deben ser utilizadas en infraestructuras propias o en las que tengamos el permiso del administrador. Caso contrario hay que señalar que sería ilegal.

Brutus

Una de las herramientas para crackear contraseñas con mayor antigüedad y que todavía sigue teniendo soporte es Brutus. Además, es gratuita, su primera versión data de 1998 y está disponible para ordenadores con sistema operativo Windows.

La versión actual de Brutus incluye los siguientes tipos de autenticación: HTTP, HTTPS, POP3, FTP, SMB, Telnet y se le podrían añadir IMAP, NNTP y NetBus.

Entre sus funciones tenemos un motor de autenticación de varias etapas y permite 60 conexiones de destino simultáneas. También tiene lista de contraseñas, modos configurables de fuerza bruta y además permite pausar y reanudar los ataques en el mismo punto donde lo dejamos.

Cain and Abel

El desarrollador de Cain and Abel es Massimiliano Montoro se trata un programa privativo que se distribuía de forma gratuita. Hay que señalar que su última versión es de 2014 y que es un producto que no va a tener más actualizaciones, aunque para algunas tareas todavía puede ser interesante.

Cain & Abel se trata de una herramienta de recuperación de contraseñas para los sistemas operativos de Microsoft. Gracias a ella podemos realizar una fácil recuperación de varios tipos de contraseñas al rastrear la red, descifrar contraseñas cifradas mediante ataques de diccionario, fuerza bruta y criptoanálisis. Además, también podemos grabar conversaciones de VoIP, decodificar contraseñas codificadas, recuperar claves de redes inalámbricas, revelar casillas de contraseñas, descubrir contraseñas almacenadas en caché y analizar el enrutamiento de protocolos. Este programa no explota ninguna vulnerabilidad, sino que busca la obtención de las contraseñas por técnicas convencionales.

RainbowCrack

Otra de las herramientas para crackear contraseñas es RainbowCrack que utiliza unas tablas previamente procesadas, llamadas Rainbow, que reducen considerablemente el tiempo de crackeo de las claves. Este programa está actualizado y se puede utilizar tanto en Windows 7 / 10 como en Linux con Ubuntu.  Así tenemos tablas Rainbow de LM, NTLM, MD5, SHA1, SHA256 y algoritmos hash personalizables.

También hay que señalar que generar estas tablas conlleva mucho tiempo y esfuerzo, tanto humano como de procesador. Por ese motivo existen tablas creadas tanto gratuitas como de pago. Gracias a ellas se puede evitar tener que procesarlas personalmente y así desde el principio ya tendríamos RainbowCrack listo para trabajar.

John the Ripper

John the Ripper podemos definirlo como una herramienta de recuperación y auditoría de seguridad de contraseñas de código abierto. Hay que señalar que está disponible para varios sistemas operativos como son Windows, MacOS y Windows. Este software admite cientos de tipos de cifrado y hash, incluso para contraseñas de usuario de versiones Unix, macOS y Windows. También comentar que es un software actual y con soporte. Además, podemos decir que es fiable al estar el código abierto disponible para todos.

Wfuzz

Wfuzz es otra de las herramientas para crackear contraseñas que podemos utilizar. En ese sentido, este software está pensado para realizar ataques de fuerza bruta contra aplicaciones web. Así, podría ser utilizada para buscar recursos ocultos en los servidores y también para usar la fuerza bruta contra formularios de inicio de sesión y llevar a cabo distintos ataques de inyección (SQL, XSS, LDAP, etc.) a fin de conseguir el acceso al servidor.

Otra cosa positiva es que es un software actualizado. También Wfuzz es más que un escáner de contenido web y podría utilizarse para:

  • La protección de nuestras aplicaciones web al encontrar y explotar las vulnerabilidades de esas aplicaciones web.
  • Ofrece un marco completamente modular y facilita la contribución incluso de los desarrolladores de Python más nuevos.

AirCrack NG

Con Aircrack-NG obtenemos un paquete completo de herramientas para evaluar la seguridad de la red Wi-Fi. Este software es famoso por ser uno de las más eficaces a la hora de descifrar y conseguir contraseñas de redes Wi-Fi. Así es capaz de craquear los cifrados WEP y WPA PSK (WPA 1 y 2).

Su forma de trabajar es capturando los paquetes suficientes y analizándolos para luego descifrar las contraseñas de las redes inalámbricas. Este programa está actualizado y funciona principalmente en Linux, aunque también se podría usar en Windows, macOS, FreeBSD y más.

hashcat

Este software hashcat es uno de los mejores para crackear los hashes de contraseñas, está orientado a revertir los hashes de las contraseñas para obtener la clave que esconden. También es compatible con más de 200 protocolos diferentes, siendo capaz de obtener, mediante todo tipo de técnicas, cualquier tipo de contraseña que queramos adivinar.

Habitualmente, hashcat suele utilizarse para complementar otros programas de obtención de contraseñas similares.

Medusa

Medusa es otra de las herramientas para crackear contraseñas que podemos usar para descifrar contraseñas. Se trata de una rápida herramienta de fuerza bruta paralela, modular y de inicio de sesión. Hay que señalar que es compatible con HTTP, FTP, CVS, AFP, IMAP, MS SQL, MYSQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd y Telnet.

Un dato importante es que Medusa es una herramienta de línea de comandos. Eso significa que para utilizarla debemos aprendernos sus comandos por lo que no es un software fácil de usar. Por otro lado, su eficiencia depende de la conectividad de la red. Así, es capaz de probar 2000 contraseñas por minuto en una red local.

OphCrack

OphCrack este es un programa gratuito para crackear contraseñas desde Windows basada en tablas Rainbow. Mediante la utilización de este tipo de tablas la herramienta es muy eficiente.

Además, cuenta con una interfaz gráfica y es multiplataforma pudiendo ser utilizada en Windows, Linux, Unix y Mac OS. Por otra parte, es compatible con tablas Rainbow gratuitas y de pago, y es capaz de crackear las claves de cualquier Windows moderno, a partir de XP. También cuenta con un módulo de fuerza bruta para contraseñas simples.

Gracias a las herramientas para crackear contraseñas que hemos visto a lo largo del tutorial podríamos realizar con ellas pruebas de penetración.