Top 10 de las herramientas más populares para crackear contraseñas

Las contraseñas son algo necesario hoy en día para proteger nuestras cuentas de usuarios no autorizados. Además, no cualquier contraseña es capaz de protegernos de los piratas informáticos, sino que, a parte de las medidas de seguridad que debe incluir el propio servidor, es necesario que nosotros mismos utilicemos una contraseña larga, completa y segura de manera que esta no pueda ser crackeada o descifrada con las sencillas herramientas que vamos a ver a continuación. 

password Starbucks

Descifrar, o crackear, contraseñas es el proceso por el cual se adivina o recupera una clave que se encuentra almacenada en un servidor u oculta en un determinado archivo. En las pruebas de Pentesting, el descifrado de las contraseñas es una de las pruebas más importantes para comprobar si nuestro sistema es seguro o, de lo contrario, un atacante podría hacerse con el control del mismo, por lo que, para poder comprobar si nuestras plataformas son seguras, a continuación, os vamos a listar las 10 herramientas más utilizadas por hackers e investigadores de seguridad para llevar a cabo pruebas de resistencia y descifrado de las mismas. 

Este artículo está creado solo con fines educativos. Utilizad las aplicaciones siempre en infraestructuras propias y con permiso del administrador.

Las 10 mejores herramientas para Windows, Linux y basadas en web para descifrar o adivinar contraseñas

A continuación, os mostramos una sencilla recopilación con las 10 aplicaciones mejor consideradas por los hackers para el trabajo intensivo con contraseñas.

Brutus
Brutus es una de las aplicaciones más antiguas para crackear contraseñas. Publicada en el año 2000, esta herramienta es compatible con una gran cantidad de protocolos diferentes, como HTTP, FTP, POP3, SMB, Telnet, NNTP, IMAP y NetBus, entre otros muchos. Además, una de las características más interesantes de Brutus es que es posible pausar y reanudar los ataques de fuerza bruta cuando queramos sin tener que empezarlos de cero.

Cain and Abel
Esta herramienta ha sido diseñada para facilitar la recuperación de varios tipos de contraseñas mediante distintas técnicas, como análisis de paquetes de red, decodificación de claves, ataques de fuerza bruta, ataques de diccionario, criptoanálisis y recuperación de claves de la caché, entre otras técnicas.

Esta aplicación no explota ninguna vulnerabilidad, sino que busca la obtención de las contraseñas por técnicas convencionales.

RainbowCrack
El sistema de fuerza bruta que utiliza esta herramienta es algo diferente al de los demás. RainbowCrack utiliza unas tablas previamente procesadas, llamadas Rainbow, que reduce considerablemente el tiempo de crackeo de las claves. Mientras que generar estas tablas conlleva mucho tiempo y esfuerzo, tanto humano como de procesador, existen tablas ya creadas, gratuitas y de pago, para los diferentes tipos de hashes de claves que nos evita tener que procesarlas personalmente y dejar la herramienta lista para la acción.

John the Ripper
Esta es una de las aplicaciones más conocidas para el crackeo de contraseñas, caracterizada principalmente por su rapidez, por ser totalmente gratuita y de código abierto. Aunque su principal objetivo es reventar claves débiles en sistemas UNIX, también es capaz de trabajar con hashes de contraseñas de todo tipo.

Wfuzz
Esta plataforma está pensada para realizar ataques de fuerza bruta contra aplicaciones web. Esta herramienta puede ser utilizada para buscar recursos ocultos en los servidores (directorios, servlets, scripts, etc), así como utilizar la fuerza bruta contra formularios de inicio de sesión y llevar a cabo distintos ataques de inyección (SQL, XSS, LDAP, etc.) a fin de conseguir el acceso al servidor.

AirCrack NG
Esta aplicación es conocida por ser una de las más eficaces a la hora de descifrar y conseguir contraseñas de redes Wi-Fi. Esta herramienta es compatible con los cifrados WEP y WPA y, simplemente capturando los paquetes suficientes y analizándolos es capaz de descifrar las contraseñas de las redes inalámbricas. Gracias a los ataques FMS y las optimizaciones KoreK y PTW, esta herramienta no tiene rival cuando nos referimos a redes inalámbricas.

THC Hydra
Esta herramienta es una de las más utilizadas cuando se trata de crackear contraseñas en sistemas de autenticación de forma remota. Esta aplicación es compatible con más de 30 protocolos y plataformas (como bases de datos) y, además, su funcionamiento es modular, pudiendo dotar a la herramienta de más funcionalidades fácilmente añadiéndola los módulos que queramos.

Medusa
Similar a la anterior, esta aplicación es compatible con los protocolos HTTP, FTP, CVS, AFP, IMAP, MS SQL, MySQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd y Telnet. Esta herramienta se caracteriza por ser muy eficiente, siendo capaz de llegar a probar hasta 2000 contraseñas por minuto en redes locales.
Como inconveniente, destacar que solo funciona por línea de comandos, por lo que antes de empezar los ataques debemos leernos su documentación para aprender a utilizarla correctamente.

L0phtCrack
Esta aplicación está desarrollada especialmente para crackear contraseñas de sistemas y redes basadas en Windows, desde clientes hasta servidores, controladores de dominio y sistemas Active Directory. Para ello, aprovecha los hashes de las contraseñas y realiza ataques de fuerza bruta y basados en diccionario para adivinar las claves.
L0phtCrack además está repleto de características avanzadas, por ejemplo, la programación, compatibilidad con hashes de contraseña para versiones de Windows de 64 bits, multiproceso y la monitorización de redes, entre otras.

OphCrack
Por último, esta es una aplicación gratuita para crackear contraseñas desde Windows basada en tablas Rainbow. Gracias a estas tablas Rainbow, la herramienta es muy eficiente y, además, cuenta con una interfaz gráfica y es multiplataforma. Es compatible con tablas gratuitas y de pago, es multiplataforma (Linux y Windows) y es capaz de crackear las claves de cualquier Windows moderno, a partir de XP.

Fuente: RedesZone 

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

El Modelado de Amenazas de Seguridad

Imagen
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Leer más

¿Como atacar Kerberos?

Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
Leer más

Trámites a Distancia: Serie de vulnerabilidades permiten el acceso a datos personales de terceros

Imagen
INTRODUCCIÓN La información provista este documento tiene com único fin lograr evitar que nuestra información personal pueda ser accedida por usuarios malintencionados. Esta falla ha sido reportada anteriormente, sin obtener respuesta o solución alguna. El desarrollo del presente documento se ha realizado por Martín Aberastegue ( @Xyborg ) y reportado de forma responsable a la Dirección Nacional de Tramitación e Identificación a Distancia | Subsecretaría de Innovación Administrativa | Secretaría de Innovación Pública quienes procedieron a la solución del problema. INTRODUCCIÓN          0 RESUMEN          1 OBJETIVOS          1 DESARROLLO          2 ¿Es posible realizar este ataque de forma anónima?          3 ¿Dónde obtengo un CUIL válido?          4 Origen del problema          5 PRUEBAS DE CONCEPTO          7 Extracción masiva de datos personales:          7 Consulta de datos personales por CUIT:          8 Usos potenciales de esta información    
Leer más