Top 10 de las herramientas más populares para crackear contraseñas

Las contraseñas son algo necesario hoy en día para proteger nuestras cuentas de usuarios no autorizados. Además, no cualquier contraseña es capaz de protegernos de los piratas informáticos, sino que, a parte de las medidas de seguridad que debe incluir el propio servidor, es necesario que nosotros mismos utilicemos una contraseña larga, completa y segura de manera que esta no pueda ser crackeada o descifrada con las sencillas herramientas que vamos a ver a continuación. 

password Starbucks

Descifrar, o crackear, contraseñas es el proceso por el cual se adivina o recupera una clave que se encuentra almacenada en un servidor u oculta en un determinado archivo. En las pruebas de Pentesting, el descifrado de las contraseñas es una de las pruebas más importantes para comprobar si nuestro sistema es seguro o, de lo contrario, un atacante podría hacerse con el control del mismo, por lo que, para poder comprobar si nuestras plataformas son seguras, a continuación, os vamos a listar las 10 herramientas más utilizadas por hackers e investigadores de seguridad para llevar a cabo pruebas de resistencia y descifrado de las mismas. 

Este artículo está creado solo con fines educativos. Utilizad las aplicaciones siempre en infraestructuras propias y con permiso del administrador.

Las 10 mejores herramientas para Windows, Linux y basadas en web para descifrar o adivinar contraseñas

A continuación, os mostramos una sencilla recopilación con las 10 aplicaciones mejor consideradas por los hackers para el trabajo intensivo con contraseñas.

Brutus
Brutus es una de las aplicaciones más antiguas para crackear contraseñas. Publicada en el año 2000, esta herramienta es compatible con una gran cantidad de protocolos diferentes, como HTTP, FTP, POP3, SMB, Telnet, NNTP, IMAP y NetBus, entre otros muchos. Además, una de las características más interesantes de Brutus es que es posible pausar y reanudar los ataques de fuerza bruta cuando queramos sin tener que empezarlos de cero.

Cain and Abel
Esta herramienta ha sido diseñada para facilitar la recuperación de varios tipos de contraseñas mediante distintas técnicas, como análisis de paquetes de red, decodificación de claves, ataques de fuerza bruta, ataques de diccionario, criptoanálisis y recuperación de claves de la caché, entre otras técnicas.

Esta aplicación no explota ninguna vulnerabilidad, sino que busca la obtención de las contraseñas por técnicas convencionales.

RainbowCrack
El sistema de fuerza bruta que utiliza esta herramienta es algo diferente al de los demás. RainbowCrack utiliza unas tablas previamente procesadas, llamadas Rainbow, que reduce considerablemente el tiempo de crackeo de las claves. Mientras que generar estas tablas conlleva mucho tiempo y esfuerzo, tanto humano como de procesador, existen tablas ya creadas, gratuitas y de pago, para los diferentes tipos de hashes de claves que nos evita tener que procesarlas personalmente y dejar la herramienta lista para la acción.

John the Ripper
Esta es una de las aplicaciones más conocidas para el crackeo de contraseñas, caracterizada principalmente por su rapidez, por ser totalmente gratuita y de código abierto. Aunque su principal objetivo es reventar claves débiles en sistemas UNIX, también es capaz de trabajar con hashes de contraseñas de todo tipo.

Wfuzz
Esta plataforma está pensada para realizar ataques de fuerza bruta contra aplicaciones web. Esta herramienta puede ser utilizada para buscar recursos ocultos en los servidores (directorios, servlets, scripts, etc), así como utilizar la fuerza bruta contra formularios de inicio de sesión y llevar a cabo distintos ataques de inyección (SQL, XSS, LDAP, etc.) a fin de conseguir el acceso al servidor.

AirCrack NG
Esta aplicación es conocida por ser una de las más eficaces a la hora de descifrar y conseguir contraseñas de redes Wi-Fi. Esta herramienta es compatible con los cifrados WEP y WPA y, simplemente capturando los paquetes suficientes y analizándolos es capaz de descifrar las contraseñas de las redes inalámbricas. Gracias a los ataques FMS y las optimizaciones KoreK y PTW, esta herramienta no tiene rival cuando nos referimos a redes inalámbricas.

THC Hydra
Esta herramienta es una de las más utilizadas cuando se trata de crackear contraseñas en sistemas de autenticación de forma remota. Esta aplicación es compatible con más de 30 protocolos y plataformas (como bases de datos) y, además, su funcionamiento es modular, pudiendo dotar a la herramienta de más funcionalidades fácilmente añadiéndola los módulos que queramos.

Medusa
Similar a la anterior, esta aplicación es compatible con los protocolos HTTP, FTP, CVS, AFP, IMAP, MS SQL, MySQL, NCP, NNTP, POP3, PostgreSQL, pcAnywhere, rlogin, SMB, rsh, SMTP, SNMP, SSH, SVN, VNC, VmAuthd y Telnet. Esta herramienta se caracteriza por ser muy eficiente, siendo capaz de llegar a probar hasta 2000 contraseñas por minuto en redes locales.
Como inconveniente, destacar que solo funciona por línea de comandos, por lo que antes de empezar los ataques debemos leernos su documentación para aprender a utilizarla correctamente.

L0phtCrack
Esta aplicación está desarrollada especialmente para crackear contraseñas de sistemas y redes basadas en Windows, desde clientes hasta servidores, controladores de dominio y sistemas Active Directory. Para ello, aprovecha los hashes de las contraseñas y realiza ataques de fuerza bruta y basados en diccionario para adivinar las claves.
L0phtCrack además está repleto de características avanzadas, por ejemplo, la programación, compatibilidad con hashes de contraseña para versiones de Windows de 64 bits, multiproceso y la monitorización de redes, entre otras.

OphCrack
Por último, esta es una aplicación gratuita para crackear contraseñas desde Windows basada en tablas Rainbow. Gracias a estas tablas Rainbow, la herramienta es muy eficiente y, además, cuenta con una interfaz gráfica y es multiplataforma. Es compatible con tablas gratuitas y de pago, es multiplataforma (Linux y Windows) y es capaz de crackear las claves de cualquier Windows moderno, a partir de XP.

Fuente: RedesZone 

Comentarios

Publicar un comentario

siempre es bueno, leer tus comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Imagen
En 2017 se registró un pico histórico de vulnerabilidades en Android, 2018 fue el año de los criptomineros móviles y el primer semestre de 2019 trajo graves vulnerabilidades en librerías y aplicaciones que posibilitaban la instalación de malware en teléfonos inteligentes. En esta publicación te acercamos la actualidad del estado de la seguridad móvil, repasando las novedades que acaecieron en la segunda mitad de 2019 y resumiendo las estadísticas finales de lo que dejó el año que se acaba de ir. 2019 y la seguridad en Android Es indudable que Android es el sistema operativo móvil más utilizado en el mundo , concentrando actualmente el  76%  del mercado. Aún hoy, la fragmentación debido a las diversas versiones activas del sistema continúa vigente: el  90%  de los dispositivos con Android usan versiones anteriores a Pie, mientras que el 61% no corre ni siquiera Oreo. Esta mayor cantidad de usuarios –o potenciales víctimas– y la variedad del ecosistema es, en parte, lo que vuelv
Leer más

Explotan el día cero de la VPN de Fortinet para robar credenciales

Imagen
  Los actores de amenazas chinos utilizan un kit de herramientas de post-explotación personalizado llamado 'DeepData' para explotar una vulnerabilidad de día cero en el cliente VPN de Windows FortiClient de Fortinet que roba credenciales. El día cero permite a los actores de amenazas eliminar las credenciales de la memoria después de que el usuario se haya autenticado con el dispositivo VPN. Los investigadores de Volexity informan que descubrieron esta falla a principios de este verano y la informaron a Fortinet, pero el problema sigue sin solucionarse y no se le ha asignado ningún CVE. "Volexity informó esta vulnerabilidad a Fortinet el 18 de julio de 2024, y Fortinet reconoció el problema el 24 de julio de 2024",   explica el informe   . "Al momento de escribir este artículo, este problema sigue sin resolverse y Volexity no tiene conocimiento de un número CVE asignado". Apuntando a las credenciales de VPN Los ataques son realizados por piratas informáticos
Leer más

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS

Imagen
  Microsoft confirmó ayer que una interrupción de nueve horas el martes, que derribó e interrumpió varios servicios de Microsoft 365 y Azure en todo el mundo, fue provocada por un ataque de denegación de servicio distribuido (DDoS). Redmond dice que la interrupción afectó a Microsoft Entra, algunos servicios de Microsoft 365 y Microsoft Purview (incluidos Intune, Power BI y Power Platform), así como a Azure App Services, Application Insights, Azure IoT Central, Azure Log Search Alerts, Azure Policy y Azure Portal. La compañía confirmó en una   declaración de mitigación   publicada hoy que la causa principal detrás de la interrupción de ayer fue un ataque DDoS, aunque aún no lo ha vinculado a un actor de amenaza específico. "Si bien el evento desencadenante inicial fue un ataque de denegación de servicio distribuido (DDoS), que activó nuestros mecanismos de protección DDoS, las investigaciones iniciales sugieren que un error en la implementación de nuestras defensas amplificó el im
Leer más