Ataque de Fuerza Bruta: Contramedidas y Controles SCF
Contramedidas del Secure Control Framework (SCF) para prevenir ataques de fuerza bruta: bloqueo de cuentas, monitoreo de autenticación, MFA y detección de anomalías basada en comportamiento.
A.I.2 — Uso no autorizado de redes y sistemas informáticos: ataque de fuerza bruta
El ataque de fuerza bruta es una de las técnicas más antiguas y persistentes en ciberseguridad. Consiste en probar sistemáticamente combinaciones de credenciales hasta encontrar la correcta. A pesar de su simplicidad, sigue siendo efectivo cuando las organizaciones no implementan las contramedidas adecuadas.
A continuación se detallan las contramedidas del Secure Control Framework (SCF) para prevenir y detectar ataques de fuerza bruta.
Contramedida 1: Bloqueo de cuentas tras intentos fallidos
Controles SCF: IAM-05, IAM-11, IAM-13
Sistema automático que cierra el acceso a una cuenta tras un número determinado de intentos fallidos de autenticación (típicamente entre 3 y 5 intentos).
¿Por qué es crítico?
Sin un mecanismo de bloqueo, un atacante puede realizar miles o millones de intentos sin consecuencias. Con herramientas automatizadas como Hydra, Medusa o Burp Suite, un ataque de fuerza bruta puede comprometer una cuenta con contraseña débil en minutos.
Implementación recomendada
| Parámetro | Valor recomendado |
|---|---|
| Intentos antes de bloqueo | 3 a 5 intentos |
| Duración del bloqueo | 15 a 30 minutos (o hasta desbloqueo manual) |
| Incremento progresivo | Sí — cada bloqueo aumenta el tiempo de espera |
| Notificación | Alerta al usuario y al equipo de seguridad |
| Alcance | Todos los sistemas con autenticación (no solo correo) |
Consideraciones
- Riesgo de denegación de servicio: un atacante podría bloquear cuentas legítimas intencionalmente. Mitigar con CAPTCHA tras el primer fallo y bloqueo por IP en paralelo
- Cuentas de servicio: requieren tratamiento especial ya que el bloqueo puede afectar la operación. Usar MFA o certificados en lugar de contraseñas
- Cuentas privilegiadas: bloqueo más estricto (3 intentos) con notificación inmediata al SOC
Contramedida 2: Monitoreo de eventos de autenticación
Controles SCF: MON-03, MON-07, LOG-05
Registro, revisión y análisis sistemático de todos los intentos de autenticación, con enfoque en la detección de patrones anómalos que indiquen un ataque de fuerza bruta.
¿Qué monitorear?
| Evento | Indicador de ataque |
|---|---|
| Múltiples fallos desde una misma IP | Fuerza bruta clásica |
| Fallos contra múltiples cuentas desde una IP | Password spraying |
| Intentos fuera de horario laboral | Actividad sospechosa |
| Autenticaciones desde geolocalizaciones inusuales | Compromiso de credenciales |
| Incremento súbito en intentos fallidos | Campaña automatizada |
| Éxito tras múltiples fallos | Posible compromiso |
Reglas de detección recomendadas
- Umbral de fallos por cuenta: más de 5 fallos en 10 minutos → alerta
- Umbral de fallos por IP: más de 10 fallos en 5 minutos → bloqueo de IP
- Password spraying: 1-2 fallos en más de 20 cuentas desde la misma IP → alerta crítica
- Éxito post-fallos: autenticación exitosa tras 3+ fallos → investigación inmediata
Herramientas de apoyo
- SIEM (Splunk, Sentinel, QRadar, Wazuh) para correlación de eventos
- Logs de Active Directory, Azure AD, VPN, aplicaciones web
- Integración con threat intelligence para IPs conocidas de ataque
Contramedidas adicionales
Autenticación multifactor (MFA)
La contramedida más efectiva contra ataques de fuerza bruta. Incluso si el atacante obtiene la contraseña correcta, no puede acceder sin el segundo factor.
Implementación:
- MFA obligatorio para todos los accesos remotos (VPN, correo, nube)
- MFA para accesos privilegiados sin excepción
- Preferir autenticadores basados en app (TOTP) o FIDO2 sobre SMS
- Monitorear intentos de bypass de MFA como evento crítico
Auditoría de actividades privilegiadas
Registro detallado de todas las acciones realizadas con cuentas privilegiadas, incluyendo accesos, cambios de configuración y gestión de cuentas.
Acciones clave:
- Registrar sesiones privilegiadas (grabación de pantalla o keylogging seguro)
- Revisar accesos privilegiados semanalmente
- Alertar ante uso de cuentas privilegiadas fuera de ventanas de cambio autorizadas
Detección de anomalías basada en comportamiento (UEBA)
Análisis de comportamiento de usuarios y entidades para detectar desviaciones del patrón normal que podrían indicar un compromiso.
Indicadores de compromiso post-fuerza bruta:
- Acceso a recursos no habituales para el usuario
- Descarga masiva de archivos tras autenticación exitosa
- Movimiento lateral inusual
- Cambios de privilegios no autorizados
- Actividad en horarios atípicos para el perfil del usuario
Relación con MITRE ATT&CK
| Técnica | ID | Descripción |
|---|---|---|
| Brute Force | T1110 | Intentos repetidos de autenticación |
| Password Spraying | T1110.003 | Pocas contraseñas contra muchas cuentas |
| Credential Stuffing | T1110.004 | Credenciales filtradas de otros servicios |
| Valid Accounts | T1078 | Uso de credenciales comprometidas |
Mitigaciones MITRE asociadas
- M1032: Autenticación multifactor
- M1036: Políticas de bloqueo de cuentas
- M1027: Políticas de contraseñas robustas
- M1018: Gestión de cuentas de usuario (deshabilitar cuentas inactivas)
Resumen de controles
| Control SCF | Dominio | Contramedida |
|---|---|---|
| IAM-05 | Identidad | Menor privilegio |
| IAM-11 | Identidad | Bloqueo de cuentas |
| IAM-13 | Identidad | Políticas de contraseñas |
| MON-03 | Monitoreo | Monitoreo de autenticación |
| MON-07 | Monitoreo | Detección de anomalías |
| LOG-05 | Logging | Registro de eventos de autenticación |
| MFA | Identidad | Autenticación multifactor |
| UEBA | Detección | Análisis de comportamiento |
Fuente: Análisis basado en el Secure Control Framework (SCF) y MITRE ATT&CK. Para la taxonomía completa de controles, consulte TTPSEC SpA.