A menudo en las investigaciones por fraude ocupacional o ciber crimen, los examinadores del fraude encontramos archivos, discos duros, particiones y correos protegidos por contraseñas en donde no se nos es posible entrar y en donde el perpetrador, aún sabiendo que es un activo corporativo y no personal, se niega a entregar. Es aquí donde nuestra investigación puede tener dos rumbos: o se para por completo o decidimos enfrentar el problema.

Los investigadores de fraude podemos usar herramientas de cracking de contraseñas para recuperar claves

Es aquí donde entra el término "Cracking de contraseñas" que hace referencia a la metodología compuesta por procesos que tratan repetitivamente de dar con una clave a partir de unos datos base.

MÉTODOS PARA RECUPERAR UNA CLAVE

Cuando hablamos de métodos para recuperar una clave, nos estamos refiriendo no al proceso de recuperación tradicional de la contraseña, sino al proceso de descifrarla sin ayuda de asistentes de recuperación.

Existen los siguientes métodos para dar con una contraseña:

1. A través de un diccionario: donde tendremos, como su nombre lo indica, un diccionario de palabras comunes que probaremos una a una tratando de adivinar cuál de todas ellas es.
2. A través de la fuerza bruta: donde no se tendrán diccionarios, sino dígitos generados aleatoriamente por un programa de computador que al igual que el diccionario, tratará una a una adivinar la combinación correcta.
3. A través de rainbow tables: donde se usan hashes "pre-computados", es decir, se tiene una lista de contraseñas cifradas previamente conocidas y lo que hace el programa de computador es buscar si una de ellas concuerda con la buscada.

Existen otros métodos para recuperar contraseñas, pero nos enfocaremos hoy en los más conocidos y en los que fácilmente un investigador de fraude y ciber-crímen pueda dominar en poco tiempo.

MEDIOS USADOS PARA LA TAREA

Cualquiera de los tres métodos nombrados anteriormente se puede llevar a cabo manualmente, pero sería una tarea muy engorrosa y probablemente infinita. Lo que queremos es encontrar la contraseña en el menor tiempo posible, es por ello que se puede hacer uso de un computador y alguno de los siguientes software recomendados desde NF Cybersecurity and Antifraud Firm:

1. John The Ripper: probablemente el mas conocido de todos debido a su antigüedad entre los conocedores y amantes del mundo UNIX. Es el apropiado para descifrar contraseñas de Linux, Windows y MacOSX.
2. Cain and Abel: este software es reconocido por poder recuperar contraseñas de Wifi, Navegadores Web, Correo Electrónico, Credenciales de Windows y tiene la capacidad de monitorear una red de datos en búsqueda de contraseñas.
3. THC Hydra: es usado para tratar de descifrar las contraseñas a través de los protocolos de comunicación como FTP, HTTP, SSH, SMB, Asterisk, MySQL, XMPP y Telnet.
4. HashCat: es el indicado para descifrar contraseñas en hash MD5, MD4, LM, SHA y es capaz de usar la potencia de la unidad GPU de la tarjeta de video para computar rápidamente las cadenas de texto.

Con estos cuatro nos detenemos en la lista, existen muchos más pero este sería el arsenal del examinador del fraude, teniendo así la oportunidad de dar con claves de sistemas operativos, de wifi, correos electrónicos, web, credenciales de Windows, protocolos de comunicaciones y Hashes en general.

TIEMPO QUE TARDARÍA EN RECUPERAR

Básicamente depende de tres factores: de la complejidad de la contraseña, de la capacidad en potencia de cómputo y del método que utilicemos para la tarea. Abordaremos un ejemplo usando el método de Fuerza Bruta, identificando y clasificando nuestra capacidad así:

CAPACIDAD DE PROCESAMIENTO

• Clase A: 10.000 comparaciones de contraseñas por segundo. Es lo que podemos esperar de un computador con un procesador Pentium a 100 Mhz.
• Clase B: 100.000 comparaciones de contraseñas por segundo. En procesadores de hasta 400 Mhz de velocidad en reloj.
• Clase C: 1.000.000 de comparaciones de contraseñas por segundo. En procesadores modernos de hasta 1 Ghz.
• Clase D: 10.000.000 de comparaciones de contraseñas por segundo, es lo que podríamos esperar de computadores workstation de la época con dos core.
• Clase E: 100.000.000 de comparaciones de contraseñas por segundo, cuando unimos varias estaciones de trabajo para descifrar en conjunto.
• Clase F: 1.000.000.000 de comparaciones de contraseñas por segundo, cuando se usa supercomputación o computación distribuida.

COMPLEJIDAD DE LA CONTRASEÑA

• Hasta 10 caracteres, sólo números del 0 al 9: en un computador de clase A se demoraría en descifrar 28 horas y en uno de clase F lo haría de inmediato.
• Hasta 20 caracteres, todo el alfabeto en minúscula y mayúscula: en un computador de clase E tardaría 6.3 trillones de años, en uno de clase F sólo 631 billones de años.
• Hasta 5 caracteres, con todo el alfabeto y dígitos del 0 al 9: en un computador de clase A tomaría 30 minutos, y en uno de clase C tomaría 1 minuto.
• Hasta 8 caracteres, con todo el alfabeto, dígitos y caracteres especiales: en un computador de clase A tomaría 22.875 años y en uno de clase E tomaría 2 años y medio.

EJEMPLO PRÁCTICO

Contraseña: darren, Clase A: 8 horas y media, Clase C: 5 minutos.
Contraseña: Land3rz, Clase A: 11 años, Clase C: 41 días.
Contraseña: B33r&Mug, Clase A: 22.875 años, Clase C: 229 años.

Normalmente el mismo software al momento de ejecutarlo y empezar con el proceso, indica cuántas contraseñas por segundo está pudiendo comparar, de esta forma es cuestión de tiempo que se adivine.

Referencias

Password Recovery Speeds, 2009

Julián Ríos,

Certificado en materia de Antifraude y Seguridad de la Información, es el fundador de la firma internacional NF, con base en la ciudad de Medellín, Colombia. También es el creador del software antifraude The Fraud Explorer y DRIF y apoya a personas y empresas a enfrentar y solucionar sus retos en materia de Ciberseguridad y combate del fraude.