¿Qué es un ataque de fuerza bruta en términos sencillos?

Un ataque de fuerza bruta es un intento de entrar en una cuenta adivinando su contraseña por ensayo y error — un software automatizado prueba enormes cantidades de contraseñas posibles hasta que una funciona. No hay truco: depende de la velocidad y el volumen. Tiene éxito sobre todo contra contraseñas débiles, cortas o reutilizadas, y contra sistemas de inicio de sesión que no limitan cuántos intentos puede hacer un atacante. Contraseñas largas y únicas y la verificación en dos pasos lo hacen impracticable.

¿Cuánto tarda un ataque de fuerza bruta?

Depende por completo de la longitud y aleatoriedad de la contraseña. Cada carácter extra multiplica el número de combinaciones posibles: una contraseña corta o común puede caer en segundos, mientras que una larga y aleatoria puede exigir más intentos de los que son viables en un plazo útil. Esa es la idea de la longitud: no hace imposible adivinar en teoría, pero sí tan lento que no merece la pena. Las contraseñas reutilizadas o filtradas se saltan ese cálculo, por eso también importa la unicidad.

¿Qué diferencia hay entre fuerza bruta y ataque de diccionario?

Son variantes de la misma idea. Una fuerza bruta pura prueba todas las combinaciones de caracteres posibles, de las más cortas a las más largas. Un ataque de diccionario es más astuto y rápido: primero prueba una lista preparada de contraseñas probables — palabras comunes, nombres, contraseñas filtradas, patrones predecibles — porque la mayoría de las contraseñas débiles salen de un conjunto pequeño. El credential stuffing va más allá reutilizando pares reales de usuario y contraseña filtrados de otras brechas.

¿La verificación en dos pasos detiene los ataques de fuerza bruta?

En gran medida, sí — y por eso es tan valiosa. Aunque un atacante acabe adivinando tu contraseña, la verificación en dos pasos (2FA) exige una segunda prueba — un código de una app, una llave de seguridad o una passkey — que el atacante no tiene. Así que una contraseña correcta por sí sola no basta para entrar. La 2FA no hace fuerte tu contraseña, pero hace que una contraseña adivinada o filtrada normalmente falle sola. Actívala en todas partes, preferiblemente con una app de autenticación o una passkey en vez de SMS.

¿Cómo me protejo de los ataques de fuerza bruta?

Tres cosas cubren la mayor parte del riesgo. Usa contraseñas largas y únicas — un gestor de contraseñas puede generar y guardar una aleatoria para cada cuenta, así nada es corto, adivinable ni reutilizado. Activa la verificación en dos pasos para que una contraseña adivinada no baste. Y no reutilices contraseñas entre sitios, porque si no una sola filtración abre todas las cuentas que la comparten. Longitud + unicidad + 2FA hacen impracticable forzar tus cuentas.

¿Qué es un ataque de fuerza bruta? Cómo funciona y cómo detenerlo (2026)

El ataque de fuerza bruta es el método de hackeo más básico que existe — y todavía uno de los más comunes, porque sigue funcionando contra contraseñas débiles. Sin exploits ni trucos: solo un ordenador adivinando contraseñas, muy rápido, hasta que una encaja. Esta guía explica cómo funcionan estos ataques, los tipos principales, por qué siguen teniendo éxito, y las defensas que de verdad los detienen.

La definición corta

Un ataque de fuerza bruta intenta adivinar una contraseña (o clave) probando sistemáticamente enormes cantidades de combinaciones hasta encontrar la correcta. Los atacantes lo automatizan: un programa puede hacer miles o millones de intentos mucho más rápido que una persona. No explota un fallo de software — explota las contraseñas débiles y los sistemas de inicio de sesión que dejan adivinar sin límite.

Cómo funciona

El atacante apunta un software a un inicio de sesión o a un archivo robado de contraseñas cifradas (con hash) y lo deja recorrer candidatos. La fuerza de la contraseña objetivo lo decide todo: cada carácter extra multiplica el número de posibilidades, así que el tiempo de adivinación crece de forma explosiva con la longitud. Una contraseña corta o común puede caer casi al instante; una larga y aleatoria puede exigir más intentos de los que son realistamente alcanzables.

Los tipos principales

La «fuerza bruta» es en realidad una familia de técnicas relacionadas:

Fuerza bruta simple — probar todas las combinaciones de caracteres posibles, de las más cortas en adelante. Exhaustiva pero lenta contra contraseñas largas.
Ataque de diccionario — probar primero una lista preparada de contraseñas probables (palabras comunes, nombres, contraseñas filtradas, patrones predecibles), porque la mayoría de las débiles vienen de un conjunto pequeño.
Credential stuffing — reutilizar pares reales de usuario y contraseña filtrados de otras brechas, apostando por la reutilización. Rápido y eficaz contra la reutilización.
Password spraying — probar unas pocas contraseñas muy comunes contra muchas cuentas, para pasar bajo los límites de bloqueo que se activan con fallos repetidos de una sola cuenta.

Primer plano de las teclas de letras de un teclado — un ataque de fuerza bruta recorre combinaciones de caracteres como estas hasta desbloquear la cuenta.

Por qué la fuerza bruta sigue funcionando

Si es tan rudimentaria, ¿por qué persiste? Porque el eslabón débil rara vez es la matemática — son los hábitos humanos y los sistemas laxos:

Las contraseñas cortas o comunes caen a un ataque de diccionario en un momento.
Las contraseñas reutilizadas hacen que una sola brecha entregue a los atacantes una clave válida para tus otras cuentas.
Los inicios de sesión sin límite de intentos ni bloqueo dejan adivinar indefinidamente.

La fuerza bruta no vence a las contraseñas fuertes y únicas — cosecha las débiles y reutilizadas.

Qué hace que una contraseña resista la fuerza bruta

Dos propiedades: la longitud y la aleatoriedad. Juntas crean una entropía alta — tantas combinaciones posibles que adivinar se vuelve impracticable. Una contraseña larga y generada al azar no es «imposible» de forzar en teoría; simplemente tarda tanto que ningún atacante se molesta. La previsibilidad es la enemiga: una contraseña larga basada en una cita o un patrón es mucho más débil de lo que sugiere su longitud.

Cómo defenderte

Las defensas son sencillas y se acumulan:

Usa contraseñas largas y únicas. La forma práctica es un gestor de contraseñas que genere y guarde una aleatoria para cada cuenta — nada corto, adivinable ni reutilizado. Este único hábito vence a la vez los ataques de diccionario y el credential stuffing.
Activa la verificación en dos pasos. Incluso una contraseña adivinada correctamente falla sin el segundo factor. Prefiere una app de autenticación o una passkey antes que el SMS.
Nunca reutilices contraseñas. La reutilización convierte la brecha de un sitio en una llave maestra para el resto de tus cuentas.

Del lado del servicio, el límite de intentos, el bloqueo de cuenta y un almacenamiento de contraseñas correctamente cifrado con hash y sal mitigan aún más estos ataques — pero como usuario, longitud + unicidad + 2FA es lo que hace que forzar tus cuentas no merezca el intento.

El veredicto

Un ataque de fuerza bruta es adivinación automatizada simple — y solo sigue siendo eficaz porque las contraseñas débiles y reutilizadas lo siguen alimentando. Haz cada contraseña larga, aleatoria y única (un gestor lo hace por ti), añade la verificación en dos pasos, y la matemática se inclina con firmeza a tu favor: adivinar tu contraseña se convierte en un trabajo que ningún atacante puede terminar de forma realista.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Blinda tus cuentas → NordPassContraseñas fuertes y únicas · escáner de filtraciones · plan gratis→