Los hackers utilizan diversos métodos para descifrar contraseñas, y uno de ellos es el ataque de tablas de arcoíris. En ciertos casos, este método puede ser más rápido que los ataques de diccionario o el relleno de credenciales.
En este artículo, exploramos cómo funcionan los ataques de tablas arcoíris y analizamos formas de prevenirlos.
Definición de ataque de tabla arcoíris
Un ataque de tabla arcoíris es un ataque criptográfico que los hackers utilizan para entrar en sistemas descifrando contraseñas a partir de sus hashes, los cuales actúan como huellas digitales. Una función hash asigna a cada contraseña una cadena de caracteres correspondiente.
A diferencia de un ataque de fuerza bruta, que intenta probar todas las contraseñas posibles una por una, un ataque de tabla arcoíris no requiere adivinarlas una vez que la tabla ha sido precalculada. Esta tabla precalculada (conocida como tabla arcoíris debido a su apariencia si está codificada por colores) es esencialmente una gran base de datos de pares de valores hash vinculados a sus equivalentes en texto plano.
Cómo funciona un ataque de contraseña mediante tabla arcoíris
1. Creación de una lista de contraseñas
Al crear tablas arcoíris, los hackers suelen centrarse en las contraseñas más probables y utilizadas comúnmente con patrones sencillos (por ejemplo, 123456, password o qwerty), palabras de diccionario o volcados de contraseñas obtenidos de vulneraciones de datos.
2. Selección de la función hash y conversión de las contraseñas
Los ataques de tabla arcoíris funcionan bien con funciones hash criptográficas más simples y rápidas como MD-5, SHA-1, LM Hash o NTLM Hash, ya que no utilizan funciones de seguridad como el salt (añadir datos aleatorios a cada contraseña antes de aplicar el hash) o el estiramiento de claves (aplicar hash a la contraseña repetidamente).
| Contraseña con hash MD-5 | Contraseña en texto plano |
| 482c811da5d5b4bc6d497ffa98491e38 | password123 |
Cada contraseña en texto plano pasa por la función hash para generar su hash correspondiente, el cual tiene una cadena de caracteres única de tamaño fijo, como en el ejemplo anterior. Una vez que todas las contraseñas tienen su hash, el hacker puede utilizarlas para crear la tabla arcoíris.
3. Creación de la tabla arcoíris para revelar contraseñas
Una tabla arcoíris puede considerarse como una gran hoja de cálculo de Excel, con las contraseñas con hash en la primera columna y las contraseñas en texto plano en la segunda. Si un hash vulnerado está presente en esta tabla, significa que la contraseña vulnerada es la que se encuentra en la celda contigua.
Ejemplos de ataques de tabla arcoíris
Aquí tiene dos ejemplos hipotéticos para ilustrar cómo podría desarrollarse un ataque de tabla arcoíris:
- Un hacker identifica un sitio web de redes sociales que utiliza un algoritmo de hash obsoleto sin ningún tipo de salt. Al explotar una falla de inyección SQL, el atacante extrae los valores hash de las contraseñas de los usuarios de la base de datos del sitio web. Luego, utiliza una tabla arcoíris precalculada para convertir rápidamente miles de estos hashes de vuelta a contraseñas en texto plano, comprometiendo las cuentas de los usuarios.
- Durante el monitoreo rutinario de la red, un hacker descubre que un sitio web de comercio electrónico transmite hashes de contraseñas de manera insegura entre sus servidores y utiliza herramientas de rastreo de red para capturar estos datos. Dado que ahora tiene acceso a los hashes de las contraseñas, el hacker utiliza un ataque de tabla arcoíris para decodificar las contraseñas de los clientes, obteniendo acceso a sus cuentas de compra e información personal.
Vulneraciones de datos por ataques de tabla arcoíris
Los ataques de tabla arcoíris se han utilizado en el mundo real para robar millones de detalles de inicio de sesión.
Por ejemplo, un hackeo a LinkedIn en 2012(nueva ventana) por parte de ciberdelincuentes rusos resultó en el robo de casi 6,5 millones de contraseñas de cuentas de usuarios, causando una importante vulneración de datos. Tras el descubrimiento inicial, LinkedIn encontró otros 100 millones de direcciones de correo electrónico y contraseñas comprometidas en 2016 relacionadas con el mismo incidente. Las contraseñas robadas estaban mal protegidas, carecían de medidas de seguridad adicionales como el salt, lo que facilitaba que los atacantes las descifraran utilizando tablas arcoíris estándar.
Cómo prevenir ataques de tabla arcoíris
Elija plataformas con funciones hash robustas
Las funciones hash seguras como bcrypt(nueva ventana) o Argon2(nueva ventana) utilizan salt(nueva ventana) para añadir datos aleatorios a su contraseña antes de crear su hash. Sin el salt, el hash de la contraseña no aparecerá en una tabla arcoíris, por lo que el ataque fallaría.
Para averiguar qué funciones hash utiliza un servicio o aplicación específica para almacenar contraseñas, consulte su política de privacidad(nueva ventana), la sección de preguntas frecuentes, la página de soporte, las certificaciones de seguridad o auditorías (si las hubiera), la documentación técnica o los recursos para desarrolladores(nueva ventana). Una búsqueda sencilla en Internet debería funcionar, o bien puede contactar al soporte al cliente y preguntar.
Si usted gestiona sus propios sitios web o bases de datos, mantenga actualizados sus ajustes de seguridad utilizando complementos o módulos que implementen algoritmos de hash robustos.
Utilice contraseñas complejas
En lugar de utilizar contraseñas fáciles de adivinar, opte por contraseñas seguras compuestas por al menos 12 caracteres, que contengan letras mayúsculas y minúsculas, números y símbolos. Algunos ejemplos de contraseñas seguras son ?GmmM1Z[c5:F o beht=ty]P:)Gf^c?p?+7. Es poco probable que un ciberatacante elija como objetivo contraseñas tan complejas utilizando ataques de tabla arcoíris.
Active la autenticación multifactor
La autenticación multifactor (MFA), como la autenticación de dos factores (2FA), añade al menos una forma más de autenticación a la solicitud de contraseña, como un código en su autenticador 2FA. Si un atacante descubre con éxito su contraseña tras un ataque de tabla arcoíris, no podrá superar los siguientes pasos de autenticación.
Además, si recibe una solicitud de verificación adicional inesperada, es una señal clara de que alguien está intentando acceder a su cuenta. Puede responder rápidamente cambiando su contraseña.
Utilice direcciones de correo electrónico alias
Las direcciones de correo electrónico alias(nueva ventana) pueden protegerle de vulneraciones de datos que podrían dar lugar a ataques de tabla arcoíris, ya que no están conectadas a sus direcciones de correo electrónico principales. Por ejemplo, puede seguir utilizando su correo principal para mensajes importantes y finanzas, mientras reserva alias de correo para actividades menos seguras, como registrarse en servicios en los que no confía. Si su dirección de correo electrónico alias es hackeada, simplemente puede desactivarla.
Monitoree Internet en busca de vulneraciones de datos
Al mantenerse informado sobre las últimas vulneraciones, puede determinar si alguno de los servicios que utiliza ha sido comprometido y si sus datos han sido filtrados. Esto le permite tomar medidas proactivas, como cambiar sus contraseñas inmediatamente, para evitar que los hackers utilicen datos potencialmente expuestos para obtener acceso no autorizado a sus cuentas.
Cómo puede ayudarle Proton Pass
Proton Pass puede protegerle de ataques de tabla arcoíris generando contraseñas seguras(nueva ventana) y gestionándolas en un solo lugar. También admite un autenticador TOTP (contraseña de un solo uso basada en el tiempo) para tokens 2FA. Además, la aplicación ofrece alias hide-my-email para evitar que su dirección de correo electrónico principal quede expuesta en línea.
Todos los suscriptores de Proton Pass pueden utilizar Pass Monitor(nueva ventana) para monitorear el estado de todas sus contraseñas y el Monitoreo de la Dark Web para rastrear diversas fuentes en busca de vulneraciones de datos. Nuestro modelo de seguridad utiliza el algoritmo de hash seguro bcrypt, que aplica salt a sus contraseñas antes de aplicarles el hash para detener los ataques de tabla arcoíris. Además, ejecutamos un programa de seguridad avanzado llamado Proton Sentinel para detectar y prevenir ataques de apropiación de cuentas.
Empiece a proteger sus cuentas de los ataques de tabla arcoíris registrándose hoy mismo para obtener una cuenta gratuita de Proton Pass.






