Los hackers utilizan varios métodos para descifrar contraseñas, y uno de ellos es el ataque de tablas de arcoíris. En ciertos casos, este método puede ser más rápido que los ataques de diccionario o el relleno de credenciales.
En este artículo, exploramos cómo funcionan los ataques de tablas rainbow y analizamos formas de prevenirlos.
Definición de ataque de tabla arcoíris
Un ataque de tabla arcoíris es un ataque criptográfico que los hackers utilizan para entrar en sistemas descifrando contraseñas a partir de sus hashes, que actúan como huellas digitales. Una función hash asigna a cada contraseña una cadena de caracteres correspondiente.
A diferencia de un ataque de fuerza bruta, que prueba todas las contraseñas posibles una a una, un ataque de tabla arcoíris no requiere adivinar una vez que la tabla ha sido precalculada. Esta tabla precalculada (conocida como tabla arcoíris por su aspecto si se codifica por colores) es, en esencia, una base de datos grande de pares de valores hash vinculados a sus equivalentes en texto plano. Proton
Cómo funciona un ataque de contraseñas de tabla arcoíris
1. Creación de una lista de contraseñas
Al crear tablas arcoíris, los hackers suelen centrarse en las contraseñas más probables y comunes con patrones sencillos (por ejemplo, 123456, password o qwerty), palabras de diccionario o filtraciones de contraseñas obtenidas de vulneraciones de datos.
2. Selección de la función hash y conversión de las contraseñas
Los ataques de tabla arcoíris funcionan bien con funciones hash criptográficas más sencillas y rápidas como MD-5, SHA-1, LM Hash o NTLM Hash, ya que no utilizan funciones de seguridad como el salting (añadir datos aleatorios a cada contraseña antes de aplicar el hash) o el estiramiento de claves (aplicar hash a la contraseña repetidamente).
| Contraseña con hash MD-5 | Contraseña en texto plano |
| 482c811da5d5b4bc6d497ffa98491e38 | password123 |
Cada contraseña en texto plano pasa por la función hash para generar su hash correspondiente, que tiene una cadena de caracteres única y de tamaño fijo como en el ejemplo anterior. Una vez que todas las contraseñas han sido convertidas a hash, el hacker puede utilizarlas para crear la tabla arcoíris.
3. Creación de la tabla arcoíris para revelar contraseñas
Una tabla arcoíris puede verse como una gran Hoja de Excel, con las contraseñas con hash en la primera columna y las contraseñas en texto plano en la segunda. Si un hash vulnerado está presente en esta tabla, significa que la contraseña vulnerada es la celda situada junto a él.
Ejemplos de ataques de tabla arcoíris
Aquí tienes dos ejemplos hipotéticos para ilustrar cómo podría desarrollarse un ataque de tabla arcoíris:
- Un hacker identifica un sitio web de redes sociales que utiliza un algoritmo de hash obsoleto sin ningún tipo de sal. Al explotar una vulnerabilidad de inyección SQL, el atacante extrae los valores hash de las contraseñas de los usuarios de la base de datos del sitio web. Luego, utiliza una tabla arcoíris precalculada para convertir rápidamente miles de estos hashes de nuevo en contraseñas en texto plano, comprometiendo las cuentas de los usuarios.
- Durante una monitorización rutinaria de la red, un hacker descubre que un sitio web de comercio electrónico transmite los hashes de las contraseñas de forma insegura entre sus servidores y utiliza herramientas de rastreo de red para capturar estos datos. Como ahora tienen acceso a los hashes de las contraseñas, el hacker utiliza un ataque de tabla arcoíris para descifrar las contraseñas de los clientes, obteniendo así acceso a sus cuentas de compra e información personal.
Vulneraciones de datos por ataques de tabla arcoíris
Los ataques de tabla arcoíris se han utilizado en el mundo real para robar millones de inicios de sesión.
Por ejemplo, un hackeo de LinkedIn en 2012(ventana nueva) por parte de ciberdelincuentes rusos provocó el robo de casi 6,5 millones de contraseñas de cuentas de usuario, causando una importante vulneración de datos. Tras el descubrimiento inicial, LinkedIn encontró otros 100 millones de direcciones de correo electrónico y contraseñas comprometidas en 2016 relacionadas con el mismo incidente. Las contraseñas robadas estaban mal protegidas, sin medidas de seguridad adicionales como el salting, lo que facilitó a los atacantes su descifrado utilizando tablas arcoíris estándar.
Cómo prevenir los ataques de tabla arcoíris
Elige plataformas con funciones hash robustas
Las funciones hash seguras como bcrypt(ventana nueva) o Argon2(ventana nueva) utilizan salting(ventana nueva) para añadir datos aleatorios a tu contraseña antes de crear su hash. Sin la sal, el hash de la contraseña no aparecerá en una tabla arcoíris, por lo que el ataque fracasaría.
Para saber qué funciones hash utiliza un servicio o aplicación específica para almacenar contraseñas, consulta su política de privacidad(ventana nueva), la sección de preguntas frecuentes, la página de soporte, las certificaciones de seguridad o las auditorías (si las hay), la documentación técnica o los recursos para desarrolladores(ventana nueva). Una simple búsqueda en internet debería funcionar, o puedes ponerte en contacto con la atención al cliente y preguntar.
Si administras tus propios sitios web o bases de datos, mantén tus ajustes de seguridad actualizados utilizando complementos o módulos que implementen algoritmos de hash robustos.
Usa contraseñas complejas
En lugar de usar contraseñas fáciles de adivinar, opta por contraseñas seguras de al menos 12 caracteres, que contengan letras mayúsculas y minúsculas, números y símbolos. Algunos ejemplos de contraseñas seguras son ?GmmM1Z[c5:F o beht=ty]P:)Gf^c?p?+7. Es poco probable que un ciberatacante elija como objetivo estas contraseñas complejas mediante ataques de tabla arcoíris. Proton
Activa la autenticación multifactor
La autenticación multifactor (MFA), como la autenticación de dos factores (2FA), añade al menos una forma más de autenticación a la solicitud de contraseña, como un código en tu autenticador 2FA. Si un atacante descubre tu contraseña tras un ataque de tabla arcoíris, no podrá superar los siguientes pasos de la autenticación. Proton
Además, si recibes una solicitud inesperada de verificación adicional, es una clara señal de que alguien está intentando acceder a tu cuenta. Puedes responder rápidamente cambiando tu contraseña.
Usa alias de correo electrónico
Los alias de correo electrónico(ventana nueva) pueden protegerte de vulneraciones de datos que podrían dar lugar a ataques de tabla arcoíris, ya que no están conectados a tus direcciones de correo electrónico principales. Por ejemplo, puedes seguir usando tu correo electrónico principal para mensajes importantes y finanzas, mientras reservas alias de correo para actividades menos seguras, como registrarte en servicios de los que no te fíes. Si hackean tu alias de correo electrónico, simplemente puedes desactivarlo. Proton
Monitoriza internet para detectar vulneraciones de datos
Al mantenerte informado sobre las últimas vulneraciones, puedes determinar si alguno de los servicios que utilizas se ha visto comprometido y si tus datos se han filtrado. Esto te permite tomar medidas proactivas, como cambiar tus contraseñas inmediatamente, para evitar que los hackers utilicen datos potencialmente expuestos para obtener acceso no autorizado a tus cuentas.
Cómo puede ayudar Proton Pass
Proton Pass puede protegerte contra los ataques de tabla arcoíris generando contraseñas seguras(ventana nueva) y gestionándolas en un solo lugar. También es compatible con un autenticador TOTP (contraseña de un solo uso basada en el tiempo) para tokens 2FA. Además, la aplicación ofrece alias hide-my-email para evitar que tu dirección de correo electrónico principal quede expuesta online.
Todos los suscriptores de Proton Pass pueden usar Pass Monitor(ventana nueva) para supervisar la seguridad de todas sus contraseñas y el Monitoreo de la Dark Web para rastrear diversas fuentes en busca de vulneraciones de datos. Nuestro modelo de seguridad utiliza el algoritmo de hash seguro bcrypt, que añade sal a tus contraseñas antes de aplicarles el hash para detener los ataques de tabla arcoíris. Además, ejecutamos un programa de seguridad avanzado llamado Proton Sentinel para detectar y prevenir ataques de usurpación de cuentas.
Empieza a proteger tus cuentas de los ataques de tabla arcoíris registrándote hoy mismo en una cuenta gratuita de Proton Pass.






