Entonces puedes descifrar contraseñas con Hashcat en Windows 10

25
Entonces puedes descifrar contraseñas con Hashcat en Windows 10

Con el hash de cierto archivo no se puede recuperar el archivo originalPor esta razón, una buena práctica de seguridad es almacenar los hash de contraseña en las bases de datos, para que nadie pueda obtener la información en texto sin formato. Sin embargo, para descifrar este “hash” lo que haces es probar miles de combinaciones y comparar si los hash son los mismos.

Otros usos que se pueden dar a un hash, es verificar la integridad de un archivo, es decir, saber si se ha modificado o no. La huella de hash de cada archivo es única; en caso de detectar que dos archivos o datos diferentes generan el mismo hash, se considera que se ha producido una colisión y que este algoritmo de hash utilizado no es seguro.

El hash suele ser de tamaño más pequeño que los datos originales. Esto es así porque el hash simplemente genera un código de cierta longitud fija, aunque hay funciones hash que tienen salida variable. El hash agrega una capa de protección al almacenar contraseñas, ya que no es posible descifrarlo a menos que lo ataque con fuerza bruta o diccionario. Hay una herramienta llamada Hashcat lo que le permitirá descifrar contraseñas utilizando los algoritmos de hashing principales para almacenar contraseñas. Esta vez, le mostraremos paso a paso para instalar esta herramienta en Windows 10, aunque también es compatible con los sistemas operativos Linux y macOS.

¿Por qué querría tener una herramienta como esta en mi computadora? Tanto los profesionales como los entusiastas de la seguridad informática utilizan esta herramienta para verificar cuán protegidas están las diferentes contraseñas. Sin embargo, como cualquier herramienta de este tipo, los ciberdelincuentes pueden usarla con fines maliciosos. De todos modos, consideramos que es importante que todos tengan acceso a herramientas con estas utilidades con fines educativos y profesionales.

Cómo instalar Hashcat en Windows 10

Lo que haremos primero es ingresar al portal oficial Hashcat y descargue el archivo en formato binario. Considere esta captura de pantalla como referencia:

El archivo se descargará en forma comprimida. Por cierto, para poder descomprimir y administrar en general todos los archivos comprimidos, use el programa 7-Zip. Descomprima la carpeta en un lugar conveniente para ubicar e ingresar esa carpeta. Verá varios archivos y, antes de comenzar, copiaremos un acceso directo a Símbolo del sistema (línea de comando) para poder acceder a Hashcat más fácilmente cuando lo necesitemos:

Una vez que hayamos localizado el ejecutable cmd, lo copiamos y lo pegamos en la carpeta que descargamos Hashcat.

Una vez que hemos pegado el cmd en la carpeta, podemos comenzar a usar Hashcat a través del símbolo del sistema

Abrimos el cmd y directamente comenzaremos a usar la herramienta desde la ubicación de la carpeta que descargamos.

Un comando simple que nos ayudará a verificar que la herramienta se ejecute correctamente es el siguiente:

hashcat64.exe --help

Si nuestro sistema operativo es de 32 bits, usamos el siguiente comando:

hashcat32.exe --help

Aparecerá una extensa lista de argumentos de comando y toda la información necesaria para aprovechar Hashcat en diferentes escenarios.

Ejecutando ataque de fuerza bruta

Siempre en la misma carpeta, vamos a crear dos archivos .TXT para simular nuestro ataque de fuerza bruta. En el primer archivo, almacenaremos nuestra contraseña cifrada y en el otro archivo la contraseña ya descifrada.

En este ejemplo, para almacenar la contraseña cifrada llamo al archivo contraseña_hash y donde se encontrará la contraseña descifrada se llamará simplemente agrietamiento.

Para encriptar nuestra contraseña, podemos encontrar múltiples generadores de hash. El que hemos usado es esta, que ofrece una amplia variedad de algoritmos de cifrado. Simplemente, debe ingresar el texto para encriptar y generar en tiempo real el hash. A medida que agrega más palabras al texto, el hash generado se actualiza automáticamente.

Una vez que haya generado el hash, lo almacenará en el archivo que creamos recientemente para almacenar la contraseña cifrada. Nuestro ejemplo: contraseña_hash. Luego, volvemos a la línea de comando de Hashcat para llevar a cabo el proceso de descifrar nuestra contraseña cifrada.

La estructura del comando es simple y variará según lo que queramos hacer. En resumen, debemos tener en cuenta que, de acuerdo con el algoritmo de cifrado que utilizamos para cifrar los datos y el tipo de ataque, el uso de la CPU puede aumentar considerablemente. En consecuencia, debemos asegurarnos de que nuestra computadora no se sobrecaliente descifrando contraseñas.

Una buena práctica es tener programas que controlen la temperatura de nuestra computadora y el uso de la CPU, y que la abran al mismo tiempo que Hashcat. De esta forma, podemos evitar cualquier eventualidad. Por ejemplo, la pantalla azul.

Comando para ataque de fuerza bruta a hash MD5

hashcat64.exe -m0 -o crackeo.txt contrasena_hash.txt

El comando que vemos arriba tiene diferentes argumentos que significan lo siguiente:

  • hashcat64.exe: el archivo ejecutable de Hashcat
  • -m0: el algoritmo de cifrado para descifrar (MD5)
  • -o – el tipo de ataque a realizar, que será fuerza bruta
  • crackeo.txt: el archivo donde se almacenará la contraseña descifrada
  • password_hash.txt: el archivo donde tenemos la contraseña para descifrar

Por supuesto, esto también se aplica al descifrado masivo de contraseñas. Es decir, en el mismo archivo podemos tener cientos de miles o millones de contraseñas. Es bueno reforzar el hecho de que esto requerirá un buen consumo de recursos. Por lo tanto, recomendamos un cuidado extremo al usar esta solución.

Una vez que ejecute este comando, no debe hacer nada más. Si todo está en orden, es cuestión de esperar unos minutos hasta que se produzca si el proceso de craqueo fue exitoso o no. Este es un ejemplo de si el craqueo fue exitoso:

¿Quién usa Hashcat?

Originalmente, esta solución fue creada para su uso con fines legítimos. Sobre todo, para fines profesionales. Por ejemplo, un administrador del sistema puede usar Hashcat para verificar la seguridad de las contraseñas de los usuarios que forman parte de una red. Si lograste descifrarlo por tu cuenta, un cibercriminal también puede hacerlo.

Otro contexto en el que se puede aplicar es en el pentesting. El objetivo principal de pentester es encontrar tantos agujeros de seguridad como sea posible, para que sus clientes puedan aplicar tantas medidas de seguridad para proteger sus sistemas. Tanto en el contexto profesional como académico, se pueden utilizar herramientas de este tipo.

No es posible evitar que los ciberdelincuentes utilicen este tipo de herramientas para atacar y apropiarse de datos de millones de personas en todo el mundo. Sin embargo, aquellos que lo usan con fines legítimos se darán cuenta de la importancia de no solo tener contraseñas seguras, sino también la importancia de almacenarlas con el mayor nivel de protección posible.

Puede pensar que Hashcat es una herramienta que nos hace casi inútil usar algoritmos de hash para nuestras contraseñas, incluso con los algoritmos más robustos como SHA3. ¿No sería mejor elegir almacenar todo en texto plano y listo? No, también es obligatorio que las organizaciones que requieren contraseñas para acceder a sus servicios las almacenen de forma segura, de tal forma que se conserve una mayor seguridad y privacidad.

Dejar respuesta

Please enter your comment!
Please enter your name here