[Nueva investigación] Puertos FTP bajo ataque: ¿qué contraseñas están usando los hackers?
Table of Contents
El equipo de investigación de Specops ha analizado las contraseñas utilizadas en ataques a puertos FTP durante los últimos 30 días, ataques en vivo que se han dirigido contra redes reales. Nuestro equipo ha identificado las contraseñas más comunes empleadas en ataques de fuerza bruta, así como las frecuencias de longitudes y niveles de complejidad de estas contraseñas. Conocer las tácticas que utilizan los atacantes en el mundo real puede ayudarte a definir la política de contraseñas de tu organización y a defenderte contra los ataques de fuerza bruta.
Esta investigación coincide con la incorporación de más de 133 millones de contraseñas comprometidas al servicio de protección de contraseñas vulneradas de Specops. Estas contraseñas provienen de una combinación de nuestra red honeypot y fuentes de inteligencia de amenazas.
¿Por qué los hackers atacan el puerto FTP con ataques de fuerza bruta?
Los hackers a menudo atacan el puerto TCP 21 de FTP con ataques de fuerza bruta porque los servidores FTP pueden ser un eslabón débil en la seguridad de la red, especialmente cuando están mal configurados o protegidos por credenciales débiles. Muchos servidores antiguos o mal mantenidos siguen utilizando la autenticación básica, que transmite nombres de usuario y contraseñas en texto plano, lo que los hace vulnerables a la interceptación o a intentos automatizados de adivinación. Esto lo convierte en un objetivo principal para el diccionario automatizado y las herramientas de fuerza bruta que pueden probar miles de pares de credenciales comunes en minutos.
Los ataques de fuerza bruta implican probar repetidamente diferentes combinaciones de nombre de usuario y contraseña hasta obtener acceso. Si las credenciales son débiles o no se han cambiado desde los valores predeterminados, este método puede ser extremadamente efectivo. Una vez dentro, los atacantes pueden robar archivos sensibles, subir contenido malicioso o usar el servidor comprometido como punto de partida para ataques posteriores. Si las credenciales son débiles o no se han cambiado desde los valores predeterminados, este método puede ser extremadamente efectivo. Una vez dentro, los atacantes pueden robar archivos sensibles, subir contenido malicioso o usar el servidor comprometido como punto de partida para ataques posteriores. Dado que FTP es un protocolo heredado con seguridad limitada, es un objetivo prioritario a menos que esté protegido con contraseñas robustas, controles de acceso y, en el mejor de los casos, reemplazado o asegurado con SFTP o FTPS.
Comparativa: ataques de contraseñas en puertos FTP vs RDP
Recientemente analizamos los ataques de contraseñas en el puerto 3389 de RDP (Protocolo de escritorio remoto). RDP proporciona una sesión interactiva y cifrada para acceso completo al escritorio. Aunque también puede ser víctima de ataques de fuerza bruta, el proceso de handshake y las capas de cifrado ralentizan los intentos automatizados, y una política efectiva de bloqueo de cuentas o la autenticación multifactor puede dificultar aún más el descifrado rápido de contraseñas.
Cuando los atacantes atacan FTP, generalmente buscan archivos (ya sea robando datos o plantando malware) y se centran en el password spraying o en explotar inicios de sesión anónimos. Esto significa que los métodos difieren de las intrusiones en RDP, pero el objetivo sigue siendo el mismo: obtener un punto de apoyo dentro de la red.
Una vez “en el escritorio”, los atacantes pueden moverse lateralmente, instalar puertas traseras o recolectar credenciales adicionales. Como resultado, los ataques a RDP suelen combinar abuso de credenciales con explotación de vulnerabilidades conocidas (como BlueKeep) o malware droppers personalizados, más que depender exclusivamente de la fuerza bruta.
Esto implica que los defensores deben monitorizar RDP en busca de patrones de inicio de sesión inusuales y aplicar parches a las vulnerabilidades conocidas, mientras que en FTP es más efectivo centrarse en políticas de contraseñas robustas, restricciones de puertos y la sustitución de FTP por alternativas seguras como SFTP o FTPS.
¿Qué contraseñas se están utilizando en los ataques a puertos FTP?
Nuestra investigación ha analizado las contraseñas recopiladas en nuestro sistema honeypot durante los últimos 30 días. Hemos identificado las contraseñas más comunes usadas en los ataques y detallado sus longitudes y complejidades para ayudarte a reforzar tu política de contraseñas.
Las diez contraseñas más usadas para atacar el puerto TCP 21
Como se muestra en la tabla a continuación, “Admin” encabeza la lista. Los atacantes saben que es una contraseña predeterminada habitual, utilizada a menudo por fabricantes o administradores de sistemas durante la configuración inicial, lo que la convierte en una contraseña fácilmente disponible y fácil de adivinar. Su uso generalizado, combinado con la tendencia de los usuarios a no cambiar las contraseñas predeterminadas, explica su prevalencia. Como ha demostrado otra investigación de Specops, muchos usuarios finales simplemente dejarán una contraseña nueva o temporal en su lugar si se les da la opción.
También resulta interesante ver que “root” aparece en segundo lugar. Esta es una opción de contraseña común en sistemas Linux y Unix, ya que está asociada a la cuenta de administrador predeterminada y es fácil de recordar. En estos sistemas es el nombre de usuario por defecto, especialmente en SSH, por lo que es un objetivo evidente para los atacantes.
Otras contraseñas en esta lista son contraseñas débiles comunes como “password” o secuencias de teclado como “123456” y “qwerty”. El hecho de que los atacantes sigan probando estas contraseñas simples y fáciles de adivinar nos indica que muchos usuarios aún las eligen y que sus organizaciones no están bloqueando contraseñas débiles.
| Contraseña | Veces utilizada por los atacantes en los últimos 30 días |
|---|---|
| admin | 907 |
| root | 896 |
| 123456 | 854 |
| password | 847 |
| admin123 | 842 |
| 123123 | 834 |
| 12345678 | 814 |
| qwerty | 812 |
| abc123 | 809 |
| 1234 | 808 |
Complejidad del conjunto de caracteres
Hemos analizado los conjuntos de caracteres de las contraseñas utilizadas en los ataques a puertos FTP. La tabla a continuación muestra algunas combinaciones de los cuatro tipos de caracteres disponibles:
- Números
- Letras minúsculas
- Letras mayúsculas
- Caracteres especiales
Como se observa, muchas de las contraseñas utilizadas por los hackers son muy simples: el 54% de las contraseñas observadas en los ataques contenían solo números o solo letras minúsculas. Solo el 1,6% contenía los cuatro tipos de caracteres. Esto significa que una política de contraseñas que exija al menos un carácter de cada tipo protegería a tu organización frente a casi el 99% de las contraseñas que usan los hackers.
| Conjunto de caracteres | % de contraseñas utilizadas en ataques a puertos FTP | Ejemplos |
|---|---|---|
| Solo números | 29% | 123456 |
| Minúsculas + número | 28,5% | root2015 |
| Solo minúsculas | 24,9% | useruser |
| Minúsculas + número + carácter especial | 8,5% | www-data1, p@55w0rd |
| Minúsculas + carácter especial | 5,6% | user! |
| Mayúsculas + minúsculas + número + carácter especial | 1,6% | P@ssw0rd!! |
| Mayúsculas + minúsculas + número | 0,9% | Admin2015 |
| Mayúsculas + minúsculas | 0,6% | AdminAdmin |
| Mayúsculas + minúsculas + carácter especial | 0,2% | Admin! |
| Solo carácter especial | 0,1% | !@#$%^ |
Longitud de las contraseñas más comunes en los ataques
Las últimas directrices de NIST recomiendan priorizar la longitud sobre la complejidad. Esto se debe en parte a que una frase de contraseña larga es más fácil de recordar para los usuarios finales que una contraseña más corta con mucha complejidad. Las contraseñas largas (de más de 15 caracteres) con cierta complejidad son muy resistentes a los ataques de fuerza bruta. Aplicar este tipo de política de contraseñas haría que las contraseñas de Active Directory fuesen muy resistentes a ataques de fuerza bruta. Como se muestra a continuación, el 87,4% de las contraseñas utilizadas por los hackers contra los puertos FTP tenían entre 6 y 10 caracteres.
| Longitud de la contraseña | % de contraseñas utilizadas en ataques FTP |
|---|---|
| 6 | 25,53% |
| 8 | 16,46% |
| 9 | 12,96% |
| 7 | 12,06% |
| 4 | 9,82% |
| 5 | 6,61% |
| 10 | 3,95% |
| Todas las demás longitudes | 12,61% |
Encuentra contraseñas débiles y comprometidas en tu red hoy mismo
La actualización de este mes del servicio de protección de contraseñas vulneradas incluye la adición de algo menos de 5 millones de contraseñas comprometidas a la lista utilizada por Specops Password Auditor. Puedes comprobar cuántas de las contraseñas de tus usuarios finales han sido comprometidas o son idénticas con un escaneo de solo lectura de su Active Directory desde Specops Password Auditor. Obtendrás un informe gratuito y personalizable sobre vulnerabilidades relacionadas con las contraseñas, incluidas las políticas débiles, las contraseñas vulneradas y las cuentas obsoletas/inactivas. Descarga aquí su herramienta de auditoría gratuita.
Asegurar FTP con políticas de contraseñas seguras
Una de las formas más efectivas de proteger un servidor FTP de los ataques de fuerza bruta es imponer políticas de contraseñas seguras. Dado que FTP suele depender de la autenticación mediante usuario y contraseña (a menudo transmitidos sin cifrado), el uso de credenciales débiles o predeterminadas lo convierte en un objetivo fácil para los atacantes.
La mayoría de las contraseñas utilizadas en estos ataques a puertos FTP son débiles: son cortas, carecen de complejidad o utilizan contraseñas temporales comunes como “admin” o “root”. Una buena solución de terceros puede bloquear que los usuarios elijan contraseñas débiles en Active Directory (que a menudo se reutilizan como contraseñas de servidor FTP). Aplicar una política de contraseñas que fomente el uso de frases de paso de más de 15 caracteres (con cierta complejidad) protegería contra la gran mayoría de las contraseñas detectadas en este análisis.
Lista buenas prácticas para contraseñas FTP
- Habilitar MFA resistente al push-spam añade una capa adicional de protección, incluso si la contraseña es comprometida. Por ejemplo, Specops Secure Access puede reforzar las conexiones con un segundo factor para asegurar mejor el acceso.
- Bloquear el uso de contraseñas débiles y comprometidas en tu Active Directory.
- Los administradores deben exigir frases de paso largas para todas las cuentas, combinando mayúsculas, minúsculas, números y caracteres especiales. Las frases de contraseña son más fáciles de recordar para los usuarios
- Deshabilitar los inicios de sesión predeterminados y anónimos
- Limitar los intentos de inicio de sesión para bloquear las herramientas de fuerza bruta.
- Aplicar actualizaciones periódicas de contraseñas
- Eliminar o desactivar las cuentas FTP no utilizadas
Proteja a su organización contra los ataques de fuerza bruta
Specops Password Auditor es un gran punto de partida para evaluar los riesgos actuales de tus contraseñas, pero solo ofrece una imagen puntual. Con Specops Password Policy y Breached Password Protection, las organizaciones pueden protegerse de forma continua contra más de 3 mil millones de contraseñas únicas comprometidas conocidas (4 mil millones en total). Estos incluyen contraseñas comprometidas que podrían considerarse “fuertes” y que han sido robadas por malware.
Los sistemas de recopilación de datos de monitorización de ataques de nuestro equipo de investigación actualizan el servicio diariamente y garantizan que las redes estén protegidas contra ataques de contraseñas a tiempo real. También incluye contraseñas encontradas en listas de contraseñas vulneradas en la dark web y en otras fuentes. Breached Password Protection escanea continuamente su Active Directory en busca de contraseñas vulneradas y y permite alertar a los usuarios finales con mensajes personalizables, lo que ayuda a reducir las llamadas al service desk.
¿Quieres ver cómo podría funcionar esto en tu organización? ¿Tienes dudas sobre cómo adaptarlo a tus necesidades? Contáctanos o solicita una demostración o prueba gratuita para verlo en acción.
(Última actualización el 31/07/2025)