acceder
Prueba gratuita

Cómo evitar ataques de fuerza bruta en su sitio web

captcha.eu

Los ataques de fuerza bruta son una de las amenazas más persistentes para la seguridad de los sitios web. En 2026, combinan listas de credenciales robadas, redes de bots distribuidas y adivinanzas optimizadas por IA, lo que hace que las defensas de una sola capa sean insuficientes. Esta guía explica cómo funciona cada capa de protección, dónde se queda corta por sí sola y cómo combinarlas eficazmente.

Tiempo estimado de lectura: 12 minutos

Pruebe CAPTCHA.eu gratis - sin tarjeta de crédito
Ver todas las integraciones

De un vistazo

La amenaza en 2026

Las herramientas automatizadas prueban millones de combinaciones por segundo a través de rangos de IP distribuidos; ya no basta con el simple bloqueo de IP.

Medida individual más fuerte

MFA. Los datos de Microsoft muestran que detiene el 99,9% de las cuentas comprometidas, incluso cuando ya se conocen las contraseñas.

Por qué CAPTCHA encaja aquí

Los CAPTCHA de prueba de trabajo actúan como un limitador de velocidad de cálculo integrado que aumenta el coste de cada intento de inicio de sesión para los robots antes de que intenten introducir una contraseña.

El enfoque correcto

Defensa en profundidad: ninguna capa por sí sola lo detiene todo. La AMF, la limitación de velocidad y el CAPTCHA cierran juntos las brechas que cada uno deja abiertas por separado.

Contenido de esta guía

La amenaza en 2026

La fuerza bruta no es un ataque nuevo. Lo que ha cambiado es su velocidad, escala y sofisticación. Las herramientas modernas ya no se ejecutan desde una única máquina con una dirección IP obvia. En su lugar, los atacantes distribuyen los intentos a través de miles de direcciones IP simultáneamente, rotan a través de redes proxy y utilizan la IA para priorizar los candidatos de contraseña más probables en primer lugar, a partir de miles de millones de credenciales filtradas en anteriores violaciones de datos.

Según el informe Verizon Data Breach Investigations Report, las credenciales robadas están implicadas en la mayoría de las violaciones de aplicaciones web. La fuerza bruta y el relleno de credenciales son los principales métodos utilizados para obtenerlas. Para los operadores de sitios web, esto significa que el viejo modelo mental (“mis usuarios tienen contraseñas seguras, así que estamos bien”) ya no se sostiene. Los ataques se dirigen a las contraseñas débiles, sí. Pero también se dirigen a la reutilización de contraseñas en distintos servicios, y pueden soportar millones de intentos por hora sin activar simples límites de velocidad si el tráfico está distribuido.

La magnitud de este problema no es teórica. En mayo de 2024, un actor de amenazas conocido como Menelik registró cuentas de socios en un portal de clientes de Dell y pasó tres semanas forzando los identificadores de etiquetas de servicio a unas 5.000 solicitudes por minuto. Dell no detectó la actividad hasta que el atacante envió un correo electrónico revelando la vulnerabilidad. Para entonces, los registros de aproximadamente 49 millones de clientes ya habían sido robados. El ataque no requirió un exploit sofisticado, sino simplemente un volumen sostenido y automatizado contra un punto final sin una limitación de velocidad o detección de bots adecuada.

La implicación práctica: proteger una página de inicio de sesión, un formulario de registro, un flujo de restablecimiento de contraseña o un punto final de API contra la fuerza bruta requiere múltiples capas que trabajen juntas. Las secciones siguientes explican cada capa, incluyendo dónde funciona, dónde se rompe y qué llena el vacío.

Tipos de ataques de fuerza bruta: qué son y qué detiene cada uno

No todos los ataques de fuerza bruta funcionan de la misma manera. Comprender la variante determina qué defensa priorizar.

TIPO DE ATAQUE
CÓMO FUNCIONA
DEFENSA PRINCIPAL
Fuerza bruta simple
Prueba todas las combinaciones posibles de caracteres en secuencia
Contraseñas largas y complejas; bloqueo de cuentas
Ataque de diccionario
Utiliza listas de palabras comunes y contraseñas conocidas
Política de contraseñas estricta; bloqueo de contraseñas comunes
Relleno de credenciales
Reproduce pares de nombres de usuario y contraseñas de filtraciones de datos en otros sitios.
MFA; CAPTCHA; detección de violación de contraseña
Pulverización de contraseñas
Prueba unas cuantas contraseñas comunes en muchas cuentas para evitar el bloqueo
Limitación de velocidad por nombre de usuario; detección de anomalías
Ataque híbrido
Combina palabras del diccionario con números y símbolos
Frases de contraseña; gestores de contraseñas; MFA
Ataque a la mesa arco iris
Utiliza tablas hash precalculadas para invertir los hash de las contraseñas
Salted hashing; algoritmos hash modernos (bcrypt, Argon2)

El relleno de credenciales y la pulverización de contraseñas merecen especial atención porque son las variantes que derrotan más fácilmente las medidas diseñadas sólo para la fuerza bruta simple. El relleno de credenciales no necesita adivinar contraseñas; ya las tiene. El rociado de contraseñas evita la detección manteniéndose por debajo de los umbrales de bloqueo de cuentas. Ambas requieren defensas que van más allá de la mera política de contraseñas.

Para profundizar en el tema del relleno de credenciales, consulte nuestra guía sobre qué es el "credential stuffing" y cómo funciona.

Seis niveles de prevención que actúan conjuntamente

  • Autenticación multifactor

    La AMF es la mejor defensa contra los ataques de fuerza bruta, y las pruebas son inequívocas. El análisis de Microsoft de los incidentes de cuentas comprometidas reveló que la AMF habría evitado el 99,9% de ellos. La razón es estructural: incluso cuando un atacante adivina u obtiene correctamente una contraseña, MFA requiere un segundo factor (un código TOTP, una llave hardware o una notificación push) al que el atacante no tiene acceso. Para los operadores de sitios web, la prioridad es la AMF en todas las cuentas de administrador y de altos privilegios, seguida de la AMF en cualquier cuenta con acceso a datos sensibles o flujos financieros. La aplicación de la AMF a todos los usuarios finales depende del público y del perfil de riesgo, pero la compatibilidad de los navegadores modernos con las claves de acceso y las aplicaciones de autenticación hace que sea posible en la mayoría de los casos.

  • Limitación de velocidad y retrasos progresivos

    La limitación de velocidad restringe el número de intentos de inicio de sesión que un cliente puede realizar en un periodo de tiempo determinado. Es una primera línea de defensa sencilla y eficaz contra los ataques poco sofisticados. Después de un número definido de intentos fallidos desde la misma dirección IP, el servidor introduce un retraso, devuelve un bloqueo temporal o requiere un paso de verificación adicional. La limitación de la limitación de velocidad simple basada en IP es que los ataques distribuidos modernos enrutan las peticiones a través de miles de direcciones IP diferentes. Cada IP individual se mantiene por debajo del umbral mientras que el volumen total de ataques sigue siendo enorme. Un enfoque más sólido combina la limitación de velocidad a nivel de IP con umbrales por cuenta, haciendo un seguimiento de los intentos fallidos por nombre de usuario, independientemente de la IP de origen, y combinándolo con la detección de anomalías que señala patrones de tráfico inusuales a nivel global, no sólo por fuente.

  • Políticas de bloqueo de cuentas

    El bloqueo de cuentas bloquea temporal o permanentemente una cuenta después de un número determinado de intentos fallidos de inicio de sesión. La OWASP Authentication Cheat Sheet recomienda un umbral de cinco a diez intentos fallidos antes de que se aplique un bloqueo basado en el tiempo. Los bloqueos duros (donde una cuenta está bloqueada hasta que un administrador la desbloquea manualmente) proporcionan la protección más fuerte, pero crean un riesgo de abuso de denegación de servicio. Un atacante puede desencadenar deliberadamente bloqueos en muchas cuentas, impidiendo que los usuarios legítimos se conecten. Los retrasos progresivos suelen ser preferibles: cada intento fallido aumenta el tiempo de espera antes de que se permita el siguiente intento, lo que frustra a las herramientas automatizadas sin bloquear permanentemente a los usuarios reales.

  • Políticas de contraseñas seguras

    La longitud de la contraseña es más importante que su complejidad. Una frase de 16 caracteres compuesta por palabras aleatorias es más difícil de descifrar que una cadena de 8 caracteres compuesta por letras, números y símbolos. Los gestores de contraseñas permiten utilizar contraseñas largas y únicas en todas las cuentas. Para los operadores de sitios web, la política más eficaz consiste en exigir contraseñas de al menos 12 caracteres y cotejar las nuevas contraseñas con las bases de datos de filtraciones conocidas, rechazando cualquier contraseña que haya aparecido en filtraciones anteriores. La política de contraseñas aborda bien los ataques simples de fuerza bruta y diccionario. No ofrece casi ninguna protección contra el "credential stuffing", en el que el atacante ya tiene la contraseña correcta. Por eso la política de contraseñas por sí sola es insuficiente como defensa contra la fuerza bruta.

  • CAPTCHA como barrera estructural contra bots

    CAPTCHA funciona de forma diferente a las otras capas de esta lista. En lugar de limitar lo que un atacante puede hacer después de un intento fallido, aumenta el coste de cada intento antes de que llegue a su lógica de autenticación. Esta distinción es importante. La distinción clave es entre el CAPTCHA visual tradicional y el CAPTCHA de prueba de trabajo moderno. Los CAPTCHA tradicionales (cuadrículas de imágenes, texto distorsionado) son cada vez más fáciles de romper. Las herramientas basadas en IA resuelven automáticamente los problemas de imagen, y las granjas de resolución de CAPTCHA pueden procesar millones de problemas al día por unos pocos dólares. Contra un atacante decidido y con recursos, un CAPTCHA visual ofrece menos protección de la que parece. Los CAPTCHA de prueba de trabajo funcionan de forma diferente. En lugar de pedir al usuario que identifique objetos en una imagen, requiere que el navegador realice un pequeño cálculo criptográfico antes de poder enviar el formulario. Para un usuario real, esto ocurre de forma invisible en segundo plano antes de que termine de rellenar el formulario. Para un bot que intenta miles de inicios de sesión por minuto, cada intento requiere ahora resolver un rompecabezas computacional, lo que eleva el coste del ataque independientemente de cuántas IP o dispositivos utilice el atacante. OWASP's Authentication Cheat Sheet señala que CAPTCHA debe ser visto como un control de defensa en profundidad que hace que los ataques de fuerza bruta “consuman más tiempo y sean más caros”. En el caso concreto de la prueba de trabajo, ese coste está integrado en la arquitectura en lugar de depender de la dificultad del acertijo.

Por qué CAPTCHA es estructuralmente diferente de la limitación de velocidad

La limitación de velocidad dice: “sólo puede intentarlo X veces por minuto”. CAPTCHA dice: “cada intento requiere un trabajo computacional que no puede automatizarse de forma barata”. Un atacante con limitación de velocidad simplemente distribuye las solicitudes entre las IP. Un atacante que se enfrenta a un CAPTCHA de prueba de trabajo debe resolver un rompecabezas criptográfico para cada intento, en cada IP, cada dispositivo y cada bot de la red. El coste aumenta linealmente con el volumen, lo que hace que los ataques a gran escala sean económicamente impracticables en lugar de simplemente inconvenientes.

CAPTCHA.eu utiliza una prueba de trabajo: invisible, sin cookies, alojada en la UE

CAPTCHA.eu protege los flujos de inicio de sesión, registro y restablecimiento de contraseña con una verificación de prueba invisible. Sin rompecabezas de imágenes. Sin cookies. Todos los datos se procesan en Austria conforme a la legislación de la UE. Certificado WACA Silver por TÜV Austria contra WCAG 2.2 AA.

Iniciar prueba gratuita
Por qué los operadores europeos dejan de usar reCAPTCHA

  • Supervisión y detección de anomalías

    Incluso con todo lo anterior en marcha, la supervisión es lo que te dice cuándo algo ha cambiado. Un ataque de fuerza bruta en curso deja rastros claros: un pico repentino de intentos de inicio de sesión fallidos, una distribución inusual de las IP de origen o un alto volumen de solicitudes a un único punto final en un momento anormal.

Los siguientes patrones en sus registros justifican una investigación:

  • Múltiples intentos fallidos de inicio de sesión contra una misma cuenta desde diferentes IP (pulverización de contraseñas).
  • Alto volumen de intentos fallidos desde una única IP o rango de IP (fuerza bruta simple)
  • Picos repentinos de solicitudes de autenticación fuera de las horas normales de tráfico
  • Aumento de la carga en los puntos finales de inicio de sesión, restablecimiento de contraseña o registro sin el correspondiente aumento de inicios de sesión correctos.
  • Intentos repetidos con nombres de usuario o formatos de correo electrónico ligeramente variados contra la misma contraseña.

Los servicios CAPTCHA modernos proporcionan visibilidad en el panel de control de los volúmenes de intentos. Un pico inusual de verificaciones CAPTCHA en un punto final de inicio de sesión es una señal temprana fiable de que se está ejecutando un intento de fuerza bruta.

Si ya se está produciendo un ataque: pasos inmediatos

La detección es una cosa. La respuesta es otra. Si identifica un ataque de fuerza bruta en curso, la secuencia siguiente limita los daños.

  • Bloquear temporalmente las IPs o rangos de IPs más activos.

    Se trata de una medida a corto plazo, no de una solución completa. Los ataques distribuidos lo sortearán, pero reduce la carga inmediata y gana tiempo.

  • Habilite CAPTCHA en el endpoint objetivo si aún no está activo.

    Incluso desplegarlo a mitad del ataque aumenta el coste para los bots que siguen intentándolo.

  • Endurecer inmediatamente los umbrales de limitación de la tasa.

    Reducir la ventana de intentos permitidos y aumentar la duración de los retrasos mientras dure el ataque.

  • Forzar un restablecimiento de contraseña en cualquier cuenta que muestre actividad anómala.

    Si determinadas cuentas han tenido un volumen inusualmente alto de intentos fallidos, exija una nueva autenticación antes de permitir el siguiente inicio de sesión con éxito.

  • Compruebe si ha habido inicios de sesión satisfactorios que precedan o coincidan con el tráfico de ataque.

    Un atacante que ya ha tenido éxito puede estar dentro mientras el ataque más amplio continúa como distracción.

  • Conserva tus registros.

    Los registros de acceso sin procesar de la ventana de ataque son esenciales para el análisis posterior al incidente y, si procede, para la presentación de informes reglamentarios en virtud del GDPR o NIS2.

¿Aún no está protegido? Añada CAPTCHA.eu a su flujo de inicio de sesión hoy mismo

CAPTCHA.eu se integra en minutos en WordPress, TYPO3, Keycloak, Magento y pilas personalizadas. Alojado en Austria, sin cookies, sin rompecabezas para los usuarios reales.

Iniciar prueba gratuita
Ver todas las integraciones

Por qué una capa nunca es suficiente

Cada defensa de esta lista aborda un vector de ataque específico. Ninguna de ellas aborda todos ellos.

MFA impide que un atacante que ya tiene la contraseña correcta acceda a la cuenta, pero no impide que el tráfico de fuerza bruta llegue a su servidor. Miles de intentos fallidos bloqueados por MFA siguen generando carga, consumiendo recursos y llenando sus registros.

La limitación de velocidad controla el volumen de tráfico, pero los ataques distribuidos modernos sortean los umbrales a nivel de IP sin ralentizarse. Funciona bien contra ataques poco sofisticados, pero no contra adversarios con recursos.

CAPTCHA aumenta el coste computacional de cada intento, pero sin MFA, una solución CAPTCHA satisfactoria sigue permitiendo un intento de inicio de sesión. CAPTCHA filtra los bots, MFA detiene las credenciales comprometidas.

El bloqueo de cuentas evita la adivinación ilimitada, pero crea un riesgo de denegación de servicio y no protege contra el relleno de credenciales, en el que el atacante sólo necesita un intento por cuenta.

La conclusión de la guía de OWASP, y de la arquitectura práctica de cualquier sistema de inicio de sesión bien protegido, es que estas capas están diseñadas para complementarse entre sí. Un punto final de inicio de sesión que combine CAPTCHA, MFA, limitación de velocidad y supervisión de anomalías es realmente difícil de forzar a escala. Cualquiera de estos elementos por sí solo deja lagunas que un atacante decidido puede explotar.

Preguntas frecuentes

¿Cuál es la forma más eficaz de evitar los ataques de fuerza bruta?

Ninguna medida por sí sola detiene todas las variantes. El enfoque más eficaz combina la AMF (que detiene el compromiso de la cuenta incluso cuando se conocen las contraseñas), CAPTCHA (que aumenta el coste computacional de cada intento automatizado) y la limitación de la tasa (que limita el volumen de intentos). Según el análisis de Microsoft, la AMF por sí sola habría detenido el 99,9% de las cuentas comprometidas estudiadas, lo que la convierte en la medida de mayor prioridad si sólo se puede aplicar una.

¿Impide CAPTCHA los ataques de fuerza bruta?

Sí, pero el tipo de CAPTCHA importa. Los CAPTCHA visuales tradicionales (cuadrículas de imágenes, texto distorsionado) son resueltos cada vez más por herramientas automatizadas y servicios de resolución de CAPTCHA. Los CAPTCHA de prueba de trabajo son más eficaces porque requieren un cálculo criptográfico para cada intento, lo que aumenta el coste independientemente de la capacidad de reconocimiento de imágenes del atacante. Ninguno de los dos tipos sustituye a la AMF, pero ambos aumentan significativamente el esfuerzo y el coste de una campaña de fuerza bruta a gran escala.

¿Cuál es la diferencia entre fuerza bruta y relleno de credenciales?

Los ataques de fuerza bruta adivinan contraseñas sin conocimiento previo, probando combinaciones hasta que una funciona. Los ataques de relleno de credenciales utilizan pares de nombre de usuario/contraseña conocidos de anteriores violaciones de datos y los prueban en otros servicios, aprovechando la reutilización de contraseñas. El relleno de credenciales es más rápido y más selectivo. La política de contraseñas seguras protege bien contra la fuerza bruta, pero ofrece poca protección contra la suplantación de credenciales, ya que el atacante ya tiene la contraseña correcta. MFA y CAPTCHA abordan ambos problemas.

¿Es suficiente limitar la velocidad para evitar los ataques de fuerza bruta?

Para los ataques simples, de una sola fuente, la limitación de velocidad es eficaz. Contra la fuerza bruta distribuida moderna, en la que las peticiones proceden de miles de direcciones IP diferentes simultáneamente, la limitación de velocidad basada en IP es insuficiente por sí sola. Los umbrales por cuenta y la detección de anomalías lo complementan. Combinada con CAPTCHA y MFA, la limitación de velocidad se convierte en parte de una sólida defensa por capas.

¿Cómo puedo saber si mi sitio web está sufriendo un ataque de fuerza bruta?

Las señales más claras son: un repentino pico de intentos fallidos de inicio de sesión en los registros del servidor, un elevado volumen de solicitudes a los puntos finales de autenticación, múltiples intentos contra diferentes cuentas desde distintas IP (pulverización de contraseñas) o un panel CAPTCHA que muestre un pico de verificación inusual. Muchos ataques de fuerza bruta pasan desapercibidos durante horas o días en sitios sin supervisión activa. Establecer alertas sobre las tasas de fallos de autenticación es una de las mejoras de supervisión de alto valor más sencillas que puede hacer un operador de un sitio.

¿Funciona CAPTCHA sin cookies ni banners de consentimiento del usuario?

Los servicios CAPTCHA tradicionales suelen instalar cookies, lo que genera requisitos de consentimiento de ePrivacy. CAPTCHA.eu funciona sin cookies por arquitectura, por lo que no hay ninguna cuestión de cumplimiento relacionada con las cookies que resolver, y no se requiere ninguna actualización del banner de consentimiento para la capa CAPTCHA. Procesa todos los datos de verificación en Austria conforme a la legislación de la UE. Para los operadores de sitios web europeos que desean protección contra bots sin aumentar la sobrecarga de la gestión del consentimiento, la arquitectura sin cookies es una ventaja práctica significativa.

¿Qué flujos debo priorizar para la protección por fuerza bruta?

Los formularios de inicio de sesión son el objetivo principal, pero los atacantes también atacan los flujos de restablecimiento de contraseñas (que pueden eludir una cuenta bloqueada), los formularios de registro (creación de cuentas falsas a escala) y los puntos finales de autenticación de API. Cualquier punto final que acepte credenciales o conceda tokens de acceso es un objetivo potencial de fuerza bruta. Prioriza la protección en este orden: inicio de sesión, restablecimiento de contraseña, puntos finales de API, registro.

Lecturas relacionadas

Entradas recientes

es_ESSpanish
en_USEnglish de_DEGerman fr_FRFrench nl_NLDutch it_ITItalian es_ESSpanish