Redazione RHC : 1 septiembre 2025 15:00
BruteForceAI es un nuevo framework de pruebas de penetración que combina inteligencia artificial y automatización para llevar la fuerza bruta al siguiente nivel. Desarrollada por Mor David, la herramienta utiliza grandes modelos de lenguaje para analizar automáticamente los formularios de inicio de sesión y ejecutar ataques dirigidos de forma más rápida y eficaz. A diferencia de las soluciones tradicionales, no requiere una configuración manual compleja y reduce el riesgo de errores humanos, simplificando así el trabajo de los especialistas en seguridad.
Funciona en dos fases distintas. En la primera, el LLM analiza el HTML de la página de destino e identifica con precisión los campos de entrada, los botones y los selectores CSS. A continuación viene la denominada «fase de ataque inteligente», durante la cual la herramienta lanza pruebas de credenciales multiproceso que explotan los selectores detectados. El usuario puede elegir entre un método clásico de fuerza bruta, que prueba todas las combinaciones posibles, o el modo más discreto de rociado de contraseñas, útil para reducir el riesgo de bloqueo.
Entre sus puntos fuertes se encuentran sus capacidades de evasión. La herramienta puede imitar el comportamiento humano gracias a retrasos temporizados y fluctuaciones aleatorias, agentes de usuario alternativos, compatibilidad con el uso de proxies y control de la visibilidad del navegador. Esto dificulta la interceptación de ataques por parte de los sistemas de defensa automatizados. Además, registra todo en una base de datos SQLite y envía notificaciones inmediatas mediante webhooks a plataformas como Slack, Discord, Teams o Telegram.
Para quienes se inician en las pruebas de penetración, BruteForceAI ofrece una perspectiva interesante. No es solo un software para lanzar ataques, sino una herramienta para comprender cómo funcionan los mecanismos de autenticación y su vulnerabilidad si no se protegen adecuadamente. Utilizado en contextos autorizados, se convierte en un aliado para aprender, probar y mejorar las ciberdefensas sin necesidad de escribir código complejo.
| Parámetro | Descripción | Predeterminado |
|---|---|---|
--mode | Modo de ataque (fuerza bruta/passwordspray) | Fuerza bruta |
--threads | Número de subprocesos | 1 |
--delay | Retraso entre reintentos (segundos) | 0 |
--jitter | Flixación aleatoria (segundos) | 0 |
--success-exit | Detenerse después del primer éxito | Falso |
--force-retry | Reintentar los intentos existentes | Falso |
Su adopción está dirigida principalmente a equipos rojos, investigadores de seguridad y profesionales que realizan pruebas en nombre de otros. Al automatizar pasos que suelen ser lentos y repetitivos, reduce drásticamente los tiempos de análisis y facilita la detección de sistemas de inicio de sesión vulnerables. Es un ejemplo concreto de cómo la inteligencia artificial puede mejorar las herramientas establecidas, transformando un proceso manual tedioso en un flujo optimizado.
Desde un punto de vista técnico, la instalación no es complicada. Se requiere Python 3.8 o superior, Playwright y algunas bibliotecas estándar como requests y PyYAML. Tras clonar el repositorio desde GitHub y ejecutar el comando pip install -r requirements.txt, puede elegir el modelo de lenguaje que desea usar: Ollama para ejecución local o Groq para implementación en la nube. Una vez configurada, la herramienta se inicia con comandos sencillos para analizar objetivos y ejecutar ataques.
Es importante destacar que BruteForceAI está diseñado exclusivamente para fines éticos y profesionales: pruebas autorizadas, investigación académica y actividades educativas. El uso indebido contra sistemas no autorizados es ilegal y poco ético.
Sin embargo, en las manos adecuadas, representa un recurso valioso para descubrir vulnerabilidades y fortalecer la seguridad de los sistemas digitales, introduciendo a las nuevas generaciones de especialistas a metodologías más inteligentes e informadas.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
