Redazione RHC : 1 septiembre 2025 15:00
BruteForceAI es un nuevo framework de pruebas de penetración que combina inteligencia artificial y automatización para llevar la fuerza bruta al siguiente nivel. Desarrollada por Mor David, la herramienta utiliza grandes modelos de lenguaje para analizar automáticamente los formularios de inicio de sesión y ejecutar ataques dirigidos de forma más rápida y eficaz. A diferencia de las soluciones tradicionales, no requiere una configuración manual compleja y reduce el riesgo de errores humanos, simplificando así el trabajo de los especialistas en seguridad.
Funciona en dos fases distintas. En la primera, el LLM analiza el HTML de la página de destino e identifica con precisión los campos de entrada, los botones y los selectores CSS. A continuación viene la denominada «fase de ataque inteligente», durante la cual la herramienta lanza pruebas de credenciales multiproceso que explotan los selectores detectados. El usuario puede elegir entre un método clásico de fuerza bruta, que prueba todas las combinaciones posibles, o el modo más discreto de rociado de contraseñas, útil para reducir el riesgo de bloqueo.
Entre sus puntos fuertes se encuentran sus capacidades de evasión. La herramienta puede imitar el comportamiento humano gracias a retrasos temporizados y fluctuaciones aleatorias, agentes de usuario alternativos, compatibilidad con el uso de proxies y control de la visibilidad del navegador. Esto dificulta la interceptación de ataques por parte de los sistemas de defensa automatizados. Además, registra todo en una base de datos SQLite y envía notificaciones inmediatas mediante webhooks a plataformas como Slack, Discord, Teams o Telegram.
Para quienes se inician en las pruebas de penetración, BruteForceAI ofrece una perspectiva interesante. No es solo un software para lanzar ataques, sino una herramienta para comprender cómo funcionan los mecanismos de autenticación y su vulnerabilidad si no se protegen adecuadamente. Utilizado en contextos autorizados, se convierte en un aliado para aprender, probar y mejorar las ciberdefensas sin necesidad de escribir código complejo.
| Parámetro | Descripción | Predeterminado |
|---|---|---|
--mode | Modo de ataque (fuerza bruta/passwordspray) | Fuerza bruta |
--threads | Número de subprocesos | 1 |
--delay | Retraso entre reintentos (segundos) | 0 |
--jitter | Flixación aleatoria (segundos) | 0 |
--success-exit | Detenerse después del primer éxito | Falso |
--force-retry | Reintentar los intentos existentes | Falso |
Su adopción está dirigida principalmente a equipos rojos, investigadores de seguridad y profesionales que realizan pruebas en nombre de otros. Al automatizar pasos que suelen ser lentos y repetitivos, reduce drásticamente los tiempos de análisis y facilita la detección de sistemas de inicio de sesión vulnerables. Es un ejemplo concreto de cómo la inteligencia artificial puede mejorar las herramientas establecidas, transformando un proceso manual tedioso en un flujo optimizado.
Desde un punto de vista técnico, la instalación no es complicada. Se requiere Python 3.8 o superior, Playwright y algunas bibliotecas estándar como requests y PyYAML. Tras clonar el repositorio desde GitHub y ejecutar el comando pip install -r requirements.txt, puede elegir el modelo de lenguaje que desea usar: Ollama para ejecución local o Groq para implementación en la nube. Una vez configurada, la herramienta se inicia con comandos sencillos para analizar objetivos y ejecutar ataques.
Es importante destacar que BruteForceAI está diseñado exclusivamente para fines éticos y profesionales: pruebas autorizadas, investigación académica y actividades educativas. El uso indebido contra sistemas no autorizados es ilegal y poco ético.
Sin embargo, en las manos adecuadas, representa un recurso valioso para descubrir vulnerabilidades y fortalecer la seguridad de los sistemas digitales, introduciendo a las nuevas generaciones de especialistas a metodologías más inteligentes e informadas.
RedazioneEn un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
La Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
