Brute Force Attack
ID de alerta: brute_force
MITRE ATT&CK: T1110 – Brute Force
Severidad / Criticidad
Sección titulada «Severidad / Criticidad»| Nivel | Condición |
|---|---|
| Baja | 3–5 intentos → Actividad sospechosa inicial |
| Media | 6–20 intentos → Ataque activo moderado |
| Alta | 21–40 intentos → Ataque persistente significativo |
| Crítica | 41+ intentos o login exitoso tras fuerza bruta → Compromiso potencial |
¿Por qué se considera maliciosa?
Sección titulada «¿Por qué se considera maliciosa?»- Intentos de acceso no autorizado a cuentas administrativas.
- Riesgo de compromiso total del sitio WordPress.
- Posible robo de credenciales o datos sensibles.
- Uso del sitio como punto de partida para otros ataques.
!!! danger “Crítico” Un login exitoso después de múltiples intentos fallidos indica una brecha potencial.
¿Cuándo salta la alerta?
Sección titulada «¿Cuándo salta la alerta?»- Umbral inicial: 3 intentos fallidos desde la misma IP.
- Ventana de agregación: 60 segundos.
- Cooldown: 5 minutos tras cada alerta.
- Disparo crítico inmediato si hay login exitoso después de fallos consecutivos.
- Análisis de patrones:
targeted_single_usertargeted_multiple_usersdictionary_attack
Indicadores Técnicos (IOCs)
Sección titulada «Indicadores Técnicos (IOCs)»| Tipo | Patrón | Descripción |
|---|---|---|
log_pattern | POST /wp-login.php | Peticiones masivas al login |
log_pattern | POST /xmlrpc.php (system.multicall) | Ataques XML-RPC |
behavior | 401/403 responses | Respuestas de acceso denegado |
behavior | >2 requests/sec | Actividad automatizada |
file_pattern | wp_options -> failed_login_attempts | Registro de intentos fallidos |
Falsos positivos comunes
Sección titulada «Falsos positivos comunes»- Usuarios que olvidan su contraseña (normalmente <3 intentos).
- Gestores de contraseñas mal configurados.
- Plugins de autenticación que reintentan automáticamente.
- Herramientas de monitorización o uptime checkers con configuraciones erróneas.
Pasos de investigación
Sección titulada «Pasos de investigación»- Verificar origen de IP:
whois [IP]ygeoiplookup [IP]. - Analizar patrones temporales: determinar si corresponden a actividad humana o automatizada.
- Revisar usuarios objetivo: comprobar si el ataque se centra en cuentas administrativas.
- Si hubo login exitoso, analizar actividad posterior (cambios de usuarios, permisos, plugins o archivos).
Mitigaciones recomendadas
Sección titulada «Mitigaciones recomendadas»=== “Inmediatas”
!!! danger "" - Bloquear la IP atacante en el firewall o WAF. - Forzar cambio de contraseña si hubo login exitoso. - Revocar sesiones activas del usuario comprometido. - Activar autenticación en dos pasos (2FA).=== “Preventivas”
!!! tip "" - Implementar límite de intentos (Wordfence, Limit Login Attempts). - Cambiar la URL de acceso a `wp-admin` (WPS Hide Login). - Añadir CAPTCHA en el formulario de inicio de sesión. - Deshabilitar XML-RPC si no se usa. - Configurar fail2ban con una regla específica para WordPress.Referencias
Sección titulada «Referencias»- MITRE ATT&CK T1110 – Brute Force
- OWASP Blocking Brute Force Attacks
- WordPress Security Guide