Para detectar y ver qué usuarios están intentando realizar un ataque de fuerza bruta en un router MikroTik, puedes revisar los registros (logs) del sistema, donde se registran los intentos de acceso y las actividades sospechosas.

Los ataques de fuerza bruta suelen caracterizarse por numerosos intentos de inicio de sesión fallidos en un corto período de tiempo. MikroTik RouterOS es bastante robusto en sus capacidades de registro, proporcionando detalles que pueden ayudarte a identificar este tipo de comportamiento anómalo.

Pasos para Verificar los Registros de Ataques de Fuerza Bruta:

1. Acceso a los Registros (Logs):
   • Desde WinBox: Puedes acceder a los registros seleccionando “Log” en el menú principal. Esto te mostrará una lista de eventos recientes, incluidos los intentos de inicio de sesión.
   • Por Terminal: Usa el comando /log print para ver los registros. Puedes filtrar por tipos de eventos específicos si estás buscando algo en particular, como intentos de acceso.
2. Buscar Eventos de Inicio de Sesión Fallidos: Busca en los registros entradas que indiquen intentos de inicio de sesión fallidos. Estos a menudo estarán etiquetados con mensajes como “login failure” y pueden incluir la dirección IP del origen del intento de acceso.
3. Identificar Patrones de Ataque de Fuerza Bruta: Un ataque de fuerza bruta se caracteriza por múltiples intentos de inicio de sesión fallidos desde la misma dirección IP o un rango de IP en un corto período de tiempo. Revisa los registros para identificar tales patrones.

Acciones Adicionales:

• Bloquear Direcciones IP Sospechosas: Puedes crear reglas en el firewall de MikroTik para bloquear direcciones IP específicas que creas que están intentando ataques de fuerza bruta.
• Habilitar Blacklist Dinámico: Considera el uso de listas negras dinámicas (dynamic blacklist) para bloquear automáticamente direcciones IP que intentan ataques de fuerza bruta.
• Cambiar Puertos de Servicio Estándar: Cambiar los números de puerto para servicios como SSH, Winbox, y WebFig a puertos no estándar puede ayudar a reducir los ataques de fuerza bruta.
• Limitar Intentos de Inicio de Sesión Fallidos: MikroTik permite configurar un límite en el número de intentos de inicio de sesión fallidos antes de bloquear temporalmente el acceso desde la dirección IP sospechosa.
• Habilitar la Autenticación de Dos Factores (2FA): Si es posible, habilita la autenticación de dos factores para mejorar la seguridad.

Monitorear los registros de tu router MikroTik de manera regular es una práctica recomendada para mantener la seguridad de tu red. Al identificar y responder rápidamente a los ataques de fuerza bruta, puedes proteger tu red contra accesos no autorizados y posibles vulnerabilidades.