Password Spraying: otro enfoque a la fuerza bruta

A diferencia de los ataques de fuerza bruta tradicionales, donde se prueban diversas combinaciones de contraseñas para un solo usuario, el password spraying se basa en intentar contraseñas habituales en múltiples cuentas a la vez. Esta estrategia ayuda a los atacantes a evitar los bloqueos automáticos de cuentas, ya que no se realizan demasiados intentos fallidos en una única cuenta.

¿Cómo Opera el Password Spraying?

En un ataque de este tipo, los ciberdelincuentes suelen comenzar recopilando cuentas de usuario válidos, como podrían ser correos electrónicos (algo que, en tiempos de redes sociales y perfiles públicos, es relativamente sencillo). Luego, seleccionan un número muy reducido de contraseñas y las prueban en todas las cuentas, pero de manera limitada, para no activar sistemas de bloqueo por múltiples fallos consecutivos.

Estas contraseñas pueden salir de listados conocidos de contraseñas, o de un trabajo de investigación sobre el objetivo.

Password

La Vulnerabilidad de las Contraseñas Débiles

Este tipo de ataques resulta efectivo principalmente porque muchas personas siguen utilizando contraseñas sencillas o predecibles. A pesar de los riesgos evidentes, un gran porcentaje de usuarios sigue optando por contraseñas fáciles de recordar, lo que facilita la tarea de los atacantes. Además, la gestión de contraseñas muchas veces se toma como algo complejo e incompatible con el día a día, a pesar de existir opciones válidas para su gestión.

Cómo evitar este tipo de ataque

Los consejos y las medidas a tomar son similares para la mayoría de los casos en los que haya contraseñas de por medio:

  1. Políticas de contraseñas seguras. Aquí hay que tener en cuenta tres puntos muy importantes: se deben usar contraseñas con un mínimo de complejidad que incluyan letras, números y símbolos, se deben cambiar periódicamente para reducir el riesgo de que sean adivinadas y hay que evitar repetir la misma contraseña en diferentes plataformas. Hay que ser conscientes que cada ciberataque a grandes compañías va exponiendo los datos, incluidas las contraseñas.
  2. Autenticación multifactor (MFA). Activar un segundo método de autenticación en todas las plataformas que lo permitan es otra barrera adicional contra este tipo de ataques. Si un atacante se hace con una contraseñade acceso, aún necesitaría un segundo factor, como un código enviado por mensaje de texto, para acceder a los sistemas.
  3. Seguridad en los sistemas. La implementación de medidas como monitoreo de intentos de acceso o límites de intentos fallidos son indispensables en entidades, y tienen que ir acompañadas de respuestas automáticas que minimicen el impacto de estos ataques.

Password spraying es otro de los tantos ataques existentes y sirve para recordar que los ciberdelincuentes están siempre buscando nuevas formas de evadir las medidas de seguridad de los sistemas, algo especialmente crítico en organizaciones que no toman las precauciones necesarias.

Las contraseñas débiles y la falta de medidas de seguridad adicionales, como la autenticación multifactor, dejan a muchas empresas expuestas a riesgos que podrían ser fácilmente subsanables. Por lo tanto, fomentar una cultura ciberresiliente dentro de las organizaciones es crucial para hacer frente a los grandes retos que se afrontan en este ámbito.

 

Microsoft (2020, 23 Abril) “Protecting your organization against password spray attacks”. https://www.microsoft.com/en-us/security/blog/2020/04/23/protecting-organization-password-spray-attacks/

Crowdstrike “Password Spraying” (2022, 27 Julio) https://www.crowdstrike.com/cybersecurity-101/password-spraying/

OWASP “Password Spraying Attack” (2021, 30 Abril) https://owasp.org/www-community/attacks/Password_Spraying_Attack